Etický hacker jako sprosté slovo?

Pojmy jako etický hacker nebo white hat nejsou moc známé, nebo rozšířené. Každý zná slovo hacker jako tu zápornou postavu, která se mu snaží ukrást data, identitu apod. Jakmile se člověk živí jako etický hacker, většina populace první slovo prostě přeslechne. Ti informovanější naopak moc nechápou, myslí si, že je to hacker, který není tak dobrý aby byl hacker.

Opak je ale pravdou

Etický hacker není nic jiného než hacker. Definic existuje spousta, nezákladnější dělení je asi následovné:

blackhat – to je ten „zlý“ člověk, který krade data, vytváří viry, krade identity, podílí se na útocích na firmy aby způsobili škodu

grayhat – zjednodušeně člověk, který se vyžívá ve zneužívání chyb, ale ne ve zneužívání. Toto je největší část lidí podílejících se např. na tzv. bugbounty programech, tedy hackování firem dle parametrů za finanční odněmu

whitehat – specifikace etického hacker. A tohle je asi ta nejtěžší varianta, která existuje

 

Ne nadarmo se říká, že pře Odborníky přes bezpečnost je hacker vždy o krok napřed. To platilo, platí a bude platit. Jenže etický hacker, to jsou dvě osobnosti v jedné – hacker a odborník přes bezpečnost. Náplní práce je to dostat se tam kam nemá a následně zabránit tomu, aby to dokázal kdokoliv jiný. Práce je to těžká, odpovědná a náročná jak časově, tak psychicky (a občas i fyzicky).

 

Předvídat kroky hackera se nedají. Musíte jím být. Ale zároveň musíte mít tolik soudnosti tyto schopnosti, znalosti nezneužít. A že to svádí… „Tak já se tu s tím dlabu kolik dní za plat, přitom bych to mohl prodat za…“ A přesně o tom to je, dodržet tu šíleně tenkou hranici.

Narozdíl od toho zlého, kterému nabouráním se někomu do počítače, nebo na servery firmy práce v podstatě končí, tomu etickému práce teprve začíná. Nabourat se do firmy, opravit, znovu se zkusit nabourat, opravit zbylé „nedodělky“, znovu otestovat. Zdokumentovat. Navíc existují různé metody jmenovitě odvozené: whitebox, greybox a blackbox. 

Blackbox je asi to nejjednodušší – tady máš název firmy a makej. Greybox je předpřipravený scénář s pár informacemi (typu tahle firma, servery mý v Neměcku, fabriku má v Brně a dostaň se do mailserveru. Whitebox je asi nejhorší. Spousta dokumentace, kompletní architektura, takže občas to jsou dny úporného studia a příprav všemožných vektorů útoku dle přesně stanoveného scénáře. Čím víc informací, tím horší to je. A navíc to ukazuje, že firma ví, nebo alespoň tuší co chce a potřebuje chránit, takže to znamená, že to nebude tak jednoduché. A to to dokáže dát brouka do hlavy, který tam vrtá a vrtá…

 

Etický hacker není levný, jeho práce nikoho nepotěší. Věta „tady máte seznam průšvihů a takhle si to opravte“ nikdy nikoho nepotěší – znamená to práci, zdroje, další výdaje navíc. Ale možná to je lepší, než vykradení servery a prodané výkresy prototypu do Číny ne?

No… asi i proto mě to baví. A hlavně se nemusím bát, že mi na dveře někdo zaklepe a budu rozjímat, zda mě vydají, nebo dají rovnou trest smrti žejo…