Większość słysząc słowo „haker” ma tylko jedno skojarzenie – to przestępca włamujący się do systemów komputerowych. Jest to wynik częstych doniesień medialnych o działalności przestępczej prowadzonej przez tych ludzi. Ale możesz być zaskoczony słysząc, że świat byłby znacznie gorszy bez nich.
A zatem co to jest „hakerstwo”?
Należy od razu powiedzieć, że haker niekoniecznie musi być przestępcą.
Mając to na uwadze, przyjrzyjmy się, jak i dlaczego „hakowanie” i powiązane z tym pojęcia mają pejoratywny odbiór publiczny.
Pojęcia takie jak "Hack" lub "Hackjob" są powszechnie używane w języku angielskim do określenia niekompetentnych osób bez odpowiedniego formalnego wykształcenia do pracy, którą wykonują lub wykonujących tę pracę niestarannie. Przybliżonym polskim odpowiednikiem słowa „hacking” może być „fuszerka lub partactwo” („Ten facet to kompletny partacz!”) i ma to jednoznacznie wydźwięk negatywny. W języku angielskim brakuje tego rozróżnienia, stąd przetłumaczenie pojęcia „hack” nie jest łatwe i nie znając kontekstu można je łatwo pomylić. Wspólną cechą polskiego pojęcia „partactwo” i angielskiego „hack” jest to, że oba opisują wykonanie pracy w sposób niezgodny z ogólnie przyjętym standardem („To nie jest naprawa - to jest zwykłe partactwo!”). Jednak w języku angielskim „hack” ma jeszcze inne dodatkowe znaczenie: może również oznaczać działające, ale nietypowe i niestandardowe rozwiązanie problemu. W kontekście komputerów i branży informatycznej „hakowanie” jest często rozumiane jako „uzyskiwanie nieautoryzowanego dostępu do systemów komputerowych, kont osobistych i sieci informatycznych lub niezgodne z przeznaczeniem użycie urządzeń cyfrowych, zwykle w celu osiągnięcia nienależnych korzyści finansowych lub wyrządzenia szkody”. Biorąc pod uwagę relacje w mediach, można by pomyśleć, że hakerzy zawsze mają złe intencje.
Trudno jednak znaleźć oficjalny akt prawny, w którym wyraźnie jest użyte pojęcie „hakowanie, haker czy hakerstwo”, nawet jeśli potocznie używa się określenia „paragraf antyhakerski”. Jednak hakerzy niekoniecznie muszą działać w złych intencjach – często jest wręcz odwrotnie. Więc kim właściwie są? Zgodnie z naszą definicją są to osoby, które wykorzystują swoje umiejętności techniczne i wiedzę do rozwiązania określonego problemu lub wyzwania. I nie muszą wcale do tego używać komputera.
Wielu uważa również, że pojęcie „haker” oznacza genialnego samouka lub programistę-renegata. W rzeczywistości są to często osoby biegłe w modyfikowaniu sprzętu komputerowego lub oprogramowania w taki sposób, aby można je było używać w sposób inny, niż pierwotny zamysł ich twórców. Kiedy haker włamuje się do sieci lub systemu komputerowego, nazywa się to „przełamaniem zabezpieczeń”. Mimo, że w mediach mówi się o nich głównie jako o cyberprzestępcach, którzy „hakują” czyli kradną dane i powodują wszelkie inne szkody w zasobach informatycznych, to poprawnym określeniem tej formy nielegalnej działalności jest w rzeczywistości „Cracking” (przełamywanie).
Historia hakerstwa
Hakowanie w historii
Hakowanie w czasach początków komunikacji bezprzewodowej wymagało klucza Morse'a.
Pierwszy przypadek „hakowania” zbliżonego do aktualnego znaczenia tego słowa pochodzi z 1903 roku. I co jest ciekawe - dzisiejsza reakcja na to pomimo upływu 120 lat byłaby niewiele inna.
A oto, co się wydarzyło. W 1903 roku włoski inżynier i wynalazca Guglielmo Marconi chciał zademonstrować w Anglii swój niedawno wynaleziony system transmisji bezprzewodowej. Marconi twierdził, że jego transmisja bezprzewodowa jest „bezpieczna i zapewnia prywatność”. Ale jego rywal - wynalazca i magik Nevil Maskelyne (1863-1924) udowodnił, że Marconi się mylił. Gdy Marconi przygotowywał się do rozpoczęcia demonstracji transmisji wiadomości w całej Anglii alfabetem Morse'a, Maskelyne użył własnego alfabetu Morse'a aby włamać się i zmanipulować sygnał odbierany przez sprzęt Marconiego. Spowodowało to, że odbierane wiadomości zawierały kilka wybranych fraz skierowanych do Marconiego. Fizyk John A. Fleming, który miał odbierać wiadomości od Marconiego, ocenił taką manipulację jako „naukowe chuligaństwo” (ang. scientific hooliganism"). Ale było już za późno - Maskelyne publicznie ujawnił poważną wadę technologii Marconiego (której Marconi również był świadomy) i tym samym ją skompromitował. Maskelyne spotkał się z poważnym publicznym hejtem ze strony takich ludzi jak Fleming, na co odpowiedział jedynie, że „zniewagi nie są argumentem i wolałby skupić się na faktach”.
Kusi, aby popatrzeć z perspektywy czasu na to wydarzenie i powiedzieć: „Dzisiaj jesteśmy znacznie dalej”. Ale czy to prawda? Taka sama wymiana zdań mogłaby realistycznie mieć miejsce na przykład tydzień temu na Twitterze lub w wątku dyskusyjnym na Github między specjalistą cyberbezpieczeństwa a programistą odmawiającym usunięcia krytycznej luki w zabezpieczeniach – i nikt nie byłby tym zaskoczony.
W jaki sposób „hakowanie” stało się powszechnie używanym pojęciem?
Klub Modelarstwa Kolejowego w Massachusetts Institute of Technology (MIT) po raz pierwszy użył pojęcia „hakowanie”, aby opisać niekonwencjonalne sposoby rozwiązania problemu.
Członkowie Klubu Modelarstwa Kolejowego w Massachusetts Institute of Technology (MIT) jako pierwsi użyli tego terminu w kontekście technicznym. Po drugiej wojnie światowej studenci MIT zaczęli używać słowa „zhakować” do określenia innowacyjnego (a czasem niekonwencjonalnego) rozwiązania problemu technicznego. Można to uznać za pierwszą „formalną” definicję tego pojęcia obowiązującą do dziś.
We wczesnych latach sześćdziesiątych komputery stały się bardziej dostępne dla instytucji akademickich. Nastąpiło to podczas programu NASA Apollo, kiedy Laboratorium Instrumentacyjne MIT, ku zaskoczeniu i konsternacji uznanych firm takich jak IBM, otrzymało zadanie opracowania sprzętu komputerowego i oprogramowania, które miało wysłać ludzi na Księżyc. W rzeczywistości kontrakt na opracowanie systemów komputerowych na potrzeby programu Apollo był jednym z pierwszych zamówień udzielonych w ramach całego programu. Nowi fachowcy z branży wkraczający w tę nową dziedzinę technologii wnieśli ze sobą tę terminologię. Od tego czasu „hakowanie” jest ściśle związane z informatyką.
Ale dopiero na początku lat 80-tych zjawisko to stało się powszechnie zauważalne. Ponieważ dopiero wtedy po raz pierwszy komputery stały się względnie tanie i dostępne dla ogółu społeczeństwa. Prawie każdy mógł kupić komputer i eksperymentować. I tak też się stało. Hakowanie miało różne formy, od czystej zabawy, która rzuca wyzwanie umysłowi, przez lekko irytujące aż po prawnie usankcjonowane przestępstwo. Był to również czas zimnej wojny, więc szpiegostwo komputerowe było oczywistym tematem, który raz po raz trafiał na pierwsze strony gazet.
Wielu z najniebezpieczniejszych hakerów działających w ostatnich latach czerpało inspirację z tych wczesnych pionierów.
W 1986 roku hakerstwo stało się tak powszechne w Stanach Zjednoczonych, że uchwalono ustawę o oszustwach i nadużyciach komputerowych (CFAA). Było to pierwsze na świecie prawo zwalczające cyberprzestępczość.
Rodzaje hakowania
Hakowanie to przede wszystkim nieograniczona kreatywność, nieustraszona innowacyjność i odwaga do odejścia od utartych sposobów myślenia. Chaos Computer Club, największe stowarzyszenie hakerów w Europie, definiuje termin jako „twórcze, praktyczne i bezkompromisowe wykorzystanie technologii”. Niestety, nie wszystkim wystarczy hakowanie dla samej sztuki.
Hakerów można z grubsza podzielić na trzy grupy ze względu na legalność ich działań.
Hakerzy „Black Hat” („w czarnym kapeluszu”; hakerzy „czarni”)
Haker „Black Hat” pojawia się najczęściej w mediach jako zamaskowany cyberprzestępca, który sprytnie włamuje się do systemu komputerowego w celu kradzieży lub zmiany danych lub wykonania innych nielegalnych działań. Tyle że w rzeczywistości mało który haker-przestępca siedzi przed komputerem w zaciemnionej piwnicy z kominiarką na twarzy. Raczej należy się go spodziewać siedzącego w garniturze w normalnym pomieszczeniu biurowym lub w domu przy komputerze. Kiedy „Black Hat” odkryje lukę w oprogramowaniu, wykorzystuje ją do celów przestępczych. Taki haker może napisać Exploit. Jest to oprogramowanie, które wykorzystuje lukę w zabezpieczeniach do infiltracji systemu komputerowego i rozsyłania złośliwego oprogramowania. Haker-przestępca może również oferować takie oprogramowanie na sprzedaż po „ciemnej stronie” sieci. Czasami „Black Hat” próbują nawet zmusić (lub przekupić) innych do wykonania pracy za nich. Taki proceder jest znany jako „penetracja od wewnątrz”. W sierpniu 2020 roku haker zaoferował pracownikowi Tesli milion dolarów za potajemne zainstalowanie oprogramowania szantażującego „ransomware” w fabryce Tesli w Nevadzie. Na szczęście pracownik zgłosił to FBI i haker został aresztowany.
Nawiasem mówiąc, termin „Black Hat” pochodzi ze starych westernów, w których złoczyńcy z reguły nosili czarne kapelusze.
Hakerzy „White Hat” ( „w białym kapeluszu”, „białe”)
W przeciwieństwie do hakerów „Black Hat”, osoby z grupy „White Hat” prowadzą swoją działalność w sposób otwarty. I tu znów widać nawiązanie do westernów - pozytywni bohaterowie nosili tam białe kapelusze. Firmy często zatrudniają hakerów „White Hat” aby próbowali spenetrować ich systemy i oprogramowanie w celu wykrycia luk w zabezpieczeniach lub problemów z cyberbezpieczeństwem. Takie działanie znane jest jako „test penetracyjny”. Pozwala to firmom poprawić stan cyberbezpieczeństwa, zanim „Black Hat” włamie się do ich systemów. Niektórzy hakerzy "White Hat” pracują w dużych firmach, podczas gdy inni wykonują wolny zawód lub są samozatrudnieni. „Etyczni” hakerzy mogą również próbować „łapać” pracowników na phishing, aby przetestować odporność organizacji na rzeczywiste ataki i zidentyfikować obszary wymagające dodatkowego szkolenia z zakresu cyberbezpieczeństwa.
Zgłaszają również luki w określonej aplikacji jej dostawcy lub twórcy za darmo lub za wynagrodzeniem typu „Bug Bounty” („nagroda za wykrycie błędu”) wypłacane za wykrycie krytycznej luki.
Hakerzy „Grey Hat” („szary”, „w szarym kapeluszu”)
Ten rodzaj hakerów działa w szarej strefie (między „czernią” a „bielą”), stąd nazwa. W przeciwieństwie do hakerów „White Hat” nie są altruistami, ale też nie są wyłącznie zaangażowani w działalność przestępczą. „Grey Hat” zazwyczaj najpierw włamują się do systemu, a dopiero potem proszą o pozwolenie, natomiast etyczni hakerzy najpierw proszą o pozwolenie. Wielu „Grey Hat” najpierw skanuje systemy lub oprogramowanie firmy w poszukiwaniu słabego punktu w zabezpieczeniu i dopiero, gdy go znajdą, proponują rozwiązanie. Oczywiście za opłatą. Inni hakerzy „Grey Hat” wykorzystują hakowanie jako środek aktywizacji i upubliczniają luki w zabezpieczeniach, aby presja opinii publicznej zmusiła daną firmę do rozwiązania problemu. Przykładem może być haker „Grey Hat”, który wykrył problem z zabezpieczeniem na Facebooku w 2013 roku, zgłosił to do Meta, gdzie został odprawiony z kwitkiem, po czym wykorzystał wyciek danych z systemu i opublikował kompromitującą wiadomość na osi czasu szefa Meta i tym samym postawił Marka Zuckerberga praktycznie pod ścianą.
Chociaż działania hakerów Gray Hat mogą przynieść pozytywne wyniki, to jednak włamanie się do czyjegoś systemu bez pozwolenia było i ciągle jest naruszeniem prawa. W niektórych przypadkach hakerzy ujawnili lukę, która została następnie usunięta, tylko po to, aby zostać pozwanym przez odnośną organizację (lub na jej zlecenie przez władze). Takie podejście w stylu „strzelanie do posłańca” jest powszechnie uważane za niemądrą praktykę, ponieważ, gdy taka firma stanie się znana z tego, że podejmuje działania prawne przeciwko osobom, które odkryły lukę w zabezpieczeniach, to w przyszłości nikt lub mało kto zdecyduje się ich o tym informować. A takie informacje o prześladowaniu hakerów rozprzestrzeniają się bardzo szybko w społeczności i nie da się ich utrzymać w tajemnicy. Zamiast tego hakerzy mogą sami zwrócić się do władz i ujawnić rażące zaniedbania i naruszenia prywatności – albo po prostu odpuścić sobie temat i „cieszyć się życiem”.
Narzędzia hakerskie: Jak działają hakerzy?
W większości przypadków hakowanie jest czynnością techniczną, ale hakerzy mogą również wykorzystywać socjotechnikę, aby nakłonić użytkownika do kliknięcia złośliwego załącznika lub ujawnienia swoich danych osobowych.
Firmy antywirusowe zauważyły już ten trend i rozwijają swoje usługi nie tylko w zakresie oprogramowania, ale też na przykład firma G DATA stworzyła cykl szkoleń dla użytkowników komputerów, pomagający w zwiększaniu higieny online i opieraniu się socjotechnikom w wyłudzaniu danych.
Oprócz inżynierii społecznej i złośliwych reklam, popularne techniki hakerskie obejmują: Botnety, DDoS, ransomware i inne złośliwe oprogramowanie. Powszechne są również narzędzia typu „living of the land” („LOLBAS”), w których przestępcy wyszukują i wykorzystują wszelkie okazje, jakie znajdą podczas infiltracji sieci. Praktycznie nie ma czegoś takiego jak „skrzynka narzędziowa hakera”. Istnieją jednak narzędzia – zarówno komercyjne, jak i open source – które są wykorzystywane przez wszystkich hakerów (zarówno tych dobrych jak i tych złych) - np. nmap, mimikatz, Ghidra, burp, Cain&Abel, Purple Knight i Metasploit. Każde narzędzie ma określone zastosowanie, a hakerzy zwykle tworzą własne kombinacje narzędzi.
Od „skryptowych dzieciaków” do przestępczości zorganizowanej
Niestety, hakowanie zmieniło się z nieszkodliwej zabawy dla młodzieży do potężnego, stale rozwijającego się biznesu wartego miliardy dolarów. Zwolennicy tego biznesu utworzyli zorganizowaną strukturę przestępczą, która opracowuje gotowe narzędzia hakerskie niejako wykonane „pod klucz” i sprzedaje je pomniejszym przestępcom nie mającym odpowiedniej wiedzy zwanym „skryptowymi dzieciakami „(Script Kiddies”).
Jest 5 głównych powodów, dla których hakerzy próbują włamać się do komputerów i sieci informatycznych.
▪ Pierwszy powód - to wymierny zysk finansowy, możliwy od uzyskania w wyniku kradzieży danych kart kredytowych lub oszustw w systemach bankowych.
▪ Drugi - to chęć zaszkodzenia lub zaatakowania reputacji osoby prywatnej lub firmy. W tym przypadku haker zostawia „dowód” swojej obecności na stronie internetowej zaatakowanej osoby lub firmy. Takie działanie jest również znane jako "defacement” („zniekształcenie witryny internetowej”).
▪ Kolejnym powodem jest szpiegostwo przemysłowe, w którym hakerzy pracujący na zlecenie jednej firmy próbują ukraść informacje o produktach i usługach konkurencji w celu uzyskania przewagi rynkowej.
▪ Zdarza się również, że całe narody angażują się w sponsorowane przez państwo ataki hakerskie na inny kraj w celu kradzieży informacji biznesowych i/lub państwowych, destabilizacji infrastruktury lub siania chaosu i zamieszania w społeczeństwie kraju docelowego.
▪ Funkcjonują też hakerzy motywowani politycznie lub społecznie. Zwykle starają się wyegzekwować jakieś działanie, ale bez interesu finansowego. Ci hakerzy-aktywiści lub „haktywiści” usiłują zwrócić uwagę opinii publicznej na jakiś problem, przedstawiając wybrany cel ataku w bardzo niekorzystnym świetle, zwykle publikując jego poufne lub wrażliwe informacje. Najbardziej znane grupy haktywistyczne i niektóre z ich najsłynniejszych przedsięwzięć to Anonymous, WikiLeaks i LulzSec. Problem z tego typu hakerami polega na tym, że wykorzystują swoje umiejętności do prowadzenia działalności w stylu Robin Hooda, co prowadzi wielu ludzi do przekonania, że ich działania są uzasadnione i pożądane. Wielu faktycznie zajmuje się uzasadnionymi problemami, ale czasami w wątpliwy sposób. Ta grupa sprawia fałszywe wrażenie, że wszyscy hakerzy są „cool” i „sexy”, co jest niebezpieczne, ponieważ może prowadzić do sytuacji, w której ktoś niedoświadczony, działający potencjalnie w dobrej wierze, przekroczy tę cienką czerwoną linię.
Czy hakowanie jest nielegalne?
Nie ma nic złego w samym hakowaniu, gdy się ma na to zgodę drugiej strony. Ale granica między legalnym hobby a nielegalną cyberprzestępczością zostanie przekroczona lub przynajmniej zatarta, jeśli haker nie poprosi o pozwolenie przed ingerencją w czyjś system informatyczny. To, co robią przedstawiciele „White Hat” jest oczywiście zgodne z prawem, ponieważ i pracownicy i klienci wyrazili na to zgodę. Natomiast działalność hakerów „Grey Hat”, którzy upublicznią swoje odkrycia, mimo że mogą mieć dobre i szlachetne intencje, może powodować określone konsekwencje prawne.
Oczywiście wszystkie działania „Black Hat” są nielegalne. Jeśli ktoś padł ofiarą przedstawiciela tej grupy, może i powinien zgłosić to cyberprzestępstwo odpowiednim władzom w swoim kraju lub regionie. Może to pomóc w ograniczeniu szkód wyrządzonych działalnością hakerską, spowodować osądzenie i ukaranie winnego i, miejmy nadzieję, zapobiec dalszym ofiarom tego typu przestępstw w przyszłości.
Nowa ustawa?
Belgia jest pierwszym (europejskim) krajem, który przyjął ogólnokrajowe i kompleksowe ramy dla bezpiecznej działalności „etycznych” hakerów tworząc Krajowe Centrum Cyberbezpieczeństwa. Ta agencja, zwana także CCB, ma za zadanie chronić osoby fizyczne i organizacje zgłaszające luki w zabezpieczeniach systemów, aplikacji lub sieci informatycznych w Belgii przed ściganiem jeżeli spełnią one określone warunki.
Zgodnie z procedurą utworzoną w ramach krajowej koordynacji Zasad ujawniania luk w zabezpieczeniach (CVDP), CCB – belgijski zespół reagowania na incydenty komputerowe (CSIRT) – może przyjmować zgłoszenia o lukach w zabezpieczeniach informatycznych i zapewniać tym, którzy je wykryli pewną ochronę prawną, jeśli spełnione są następujące warunki. Osoba lub organizacja, która znalazła lukę:
▪ musi jak najszybciej powiadomić o niej właściciela zasobu IT podatnego na atak (np. strony internetowej, pakietu oprogramowania itp.) i jednocześnie CCB.
▪ nie może działać z zamiarem uzyskania korzyści materialnych w wyniku oszustwa lub powodować szkód bez żadnego celu.
▪ musi działać ściśle zgodnie z zasadą współmierności i zasadności przy wykazywaniu istnienia podatności na zagrożenia.
▪ musi jak najszybciej przesłać zgłoszenie luki do CCB w określonym formacie.
▪ bez zgody CCB nie może publikować informacji o luce i zagrożonych systemach.
Pomimo tego musimy być ostrożni i wciąż jest wiele pytań, na które trzeba odpowiedzieć… Są też pewne niuanse, które naszym zdaniem muszą być jeszcze wyjaśnione. Czy „etyczny” haker może przeprowadzić pełny test penetracyjny na firmie, która nie jest tego świadoma? Czy może on wywołać nowy „0-Day attack” na wszystkich belgijskich adresach IP? To dobrze, że istnieje prawo chroniące etycznych hakerów, ale wciąż nie jest to zwolnienie z odpowiedzialności karnej. „Etyczny” haker, który znajdzie lukę w zabezpieczeniach i wykona atak „SQL-Injection”, a następnie opróżni całą bazę danych, aby pokazać, że znalazł błąd, nadal jest przestępcą.
Ramy prawne zostały zaprojektowane w celu ochrony „etycznych” hakerów, którzy natkną się na lukę w zabezpieczeniach, mając z góry powzięty zamiar jej zgłoszenia. Dlatego skanowanie całego pliku .be nie jest bezpiecznym zachowaniem. Poza tym za „etyczne hakowanie” nie można brać żadnego wynagrodzenia, więc jest to wolontariat! Za zgłoszenie problemu z cyberbezpieczeństwem dostaje się jedynie koszulkę.
W innych krajach UE:
Raport Europejskiej Agencji Bezpieczeństwa Cybernetycznego (ENISA) z 2022 r. na temat krajowych środków skoordynowanego ujawniania luk w zabezpieczeniach (CVD) pokazuje, że Francja, Litwa i Holandia również pracują nad przepisami CVD i wdrożyły odpowiednie wymagania. Wiele innych państw członkowskich UE opracowuje lub planuje wprowadzenie podobnej krajowej ochrony prawnej hakerów.
—----
oprac, e-red, ppr.pl