Kim jest człowiek, który potrafi złamać system, ale robi to… w imię bezpieczeństwa? Krzysztof Trąbiński, ekspert WSIiZ, wyjaśnia jak wygląda praca po „jasnej stronie mocy” cyberświata. Opowiada o cienkiej granicy między legalnym testowaniem a przestępstwem, o tym, dlaczego firmy zatrudniają byłych hakerów oraz jak sztuczna inteligencja zmienia reguły gry w cyberbezpieczeństwie. Jeśli myślisz, że haker to zawsze przestępca, ten wywiad może Cię zaskoczyć.

Jak zostaje się legalnym cyberprzestępcą?

Krzysztof Trąbiński: Można śmiało porównać etycznego hakera (hakera w białym kapeluszu) właśnie z „legalnym cyberprzestepcą”, ponieważ  to osoba, która  po pierwsze, posiada takie same umiejętności jak „haker w czarnym kapeluszu”,  a po drugie, zamiast łamać prawo, wykorzystuje swoją wiedzę do testowania i wzmacniania zabezpieczeń systemów operacyjnych oraz sieci teleinformatycznych. Mówiąc wprost, to osoba, która dostaje  pełne pozwolenie na wyszukiwanie luk w systemach, aby można było je naprawić, zanim zrobi to ktoś o naprawdę złych zamiarach (haker w czarnym kapeluszu).

Aby rozpocząć swoją przygodę  w świecie pentestingu i zostać etycznym hakerem, w pierwszej kolejności należy skupić się na zdobyciu solidnej wiedzy z zakresu informatyki oraz cyberbezpieczeństwa. Można to osiągnąć na wiele sposobów, np. poprzez studia, kursy online a także zdobywać doświadczenie praktyczne na platformach edukacyjnych takich, jak: TryHackMe, czy Hack The Box. Oferują one bezpieczne, legalne środowiska do praktykowania i rozwijania swoich umiejętności, a dodatkowo zapewniają świetną zabawę .

Należy jednak pamiętać, że najważniejsze jest zrozumienie, jak działają systemy i sieci komputerowe, poznać i zrozumieć modele sieciowe TCP/IP oraz ISO/OSI, a także jakie techniki są używane do ich atakowania i obrony. 

Jaka jest granica między testowaniem systemów a naruszaniem prawa?

K. T.: Każdy etyczny haker, który przeprowadza testy penetracyjne, przestrzegać  kodeksu etycznego. Kodeks ten to zbiór zasad, które dotyczą  przede wszystkim ochrony prywatnych, poufnych informacji o znaczeniu krytycznym. Bardzo ważne  jest przestrzeganie etyki w tej branży, aby chronić siebie i wszystkich innych w organizacji lub firmie, w której przeprowadzany jest pentesting. 

Każdy pentester musi również  mieć na uwadze to, że przeprowadzanie różnego rodzaju testów penetracyjnych na systemach operacyjnych, bądź też sieciach teleinformatycznych, pomimo tego, że pełnią kluczową rolę w zapewnianiu cyberbezpieczeństwa, podlegają szeregowi regulacji prawnych. Wynika to z faktu, że testy te z natury wiążą się z próbami nieautoryzowanego dostępu do systemów informatycznych, co w normalnych okolicznościach stanowiłoby przestępstwo. W Polsce brak jest jednej ustawy regulującej kwestie testów penetracyjnych.

W tym zakresie, mamy do czynienia z wieloma przepisami z różnych aktów prawnych, które należy uwzględnić przy planowaniu i przeprowadzaniu pentestów. Istnieje jednak pewna wyraźna granica, której przekroczyć nie wolno. Jest ona bardzo wyraźna i opiera się na jednej, podstawowej zasadzie: pisemnej zgodzie właściciela systemu lub infrastruktury sieciowej. 

Gdy nie posiadamy takiej zgody, wówczas każde działanie, które mogłoby zostać zinterpretowane jako próba nieautoryzowanego dostępu, uszkodzenia lub zakłócenia działania systemu teleinformatycznego, jest nielegalne i podlega karze.

Legalne testy bezpieczeństwa, czyli testy penetracyjne, zawsze rozpoczynają się od szczegółowej umowy z klientem (właścicielem systemu, firmy, organizacji). Taka umowa precyzuje, co dokładnie może być testowane (np. adresy IP, aplikacje, systemy operacyjne, infrastruktura sieciowa), jakie metody i narzędzia można zastosować oraz w jakim czasie. Etyczny haker ma obowiązek działać w taki sposób, aby nie spowodować trwałych szkód w systemie, a także nie ujawniać znalezionych luk bez zgody klienta.

Krzysztof Trąbiński
Krzysztof Trąbiński – administrator sieci teleinformatycznych oraz systemów operacyjnych. Posiada duże doświadczenie oraz wiedzę z zakresu technologii sieciowych Cisco na poziomie CCNA, CCNP oraz cybersecurity.

Czy były cyberprzestępca może liczyć na legalną pracę? 

K. T.: Tak, były cyberprzestępca, czyli „haker w czarnym kapeluszu”, może podjąć legalną pracę, ale musi się odciąć od przeszłości i udowodnić, że jest godny zaufania. Wiele firm, które reprezentują praktycznie wszystkie dostępne obecnie branże, bardzo często korzystają z usług byłych złośliwych aktorów, ponieważ posiadają oni zaawansowane umiejętności techniczne.

Znajomość technik penetracji, inżynierii odwrotnej, czy analizy złośliwego oprogramowania, to kompetencje, za które firmy są w stanie zapłacić bardzo duże pieniądze. Możemy znaleźć w sieci informację o wielu znanych hakerach, którzy w przeszłości naruszali prawo, a dziś pracują  lub pracowali w legalnych zawodach. Najbardziej znanym przykładem hakera, który po wyjściu z więzienia został globalnym konsultantem ds. cyberbezpieczeństwa, jest Kevin Mitnick. 

Mitnick założył własną firmę Mitnick Security Consulting, LLC i w sposób legalny, z odpowiednimi umowami oraz klauzulami NDA, przeprowadzał testy penetracyjne, testy socjotechniczne, analizy incydentów i audyty podatności. Do dziś, Mitnick to coś więcej, niż tylko nazwisko. Jego przypadek udowadnia, że branża ceni wiedzę i doświadczenie, niezależnie od przeszłości, pod warunkiem, że dana osoba zrezygnowała z nielegalnych działań.

W jakich branżach (np. medycyna, bankowość, administracja) rola hakerów etycznych jest obecnie najbardziej potrzebna?

K. T.: Rola etycznych hakerów jest najbardziej widoczna w tych branżach, które przetwarzają wysoce  wrażliwe dane, odpowiadają za zarządzanie infrastrukturą krytyczną lub mają do czynienia z bardzo dużymi transakcjami finansowymi.  Sektory, które są najbardziej narażone na cyberataki, to przede wszystkim: bankowość i finanse, ponieważ różnego rodzaju dane finansowe i transakcje są obecnie bardzo cennym i „łakomym kąskiem” dla złośliwych hakerów. Ataki na ten sektor mogą również prowadzić do kradzieży tożsamości, bardzo dotkliwych strat finansowych oraz utraty zaufania ze strony klientów. Etyczni hakerzy w tym przypadku pomagają w zabezpieczaniu platform bankowości internetowej, systemów płatności elektronicznej i danych osobowych klientów. 

Drugi sektor, to branża medyczna, która zwłaszcza po pandemii, stała się bardziej narażona na ataki typu ransomware. Cyberprzestępcy szyfrują dane pacjentów, wykorzystując do tego celu bardzo zaawansowane algorytmy, a następnie żądają wysokiego okupu. Tutaj etyczni hakerzy są niezbędni do zabezpieczania kartotek medycznych, baz danych pacjentów, specjalistycznych systemów oraz  sprzętu medycznego. 

Bardzo często celem hakerów staję się również sektor energetyczny oraz infrastruktura krytyczna. Ataki na elektrownie, systemy wodociągowe czy sieci transportowe mogą mieć katastrofalne skutki dla całego państwa. W tym przypadku rolą etycznych hakerów jest  przetestowanie  systemów kontrolnych i operacyjnych, aby upewnić się, że są one odporne na próby przejęcia kontroli lub sabotażu. 

Warto również  pochylić się tutaj nad administracją publiczną i rządową, ponieważ te instytucje przechowują ogromne ilości wrażliwych danych wszystkich obywateli oraz zarządzają infrastrukturą krytyczną państwa. Ataki na ten sektor mogą mieć na celu szpiegostwo, destabilizację lub paraliżowanie usług publicznych, dlatego testowanie bezpieczeństwa w tym przypadku jest tu niezwykle istotne.

Portrait of agitated cybersecurity team working in emergency mode with critical error message on computer screen

Jak wygląda współpraca hakera etycznego z zespołem IT i/lub działem prawnym w firmie? 

K. T.: Współpraca etycznego hakera z zespołem IT i działem prawnym jest kluczowa i zawsze musi opierać się na jasnych, formalnych zasadach. Ten cały  proces, obejmuje kilka etapów: od planowania, przez realizację testów, aż po raportowanie i wdrażanie poprawek.

Etyczny haker i zespół IT w danej firmie lub organizacji, muszą tworzyć naprawdę zgrany duet, którego celem w pierwszej kolejności jest planowanie i zakres testów, czyli które systemy, aplikacje i sieci zostaną poddane analizie. Etyczny Haker musi mieć pewność, co może, a czego nie może testować, jaki dokładnie  obszar ma znaleźć się w granicach jego działania, pracować dyskretnie i w sposób taki, aby nie zakłócić pracy firmy lub organizacji. I tutaj dużą rolę odgrywa właśnie dział IT, który dostarcza pentesterowi niezbędne informacje o architekturze sieci, używanych technologiach i potencjalnych słabych punktach. 

W czasie przeprowadzania testów penetracyjnych, pentester symuluje różne ataki, takie jak iniekcje SQL, ataki phishingowe, czy próby przejęcia kontroli nad serwerami (eskalacja uprawnień). Wszystkie te działania są dokładnie monitorowane, a zespół IT jest często informowany o postępach, aby mógł zauważyć nietypowe zachowania w systemach. 

Po ukończeniu testowania systemu, etyczny haker przygotowuje szczegółowy raport. Opisuje w nim znalezione luki, ich potencjalny wpływ na bezpieczeństwo firmy oraz, co najważniejsze, daje gotowe  rekomendacje dotyczące ich usunięcia. Zespół IT bierze na siebie odpowiedzialność za implementację tych zaleceń, a haker może później przeprowadzić re-testy, aby upewnić się, że luki zostały skutecznie załatane.

Jeżeli chodzi o rolę  działu prawnego w tej współpracy, to ma ona  głównie charakter nadzorczy i formalny. Dział prawny zapewnia, że wszystkie działania odbywają się w ramach obowiązujących przepisów prawnych. Sporządza i weryfikuje umowę, która precyzyjnie określa zasady współpracy.

Dokument ten jest kluczowy dla obu stron, ponieważ  chroni zarówno firmę, jak i hakera etycznego, dając mu jasne uprawnienia do prowadzenia testów i jednocześnie ograniczając jego za przypadkowe uszkodzenia, o ile przestrzega zapisów zawartych w umowie.

Następnie prawnicy zobowiązani są do sprawdzenia, czy planowane testy są zgodne z lokalnymi i międzynarodowymi przepisami dotyczącymi cyberbezpieczeństwa i ochrony danych, takimi jak znane nam wszystkim RODO. Jest to szczególnie ważne, gdy testy dotyczą systemów przetwarzających dane osobowe klientów. Kolejnym bardzo ważnym aspektem, którym zajmuje się dział prawny, są to klauzule poufności NDA (ang. non-disclosure agreement), które zobowiązują etycznego hakera do zachowania w tajemnicy wszystkich informacji uzyskanych podczas testów. To kluczowy element, który buduje zaufanie i zapewnia, że wrażliwe dane nie wyciekną na zewnątrz.

Cyber security threat. Young woman using computer and coding. Internet and network security. Stealing private information. Person using technology to steal password and private data. Cyber attack crime

Czy zarząd firmy jest informowany o planowanym ataku? 

K. T.: Oczywiście zarząd firmy jest zawsze informowany o planowanym przeprowadzeniu testów penetracyjnych. Jak już wcześniej wspominałem, przed każdym takim działaniem przygotowywane są odpowiednie dokumenty prawne, umowa oraz klauzule poufności NDA. Etyczny haker zawsze przestrzega zasad kodeksu etycznego oraz zapisów w umowie zawartej z firmą, dla której przeprowadza określone działania z zakresu testów penetracyjnych. Przeprowadzenie takiego testu bez wiedzy zarządu i formalnej zgody byłoby nielegalne. Haker etyczny musi mieć pisemne upoważnienie do penetracji systemów, dzięki temu jego działania nie zostaną uznane za przestępstwo, a on sam ma ochronę prawną.

Poza tym zarząd, jako organ nadzorujący, musi być świadomy wszelkich działań, które mogą wpływać na stabilność i bezpieczeństwo firmy. Nawet symulowany atak, jeśli zostanie źle przeprowadzony, może zakłócić pracę systemów i spowodować straty finansowe. Wiedza zarządu o planowanym ataku zapewnia, że wszystkie działy (IT, prawny) są w pełni świadome i mogą wspólnie koordynować działania. Dzięki temu, w przypadku incydentu, wiadomo, że jest to kontrolowany test, a nie faktyczny atak.

 Jak wygląda legalny cyberatak? 

K. T.: Legalny cyberatak, czyli innymi słowy test penetracyjny (penetest), to proces przeprowadzany przez hakera etycznego na zlecenie i za zgodą właściciela systemu informatycznego. Jego celem jest znalezienie i wyeliminowanie luk w zabezpieczeniach, zanim wykorzysta je ktoś o złych intencjach. Cały proces testu penetracyjnego jest ściśle kontrolowany i formalnie udokumentowany. Każdy pentest ma pewne procedury, które należy bezwzględnieprzestrzegać, i składa się z kilku bardzo ważnych faz. 

Pierwszą, bardzo istotną fazą testu penetracyjnego, jest ustalenie formalnej umowy pomiędzy etycznym hakerem a firmą. Dokument ten jest kluczowy dla legalności całego procesu oraz precyzyjnie określa zakres testów.

Kolejnym etapem jest faza rekonesansu. W tym obszarze pentester zbiera informacje o celu ataku. Działa tak, jak złośliwy intruz, szukając publicznie dostępnych danych o firmie, jej pracownikach, adresach IP serwerów, czy używanych technologiach. Może to obejmować analizę mediów społecznościowych, stron internetowych i innych ogólnodostępnych źródeł, biały wywiad, OSINT (Open Source Intelligence).

Po zebraniu jak największej ilości danych rozpoczyna się skanowanie i analiza podatności testowanych zasobów. Etyczny haker używa specjalistycznych narzędzi do skanowania systemu w poszukiwaniu luk w zabezpieczeniach, otwartych portów, błędów w konfiguracji i innych słabych punktów. Celem jest stworzenie „mapy” potencjalnych wektorów ataku.

Gdy zostanie znaleziony słaby punkt test penetracyjny wchodzi w fazę eksploatacji. Jest to właściwa faza ataku, podczas której etyczny haker próbuje wykorzystać znalezione luki, aby uzyskać nieautoryzowany dostęp do systemu. Działa w sposób kontrolowany, aby nie uszkodzić ani nie zakłócić pracy systemów. Może na przykład spróbować uzyskać dostęp do bazy danych poprzez atak typu SQL Injection.

W fazie końcowej testów penetracyjnych, haker przygotowuje szczegółowy raport, który powinien zawierać: wykryte luki, opis w jaki sposób zostały one wykorzystane, ich potencjalny wpływ na bezpieczeństwo w danej organizacji oraz przede wszystkim konkretne rekomendacje dotyczące usunięcia wykrytych podatności  i wzmocnienia zabezpieczeń.

Taki szczegółowy raport trafia w ręce działu IT, który jest odpowiedzialny za wdrożenie wszystkich  wymaganych poprawek. Oczywiście zalecane jest, aby zostały przeprowadzone dodatkowe testy, które potwierdzą, czy luki zostały skutecznie załatane i system jest bezpieczny.

Stock Market Trader Working Investment Charts, Graphs, Ticker, Diagrams. Financial Analyst and Digital Business man Selling Shorts and Buying Longs. Busy corporate office traders stock broker. Quality

Czy sztuczna inteligencja zmienia sposób pracy zarówno hakerów etycznych, jak i przestępców?

K. T.: Tak, mogę zdecydowanie potwierdzić, że w obecnych czasach sztuczna inteligencja (AI) fundamentalnie zmienia sposób pracy zarówno hakerów etycznych, jak i cyberprzestępców, stając się kluczowym narzędziem zarówno ataku, jak i obrony. Może w pierwszej kolejności skupie się na implementowaniu sztucznej inteligencji przez złośliwych aktorów. Cyberprzestępcy coraz częściej  wykorzystują AI, aby ich ataki były bardziej wyrafinowane, skuteczne i trudniejsze do wykrycia, za pomocą tradycyjnych metod.

Dla przykładu, zwróćmy uwagę na zautomatyzowany rekonesans w sieci, który dzięki wykorzystaniu sztucznej inteligencji pozwala na szybkie i efektywne skanowanie systemów w poszukiwaniu luk w zabezpieczeniach. Zamiast manualnie szukać słabych punktów, przestępca może użyć algorytmów do automatycznego znajdowania błędów w kodzie, otwartych portów, czy błędów konfiguracji.

Dalej przyjrzyjmy się atakom socjotechnicznym, czyli inżynierii społecznej. Ataki socjotechniczne są wykorzystywane przez hakerów na wysoką skalę, ponieważ są realizowane poprzez interakcję z człowiekiem, wykorzystując jego skłonność do bycia uprzejmym, pomocnym i ciekawskim, a następnie oszukując go.  Narzędzia AI są bardzo przydatne w tym rodzaju ataku, gdyż  mogą generować niezwykle przekonujące i spersonalizowane wiadomości phishingowe w wielu językach, które są wolne od błędów gramatycznych i stylistycznych. Ponadto tworzą również „deepfake” zarówno wideo jak i audio, które pozwalają na wiarygodne podszywanie się pod osoby zaufane.

Kolejnym przykładem, który przytoczę, jest tworzenie złośliwego oprogramowania (tzw. „Payload”), bo złośliwi aktorzy bardzo często wykorzystują AI do tworzenia  malwarea, który zmienia swó kod w celu uniknięcia wykrycia przez tradycyjne oprogramowanie antywirusowe.

Jak sztuczna inteligencja jest implementowana w pracy etycznego hakera?

K. T.: W tym przypadku hakerzy etyczni, będący w pierwszej linii obrony, również wykorzystują AI. Używają jej do przewidywania, wykrywania i reagowania na ataki, co stanowi swego rodzaju „wyścig zbrojeń” między atakiem a obroną. Technologie związane z AI bardzo często są wykorzystywane do celów analitycznych, ponieważ mogą analizować ogromne ilości danych z przeprowadzonych cyberataków, aby przewidywać potencjalne zagrożenia i luki, zanim dojdzie do incydentu. Dzięki temu  zespoły reagowania na incydenty (IRT ang. Incident  Response Team) mogą wzmacniać swoje systemy. 

AI jest niezwykle skuteczna w wykrywaniu nietypowych zachowań w sieci (różnego rodzaju anomalii), które mogą świadczyć o trwającym lub przeprowadzonym ataku. Systemy oparte na AI monitorują ruch sieciowy i identyfikują odstępstwa od normy, takie jak nietypowe próby dostępu do danych, czy skanowanie portów, na które tradycyjne systemy mogłyby nie zareagować. 

Głównym celem użycia narzędzi AI przez etycznych hakerów jest automatyzacja obrony, czyli blokowanie złośliwego ruchu, izolowanie zainfekowanych systemów, czy analiza złośliwego oprogramowania. Pozwala to na natychmiastowe reagowanie na zagrożenia, skracając czas reakcji z godzin do sekund. Etyczny haker może używać AI, aby szybciej i efektywniej przeprowadzać testy penetracyjne, np. automatycznie szukając i testując luki. 

Z Kamilem Dembowskim  rozmawiała Joanna Gościńska z Biura Prasowego i PR WSIiZ

Tekst powstał w ramach cyklu edukacyjno-informacyjnego „CyberPaździernik we WSIiZ”.