Problematica hacking-ului: cele mai bune intentii interpretabile sau cum sa nu trantesti usa rotativa
10 minute • Iulia Mitrache • 01 iulie 2020
Notă de Ana-Maria Udriște: ca urmare a articolului publicat anterior prin care Digi a fost amendat în Ungaria pentru nerespectarea GDPR ca urmare a unei breșe de securitate descoperite de un ”ethical hacker”, au luat naștere anumite întrebări cu privire la acest fenomen și cât de mult se întinde responsabilitatea unei companii atunci când are o breșă descoperită de un ethical hacker. Pentru asta, trebuie să facem o incursiune în noțiunile de bază, pe care să le înțelegem și să vedem totodată cum se aplică de zi cu zi.
Prezentul articol este scris de Iulian Matache, specialist în protecția datelor și securitate, cu intenția de a explica acest fenomen pe înțelesul tuturor.
Paradigma originii
Un hacker este, inainte de orice judecata de valoare, o persoana care rezolva probleme. Prin definitie, un contestatar a ceea ce este deja oferit si larg acceptat, hackerul isi antreneaza gandirea in a gasi calea minimei rezistente pentru a depasi un impas, o bariera, o limitare. Scopul in slujba caruia aceste abilitati sunt puse la lucru va da dimensiunea morala a hacking-ului.
Distingem intre hacker – cel care intelege foarte bine cum functioneaza ceva (dispozitiv, aplicatie, sistem de operare etc.) si cracker – cel care manifesta o conduita exclusiv malevolenta pentru a obtine un acces neautorizat intr-un sistem informatic. Ar mai fi de mentionat si scammer-ul – clasicul infractor din mediul online, deloc sofisticat din punct de vedere tehnic, insa versat in social engineering (Wikipedia). Oricare dintre acestia este catalogat script kiddie daca isi limiteaza actiunile la rularea unor programe, fara sa aiba cunostinte privind arhitecturi informatice, sisteme de operare, retelistica sau programare.
White, black & grey hat hackers
Hackerul este bun
precum internetul: depinde de scopul final. Daca internetul inseamna orice
intre Dark Web si Wikipedia, la fel distingem intre white, black
si grey hacker.
Un black hat hacker reprezinta talentul pus in slujba criminalitatii informatice, in timp ce un white hat hacker este motivat de imbunatatirea sistemelor informatice prin testarea lor la diverse vulnerabilitati. In mod uzual este dificil sa fii “de partea luminii” fara sa te fi apropiat macar in joaca de aspecte din dark zone, prin urmare in practica discutam de nuante de gri (grey hat hackers).
Există totuși și hackeri buni?
Exista multi hackeri manati de o cruciada impotriva nepasarii si a indolentei, incomozi pentru cei care trateaza InfoSec (nota redacției: securitatea informației) exclusiv ca un buzzword. Cu toate acestea, companiile constiente de importanta depunerii unor diligente in asigurarea protectiei asset-urilor digitale au la dispozitie cateva optiuni:
Implicarea unui ethical hacker
Deseori intalniti sub eticheta pen(etration)tester, un ethical hacker isi pune cunostintele si serviciile la dispozitia celor dornici sa isi afle vulnerabilitatile. Acesta actioneaza invariabil in baza unui mandat expres, care enumera tipurile de actiuni permise, infrastructura care va fi testata, perioada desfasurarii testelor si lista de actiuni interzise in cadrul pentest-ului. Exercitiul nu va incepe inainte de semnarea unui out of jail letter care exonereaza pentester-ul de orice raspundere civila, delictuala sau penala cat timp actiunile sale se inscriu in cadrul mandatului.
Campanii de bug-bounty
O maniera mai putin structurata de aflare a vulnerabilitatilor o reprezinta lansarea campaniilor de bug-bounty care presupun o invitatie deschisa de descoperire si raportare a vulnerabilitatilor unui produs, sistem de operare, aplicatie informatica, contra unei recompense in bani. Aceste premii sunt eclipsate de sumele contra carora sunt tranzactionate vulnerabilitatile zero-day (cele a caror remediere nu sufera amanare, sau tehnic corect spus “poate astepta zero zile”) pe forumurile Dark Net.
O campanie de bug bounty reprezinta un mandat deschis oricarui participant, insa participantii trebuie sa respecte regulile enuntate de companie (care opereaza ca un out of jail letter de care aminteam anterior).
Daca in campania de bug bounty unei companii i se gaseste vulnerabilitati, aceasta le va lua in calcul si va corecta. Teoretic, nu am de ce sa fiu sanctionat pentru acea campanie intrucat se inscrie in diligentele pe care le depun pentru prevenirea si remedierea problemelor.
Cum se face diferența între un hacker și un ethical hacker?
Retinem ca orice exercitiu sau simulare de tipul “what could go wrong” presupune un grad inalt de incredere intre parti, comparativ cu increderea dintre invinuit/inculpat si avocatul care il reprezinta.
Motiv pentru care depasirea granitelor agreate in mandatul de ethical hacking sau in termenii si conditiile campaniei de bug-bounty poate transforma specialistul benevolent intr-un infractor cibernetic.
Dacă un hacker anunță autoritatea cu privire la un incident, e băiat bun?
”Intentia conteaza” ne avertizeaza un cunoscut dicton. In functie de jurisdictia aplicabila, actiuni fara o finalitate cert detrimentala, precum scanarea porturilor, este sau poate fi incriminata.
Odata descoperita o vulnerabilitate este extrem de important cum o raportati. Este recomandat sa alegeti canale care permit proprietarului/operatorului infrastructurii analizate un spatiu rezonabil de investigare, validare si remediere intr-un cadru confidential. Din diverse ratiuni unii specialisti aleg calea publica de la inceput, aspect care poate da nastere unor probleme.
Art. 15 din Directiva UE 2019/1937 privind protectia persoanelor care raporteaza incalcari ale dreptului Uniunii poate reprezenta cadrul aplicabil unor astfel de dezvaluiri:
“O persoană care efectuează o divulgare publică beneficiază de protecție în temeiul prezentei directive în cazul în care este îndeplinită oricare dintre condițiile următoare:
(a) persoana a raportat mai întâi intern și extern sau direct extern în conformitate cu capitolele II și III, însă, ca răspuns la raportare, nu au fost luate măsuri corespunzătoare în intervalul de timp menționat la articolul 9 alineatul (1) litera (f) sau la articolul 11 alineatul (2) litera (d); sau
(b) persoana are motive întemeiate să considere că:
(i) încălcarea poate constitui un pericol iminent sau evident pentru interesul public, cum ar fi existența unei situații de urgență sau riscul unui prejudiciu ireversibil; sau
(ii) în cazul raportării externe, există un risc de represalii sau există o probabilitate redusă ca încălcarea să fie remediată în mod eficace, având în vedere circumstanțele specifice ale cazului, precum cele în care probele pot fi disimulate ori distruse sau o autoritate poate fi în înțelegere cu autorul încălcării sau implicată în încălcare.
(2) Prezentul articol nu se aplică în cazurile în care o persoană divulgă în mod direct informații presei în conformitate cu dispozițiile naționale specifice care stabilesc un sistem de protecție referitor la libertatea de exprimare și de informare.”
Prin urmare
regasim in acceptiunea legiuitorului european
- succesiune normala de etape care trebuie parcuse in mod obligatoriu pentru ca diligentele hackerului sa fie prezumate a fi depuse cu buna-credinta (norma);
- cateva exceptii cu plaja larga de interpretare care permit expunerea direct in mod public fara parcurgerea etapelor prealabile (exceptia de la norma)
Odata descoperita o vulnerabilitate este extrem de important cum o raportati. Este recomandat sa alegeti canale care permit proprietarului/operatorului infrastructurii analizate un spatiu rezonabil de investigare, validare si remediere intr-un cadru confidential.
Un ethical hacker scapă nepedepsit?
Ethical hackerii
mandatati de un client pentru pentest si care actioneaza in baza unui contract
sunt exonerati de raspundere prin acel out
of jail letter in masura in care actiunile lor se circumscriu mandatului
fara sa il depaseaca.
Hackerul care actioneaza liber de orice raport cu entitatea responsabila pentru vulnerabilitatea identificata, care a respectat succesiunea de pasi rezonabili in a informa si oferi timpul rezonabil de remediere si care a regasit vulnerabilitatea nerezolvata are dreptul legal de a expune problema in mod public.
In acelasi timp trebuie sa intelegem ca “diavolul rezida in detalii” care pot avea un efect de recul asupra persoanei bineintentionate. Planul moral si cel juridic au deseori zone in care nu se suprapun. De asemenea retinem ca in functie de legislatia aplicabila, anumite actiuni incipiente ale oricarei descoperiri de vulnerabilitati (cum este scanarea porturilor) pot fi incriminate.
Abonează-te la newsletter și rămâi informat
Contează soluția folosită în aprecierea calității de hacker?
In ordinea
crescatoare a capabilitatilor tehnice, vedem urmatoarele paliere evolutive:
- script kiddie: stie sa opereze niste utilitare simple cu interfata grafica sau scripturi copiate de pe forumuri. Are o vaga idee despre actiunile derulate de acele utilitare/scripturi.
- hacker “normal”: cunostinte avansate de retelistica, sisteme de operare, baze de date. Utilizeaza tool-uri dedicate (precum cele din Kali Linux), insa nu lucreaza in orb, intelege ce fac acele tool-uri si poate replica in alte moduri (de exemplu dintr-o interfata aceleasi actiuni.
- developer de exploituri: in plus fata de hackerul “normal” are cunostinte avansate de coding. Este capabil sa construiasca programe complexe care sa isi adapteze comportamentul la diverse conditii identificate in infrastructura infiltrata.
“Clasificarea” este timida si isi propune doar sa clarifice faptul ca cei numiti mediatic hackeri sunt persoane cu o plaja foarte larga de abilitati tehnice. Cei pregatiti peste medie sunt capabili sa isi ascunda sau disimuleze originea actiunilor, insa uneori fac greseli puerile care demonstreaza efectul Dunning-Krueger (autoperceptia inflationista a propriei competente).
Soluții open source = necesitatea unei siguranțe mai sporite?
Solutiile tip open source beneficiaza de o adoptie larga din considerente financiare. In acelasi timp ele sunt oferite “as is”, fara nicio obligatie din partea creatorului. Din acest motiv mediile enterprise sau infrastructurile critice sunt reticente in a include elemente arhitecturale open source.
Cu cat produsul/serviciul care ruleaza pe o anumita infrastructura are un grad de importanta mai mare, cu atat cresc asteptarile privind securitatea, disponibilitatea si timpul de raspuns la incidente.
Dacă ”spargerea” se poate face de o persoană cu cunoștințe tehnice medii, mai vorbim de un atac cibernetic?
Sunt cunoscute cazuri in care atacatori care nu depaseau un nivel de amatorism au reusit sa produca efecte semnificative. Scurgerea de date a operatorului Talk Talk din UK, desi dezarmanta din punct de vedere magnitudine, a fost atribuita unui script kiddie adolescent care a apelat la un simplu SQL injection, actiune deloc sofisticata din punct de vedere tehnic.
Astazi asistam la o disponibilitate larga a diverselor scripturi sau tool-uri care in mainile unui actor malevolent pot produce pagube serioase, motiv suplimentar pentru care operatorii infrastructurilor trebuie sa fie pregatiti pentru a face fata unor capabilitati distructive foarte accesibile care maresc plaja de atacatori potentiali.
In schimb, caracterul nesofisticat al actiunilor necesare pentru a produce pagube seminificative nu va exonera un script kiddie de atragerea raspunderii sale in functie de gravitatea faptelor comise si nu va indulci consecintele. Ocazionalele situatii in care aflam ca atacatorii X au primit o sentinta blanda trebuie tratate drept exceptii a caror poveste nu o cunoastem integral.
Notă de Ana-Maria Udriște: problema hacking-ului este privită foarte tehnic, deși de cele mai multe ori ne lovim de el fără să ne dăm seama. Un ”ethical hacker”, oricare ar fi intențiile sale, nu exonerează o companie de o eventuală amendă și repararea unor prejudicii dacă nu acționează în limitele unui mandat. Mai mult, platformele de tip open-source (sau programele, cum sunt plug-in-urile de WordPress) ridică ștacheta standardelor de securitate, tocmai pentru că sunt cunoscute și accesibile.
