Aj vy si myslíte, že hackeri sú ľudia, ktorí vám chcú iba uškodiť? Mýlite sa. Historicky má pojem hacker pozitívny význam. Pripravili sme pre vás prehľadný článok o vzniku hackingu a základnom rozdelení hackerov. Nie všetci hackeri sú totižto zlí a mnoho z nich vám chce dokonca pomôcť.
Hackeri nie sú len zlí
Niektorí ľudia si slovo hacker spájajú so zlodejmi dát a kybernetickými kriminálnikmi. Podľa nášho prieskumu medzi online firmami má negatívnu mienku o hackeroch až 67 % slovenských a českých spoločností. Je to dôsledok najmä negatívnej medializácie, prípadne nezáujmu o témy týkajúce sa IT bezpečnosti, čomu napovedajú aj ďalšie dáta z prieskumu.
Až 67 % online špecialistov u nás má negatívnu mienku o pojme hacker.
Tie hovoria o tom, že až 48 % lokálnych firiem vôbec netestuje svoju online bezpečnosť, a to aj napriek tomu, že 44 % spoločností z Českej republiky a Slovenska má priamu alebo nepriamu skúsenosť s útokom zlých „black-hat“ hackerov. Rovnaké percento firiem zároveň netuší, že existuje viac druhov hackerov, a že ich etickí hackeri dokonca dokážu uchrániť pred útokom zlomyseľných náprotivkov.
Kde sa vzali hackeri?
Hacking ako taký má už takmer 50 rokov. Prvá zmienka o hackingu totižto pochádza z roku 1969, kedy sa MIT stalo domovom pre ľudí, ktorí sa nazývali hackeri. Ich cieľom bolo vylepšovať už existujúce programy, aby fungovali lepšie a rýchlejšie. Už to napovedá, že hacking je vo svojej podstate pozitívnou aktivitou ľudí, ktorí sa pokladajú za špecialistov v určitej oblasti informačných technológií.
Za takmer 50 rokov prešiel hacking rôznymi fázami existencie. Vždy to však bol boj dobra so zlom. Za prvého významného hackera svojej doby môžeme považovať Johna Drapera, ktorý v roku 1971 „hackol“ telefónnu sieť amerického operátora AT&T. Tá v tej dobe fungovala ešte na princípe ovládania tónovou voľbou.
Draper zistil, že na sprístupnenie siete pre bezplatné hovory musí po spojení s centrálou vydať zvuk s frekvenciou 2 600 Hz. Presne takú frekvenciu zhodou okolností v tej dobe vydávala píšťalka, ktorú ste mohli dostať ako darček v škatuli s cereáliami Cap’n Crunch. Draper sa chopil príležitosti a začal vyrábať tzv. blue boxy, ktoré dokázali reprodukovať rovnakú zvukovú frekvenciu.
John Draper s píšťalkou z cereálií Cap’n Crunch
Draper sa však nepokladal za zlého hackera a svoje „hackerské“ aktivity si ospravedlňoval záujmom o fungovanie samotného systému operátora. Svedčí o tom citát z knihy Secrets of the little Blue Box:
Nerobím to. Už to vôbec nerobím. A keby som to robil, malo by to len jeden dôvod. Snažím sa pochopiť systém. Telefónna spoločnosť je “systém”. Počítač je “systém”, rozumiete? A keby som to aj robil, bolo by to len za účelom pochopenia systému. Počítače, systémy, to ma zaujíma. Telefónna spoločnosť nie je nič iné ako počítač.
Prvé zmienky o zlých “black-hat” hackeroch
V roku 1983, rok po tom, ako William Gibson priniesol svetu pojem „cyberspace“, sme boli svedkami prvého útoku zlého hackera. Kevin Poulsen, známy aj ako „Dark Dante“, sa nabúral do siete Arpanet (ktorá sa v tom istom roku rozdelila prvýkrát na vojenskú a verejnú sieť) a bol za to zatknutý. Mal len 17 rokov, a tak za svoj čin nemohol byť uväznený.
Len o rok na to sa svet dočkal aj prvých vírusov. Za ich vznikom stál Fred Cohen. V roku 1984 sa však udial ešte jeden významný míľnik – Bill Landreth, prezývaný aj „The Cracker“, bol usvedčený z hacknutia počítačového systému a získania prístupu k dátam NASA a Ministerstva obrany USA.
Súdobá príloha Los Angeles Times, ktorá obsahovala „A hacker’s guide to computer security by ‚The Cracker’“ (zdroj)
Slovo cracker tak nabralo úplne nový význam a začalo sa používať v „IT-čkárskom“ slovníku. Dnes je referenciou pre osobu, ktorej cieľom je nabúranie sa do nejakého bezpečnostného systému s cieľom napáchať škodu. Ide tak o synonymum pre zlého či black-hat hackera.
Od roku 1986 bol zlý hacking vo forme napádania počítačových systémov a sietí definovaný v USA ako trestný čin (vďaka zákonu The Computer Fraud and Abuse Act).
Ďalšie zmienky o zaujímavých udalostiach z oblasti hackingu a IT bezpečnosti vo svete zaznamenáva SecureList v prehľade A brief history of hacking.
Hackeri v Čechách a na Slovensku
Česko-slovensko je kolískou mnohých IT firiem. ESET, Avast, AVG, Sygic a ďalšie významné IT spoločnosti by nikdy nevznikli, ak by už v skorých fázach rozvoja počítačov nebolo dosť nadšencov, ktorí skúšali všetky ich možnosti a hranice. A mnohí z ľudí, ktorí dnes tieto spoločnosti vedú, majú hackerskú minulosť.
V Česko-slovensku bol ešte v 90-tych rokoch veľmi populárny phreaking. Jeho históriu pomerne zábavnou, no veľmi pútavou formou zaznamenáva blog Hysteria (3 časti). S príchodom internetu sa phreakeri postupne menili na hackerov, ktorých hlavným cieľom bolo najmä skúmanie, ako veci fungujú. V tom čase neexistovali rozsiahle internetové knižnice o všetkom, na čo ste pomysleli, a tak si šikovní počítačoví maniaci zisťovali informácie systémom pokus-omyl.
Tak jednoduché, a pritom tak výstižné. Úryvok z bakalárskej práce Mediální obraz českých hackerů.
Pomerne bohatú hackerskú minulosť má aj Česká republika. Zachytáva ju bakalárska práca Mediální obraz českých hackerů od Ivy Šotnarovej. Prvá medializovaná zmienka o českých hackeroch pochádza z roku 1996, kedy v Lidových novinách vyšiel článok o hackerskej skupine CzERT (čítaj „čert“). Tá mala na svedomí do roku 1997 viacero známych káuz. V roku 1997 dokonca mala Česká republika prvého „šéfa softvérovej polície“, ktorým bol kapitán Jiří Dastych. Vtedy bol jediným štátnym zamestnancom, ktorý bojoval proti „internetovým pirátom a crackerom“.
V roku 1998 sa prvýkrát v českom médiu začalo rozlišovať medzi dobrými a zlými hackermi. Vtedy vydal denník Mladá Fronta Dnes článok na tému „Hacker je něco mezi démonem a elektronickým horolezcem“ (25. 2. 1998), ktorý hovoril o tom, že crackeri sú mylne vnímaní ako hackeri, s ktorými ich nespája nič iné, len „scestné pomenovanie“.
Na prelome tisícročí bol hacking v našej oblasti na vysokej úrovni, a tak vznikali aj rôzne „ego-tripové“ stránky, ktoré poukazovali na všetky vydarené „hacky“ – napr. Underground Hacked Gallery.
Dnes na Slovensku a v Čechách nájdete stále množstvo dobrých hackerov. Vedú významné spoločnosti venujúce sa IT bezpečnosti, pracujú na lukratívnych pozíciách v IT firmách, prípadne sa snažia zvýšiť bezpečnosť online systémov a aplikácií pomocou penetračných testov či projektov ako Hacktrophy. 🙂
Rozdiel spoznáte podľa farby
Postupným vývojom hackingu sa čoraz výraznejšie delili hackeri aj do rôznych skupín – podľa svojho zamerania. Primárne ich delíme podľa farieb na bielych, sivých a čiernych. V hackerskom slovníku sa ale vyskytujú aj výrazy ako červení, zelení či modrí hackeri.
„Bieli“ hackeri (White Hat Hackers – doslova hackeri s bielym klobúkom)
Do kategórie bielych hackerov sa radia najmä etickí hackeri. Ich cieľom je pretaviť ich schopnosti v hackovaní do odhaľovania nedostatkov počítačových systémov, sietí a aplikácií. Etický hacker to však robí s dobrým úmyslom a na dané nedostatky upozorňuje majiteľov daných systémov podľa istých etických zásad. Často za svoju prácu dostanú etickí hackeri finančnú odmenu, ktorá ich motivuje k ďalšej práci. Presne na tomto princípe fungujú aj bug bounty programy.
Práve s bug bounty programami sa spája aj samotná história etického hackovania. Tá sa začala písať v roku 1995, keď spoločnosť Netscape spustila prvý verejný bug bounty program, ktorý sľuboval etickým hackerom odmenu za nájdenie zraniteľnosti ešte predtým, ako bude zneužitá.
„Čierni“ hackeri (Black Hat Hackers – hackeri s čiernym klobúkom)
Čierni hackeri sú opakom bielych hackerov. Ide teda o zlých hackerov (crackerov), ktorí sa snažia hackovaním napáchať nejakú škodu, prípadne ukradnúť dáta, ktoré neskôr predajú na čiernom trhu alebo vašej konkurencii. Ich primárny cieľom je peňažný zisk, bez ohľadu na etický rozmer veci.
Je im jedno, koho napadnú, ak na tom zbohatnú. Aj preto sú veľmi nebezpeční – obete si častokrát vyberajú náhodne, pričom sa snažia zneužiť najmä známe bezpečnostné bugy online systémov. Len minulý rok podľa údajov IC3 spôsobili zlí hackeri škodu najmenej 1,33 miliardy dolárov (veľká časť kybernetických útokov ale nebola verejne ohlásená).
Celkové škody spôsobené kyber kriminalitou v USA v r. 2001-2016.
„Siví“ hackeri (Gray Hat Hackers)
Siví hackeri vypĺňajú priestor medzi bielymi a čiernymi hackermi. Ich primárnym cieľom nie je finančný zisk, ale skôr zábava alebo podpora nejakej aktivity. Častokrát ale konajú mimo hraníc zákona.
Špeciálnou skupinou sivých hackerov sú hacktivisti. Ich motivácia má sociálny, politický alebo názorový charakter, pričom sa častokrát kybernetickými útokmi snažia upozorniť na nejaký druh verejného problému. Slovo hacktivista vzniklo kombináciou slov „hacking“ a „aktivista“.
Ďalšie slová spojené s hackingom a ich vysvetlenie nájdete v slovníku Cyber Terms and Hacking Lingo od Motherboard.
„Červení“ hackeri (Red Hat Hackers)
Červení hackeri sú radikálnejšou vetvou bielych hackerov. Ich cieľ je rovnaký – zmariť útok zlých hackerov a upozorňovať na bezpečnostné nedostatky etickou formou. Rozdielom však je, že červení hackeri okrem toho bojujú proti čiernym hackerom ich vlastnou zbraňou – často sa snažia infikovať ich počítače vírusmi, či napadnúť ich siete s cieľom ničenia ich výpočtových prostriedkov.
„Modrí“ hackeri (Blue Hat Hackers)
Pojem modrí hackeri má špecifickú definíciu. Ide o hackerov, ktorí sú postavení do role externých konzultantov firiem, aby aplikovali techniky používané bielymi (etickými) hackermi na nájdenie chyby v systéme ešte pred jeho spustením. Tento typ hackerov využíva aj spoločnosť Microsoft na hľadanie chýb v systémoch Windows, preto je pre ich označenie použitá špecifická modrá farba Microsoftu.
„Zelení“ hackeri (Green Hat Hackers)
Zelených hackerov môžeme nazvať aj nováčikmi vo svojej brandži. Tento pojem označuje začínajúcich hackerov, ktorí sa v špecializovaných komunitách pýtajú množstvo otázok a so systémami hackovania sa ešte len zoznamujú.
Hlavné motivácie hackerov.
Hackeri na prenájom
Hackeri sú novodobými zločincami, ale aj ochrancami firiem. Ich prácou je testovanie IT bezpečnosti počítačových sietí, systémov a aplikácií, s tým, že každá skupina hackerov sa snaží docieliť niečo iné. Medzi dobrými a zlými hackermi však existuje jeden zásadný rozdiel – možnosť voľby.
Zatiaľ čo zlí hackeri väčšinou nedbajú na to, koho systém idú napadnúť (pokiaľ z toho získajú dostatok financií), etickí alebo white-hat hackeri si vyberajú spoločnosti, ktoré im ponúknu lukratívnu ponuku. V princípe to funguje naozaj logicky a jednoducho – black-hat hackeri napádajú firmy, na ktorých môžu najviac zarobiť a etickí hackeri sa tieto firmy snažia ochrániť, pretože im ponúkajú za ochranu ich citlivých dát najviac peňazí.
Ak teda vaša spoločnosť chce svoj IT systém ochrániť od útoku kybernetických zločincov, mala by ponúknuť odmenu za testovanie IT bezpečnosti a následnú ochranu svojich dát etickým hackerom. A presne na tento účel slúži bug bounty program Hacktrophy.
