Ko su etički hakeri ili beli šeširi

Zbog čestog pominjanja same reči "haker", u negativnom kontekstu, kao osobe koje rade neke loše stvari, želim da u ovom postu pokušam da objasnim da postoje među hakerima različite vrste i da među njima postoje i "dobri" hakeri koji su inače poznati kao etički hakeri ili beli šeširi (white hats).

Ko su etički hakeri?

Etički hakeri  su ljudi koji su dobro istrenirani za različite vrste testiranja bezbednosti sistema. Njihov osnovni zadatak jeste da nađu propuste u bezbednosti nekog sistema i da o tome obaveste nadležne. Ono što je ovde izuzetno bitno napomenuti jeste da je za ovakvo testiranje neophodna pismena saglasnost kompanije koja se testira. Ovo napominjem iz razloga što su neki "hakeri" iz dobre namere u prošlosti pokušali da urade testove nekih sajtova bez ikakvog odobrenja i bez obzira na to što njihova namera sama po sebi nije bila loša, to se smatra kao krivično delo po važećim zakonima. Takođe, etički hakeri ne bi trebalo da se ikada bave "prljavim poslovima" jer će na taj način preći u kategoriju sivih šešira (Gray hats), koja je inače najomraženija kategorija među hakerima, iz razloga što beli šeširi smatraju da se u njih ne može pouzdati jer rade osim svog osnovnog posla povremeno i neke ilegalne, dok sa druge strane ih ne vole ni crni šeširi (Black hats), zbog toga što su oni u preko 90 procenata svog vremena zaposleni kao etički hakeri koji rade u firmama kao sajber security konsultanti  i direktno su im suprotstavljeni ciljevi. E sad pošto smo prošli kroz objašnjenje ko su zapravo etički hakeri, hajde sada da vidimo kako se i gde treniraju i obučavaju.

Gde se obučavaju i treniraju "etički hakeri"?

Postoji više profesionalnih kurseva gde se dobija sertifikat koji vas uvodi u grupu etičkih hakera. Među njima svakako je najpoznatiji EC Council kurs CEH (Certified Ethical Hacker)  koji se polaže u trajanju od 4 sata i ukupno 125 pitanja, a oznaka samog testa jeste 312-50. Pored ovoga dosta popularna jeste i obuka Offensive security OSCP (Offensive Security Certified Professional)  koji je posebno cenjen među stručnjacima zbog praktičnog polaganja koje traje ukupno 24h i gde se radi praktično hakovanje, prolazak na ispitu je vrlo jasan, a ako ste uspeli da hakujete sisteme koji su bili pripremljeni, dobijate sertifikat, dok u suprotnom ne. Ono što je još veliki plus za ovu sertifikaciju jeste to što je Offensive security zapravo autor najpoznatije Linux distribucije koja se koristi od strane hakera pod nazivom Kali.

Osim ove dve postoji jos dosta sertifikacija koje su na neki način povezane sa ovom temom direktno ili indirektno:

• CPTC – Certified Penetration Testing Consultant
• CPTE – Certified Penetration Testing Engineer
• CompTIA – Security+
• CSTA – Certified Security Testing Associate
• GPEN – GIAC Certified Penetration Tester
• ECSA – EC-Council Certified Security Analyst
• CEPT – Certified Expert Penetration Tester

Koje alate koriste etički hakeri?

Ako ste mislili da se alati koje koriste crni i beli hakeri razlikuju, prevarili ste se. Alati koje koriste su potpuno isti, jedina razlika jeste što etički hakeri koriste ove alate samo ako imaju pre toga potpisan ugovor sa kompanijom koja će biti predmet testiranja. Neki od alata koji se uglavnom koriste nalaze se već instalirani u samom Kali linuxu, koji je najčešći izbor svih hakera, a pored ove distribucije postoji još jedna koja je dosta zastupljena a to je Backbox. U obe distribucije nalazi se poprilično veliki broj kvalitetnih alata, a ja ću ovde navesti neke od njih:

• maltego - alat za prikupljanje informacija
• dradis - alat za kolaboraciju hakera
• OpenVas - vulnerability skener
• nmap - skener
• hping3 - napredni skener
• tracert - putanja rutiranja
• nslookup - DNS zapisi
• metasploit/armitage - alat za hakovanje
• yersinia - DOS napadi
• john the ripper - alat za probijanje šifre
• aircrack-ng - razbijanje wifi šifre
• SET (Social Engineer Toolkit) - socijalni inžinjering

Da li postoje neka pravila ponašanja za etičke hakere?

Postoje određena pravila koja etički hakeri moraju poštovati kako bi bili dobri u svom poslu, odnosno kako bi izgradili dobru reputaciju. Svakako nikada i ni u kom slučaju ne smeju davati trećim licima bilo kakve informacije o sistemu koji se testira, na šta bi trebalo da ih obavezuje i NDA ugovor (Non-disclosure agreement) sa kompanijom. Druga stvar koja je opšte poznata jeste da ne smeju nikada prihvatiti da urade bilo šta što se kosi sa principima etike, odnosno da nikada ni pod kojim uslovima ne prihvate da se bave ilegalnim aktivnostima. Takođe, pri pristupanju materijalima za pripremu ispita za određene sertifikacije, traži se prihvatanje pravila da se alati koji će se tamo dobiti i naučiti nikada neće koristiti u destruktivne svrhe kako bi sačuvali svoj sertifikat i pristup informacijama koje su rezervisane isključivo za etičke hakere.

Nadam se da sam ovim postom uspeo bar malo da približim široj publici ko su zapravo "hakeri" i da među njima postoji i kategorija "dobrih momaka" kojima je osnovni cilj ojačanje bezbednosti sistema a ne destrukcija i uništavanje.