Medzi hlavné priority etických hackerov patrí bezpečnejší online svet – či už sa týka súkromného alebo verejného sektora. Preto občas etickí hackeri spolupracujú vo svete aj so štátnymi inštitúciami pri riešení bezpečnostných problémov občanov. Ak to nejde inak, upozorňujú na riziká aj podobným spôsobom, ako sme to spravili my vo výzve “hacknite Kaliňáka”.
Témou minulého týždňa vo svete online bezpečnosti bolo jednoznačne chybné generovanie bezpečnostných kľúčov na čipoch Infineon, ktoré sa týka aj slovenských eID preukazov. Na chybu ešte koncom januára tohto roka upozornil tím bezpečnostných analytikov z Masarykovej univerzity, medzi ktorými boli aj traja Slováci.
Zatiaľ čo Estónsko, ktoré používa rovnakú technológiu eID preukazov, vytvorilo detailný plán odstránenia tohto nedostatku, Slovensko sa k problému postavilo vlažne. Minister vnútra Róbert Kaliňák dokonca vyzval verejnosť, aby sa pokúsila hacknúť privátny kľúč jeho občianskeho preukazu.
Prečo vznikla výzva „Hackni Kaliňáka“
My sme jeho výzvu prijali. Vznikol tak netypický bug bounty projekt Hacknite kľúč R. Kaliňáka, kde sme za získanie verejného kľúča a cracknutie privátneho kľúča ministra vnútra vypísali odmenu 1337 EUR (neskôr až 2000 EUR). Od začiatku pritom bolo jasné, že náklady na technickú realizáciu tohto typu “útoku” sú vyššie ako vypísaná bounty (odmena), a teda pravdepodobnosť úspešného útoku je pomerne malá.
Našim hlavným cieľom bolo upozorniť na závažnosť problému eID pre slovenských občanov.
Cieľom bug bounty programov je primárne hľadanie bezpečnostných dier v online systémoch. V tomto prípade bola ale chyba zabezpečenia známa. Išlo tak najmä o potvrdenie pragmatických obáv bezpečnostných expertov, dôraz na adekvátnu reakciu zo strany štátu a poukázanie na spoločenský rozmer etického hackingu.
Zároveň sa naša výzva stala dobrým spôsobom, ako odlíšiť etický hacking od nelegálneho black-hat hackovania (cracking). Mnohí si napríklad všimli, že sme v programe zakázali útoky na servery štátnej správy či počítač ministra. Základným pravidlom etického hackingu totiž je, že útoky môžu prebiehať len so súhlasom dotknutej osoby a na vopred určený cieľ (v tomto prípade verejný, resp. privátny kľúč konkrétnej osoby).
Vďaka výzve bezpečnostných expertov a sile verejného tlaku znásobenej chuťou hacknúť ministra vnútra, vyhlásila tento pondelok vláda dočasné zastavenie vydávania elektronických podpisov a deaktivovanie služieb, ktoré ich používajú, resp. prevádzkovateľ certifikačných autorít oznámil zrušenie všetkých certifikátov. Výsledok je v podstate to, o čo sme sa usilovali – vyššia online bezpečnosť našich občanov. Preto sme sa rozhodli dnes ukončiť bug bounty projekt Hacknite kľúč R. Kaliňáka.
Sila etického hackingu
Až 67 % ľudí si podľa nášho prieskumu pojem hacker mylne spája práve s black hat hackermi, ktorých primárnym cieľom je poškodenie reputácie a / alebo finančný zisk. Len 44 % ľudí z online biznisu pozná etických hackerov a vie jednotlivé typy hackerov odlíšiť.
Vo svete pritom spolupráca štátnych organizácií a etických hackerov pri riešení nedostatkov online bezpečnosti ohrozujúcich občanov, nie je až tak zriedkavá. Krajiny zapájajú do takéhoto testovania verejnosť, a to aj napriek tomu, že sa práve štátne orgány často stávajú cieľom nie vždy príjemného hacktivizmu.
Iniciatíva na opravu bezpečnostnej chyby eID preukazov na Slovensku spojila práve prvky hacktivizmu a etického hackovania. Išlo tak o jeden z prvých spoločenských prejavov tohto druhu u nás, ktorý malou čiastkou prispel k reálnej zmene. Slovensko ale rozhodne nie je jedinou krajinou, kde na bezpečnostné nedostatky vládnych inštitúcií upozornili práve etickí hackeri.
Ako príklad môže slúžiť Holandsko, ktoré už niekoľko rokov spolupracuje s etickými hackermi na vylepšení bezpečnosti inštitúcií a v roku 2013 vytvorilo návod na zverejňovanie bezpečnostných nedostatkov verejného sektora nájdených pomocou etického hackingu. V Austrálii dokonca vláda v minulosti najala etických hackerov, aby otestovali online bezpečnosť vládnych systémov.
Americký Pentagon tiež vyzval hackerov, aby hackli štátny systém a objavili tak ich bezpečnostné nedostatky. Etický hacking ako testovanie online bezpečnosti pritom využívajú už niekoľko rokov aj najväčšie svetové spoločnosti a je jedným z najčastejších spôsobov objavovania bezpečnostných dier.
Nechajte sa otestovať
Testovanie pomocou komunity etických hackerov je známe najmä v anglosaskom svete pod názvom bug bounty programy. Tie zastrešujú vyplácanie odmien etickým hackerom za nájdené nedostatky vo weboch či aplikáciách firiem. Ich výhodou je najmä finančná efektivita, keďže hackeri dostanú odmenu len za reálne nájdené nedostatky. Slovenský projekt Hacktrophy je prvým bug bounty programom v strednej Európe. Skúste ho aj vo vašej spoločnosti a nechajte si otestovať reálny stav IT bezpečnosti etickými hackermi.
