Ethical Hacking

Ethical Hacking

Επιμέλεια: Κωνσταντίνος Γιαννόπουλος, Σπουδαστής Τομέα Πληροφορικής και Ηλεκτρονικών ΙΕΚ ΔΕΛΤΑ 360 Πάτρας

Τι είναι o χάκερ;

Βασιζόμενοι στην επίσημη ορολογία: «Ο χάκερ (Hacker)  ονομάζεται συνήθως το άτομο το οποίο εισβάλει σε υπολογιστικά συστήματα και πειραματίζεται με κάθε πτυχή τους. Ωστόσο παλαιότερα είχε την έννοια του εφευρέτη, αυτού που ασχολείται, έτσι ώστε να ανακαλύψει το πώς λειτουργεί ένα σύστημα και να το βελτιώσει ή να το αλλάξει τροποποιώντας το.

Η ιστορία του Ethical Hacking

Από τη δεκαετία του 1980, το Διαδίκτυο έχει αυξηθεί σημαντικά σε δημοτικότητα και η ασφάλεια των υπολογιστών έχει γίνει μια μεγάλη ανησυχία για τις επιχειρήσεις και τις κυβερνήσεις. Οι οργανισμοί θα ήθελαν να χρησιμοποιήσουν το Διαδίκτυο προς όφελός τους, χρησιμοποιώντας το, ως μέσο ηλεκτρονικού εμπορίου, διαφήμισης, διανομής πληροφοριών, καθώς και άλλων προσπαθειών. Εντούτοις, εξακολουθούν να ανησυχούν ότι μπορεί να ‘χτυπηθούν’ από Χάκερς, γεγονός που θα μπορούσε να οδηγήσει σε απώλεια ελέγχου των ιδιωτικών και προσωπικών πληροφοριών, σχετικά με την οργάνωση της επιχείρησης/οργάνωσης/κυβέρνησης και την διαρροή εξαιρετικά ευαίσθητων πληροφοριών και προσωπικών δεδομένων.

Σε μια αναζήτηση τρόπων μείωσης του φόβου και της ανησυχίας που προκαλεί η πιθανότητα μιας εισβολής, οι οργανώσεις έχουν καταλήξει στο συμπέρασμα ότι ένας αποτελεσματικός τρόπος για την αξιολόγηση και την αποτροπή τέτοιων απειλών είναι με την βοήθεια των ‘ηθικών χάκερ’. Στην περίπτωση της ασφάλειας υπολογιστών, αυτές οι ομάδες ή ηθικοί χάκερ θα χρησιμοποιούσαν τα ίδια εργαλεία και τεχνικές με τους εισβολείς, αλλά αντί να βλάψουν το σύστημα ή να κλέψουν πληροφορίες, θα αξιολογήσουν την ασφάλεια του συστήματος και θα αναφέρουν τις ευπάθειες που βρήκαν και θα δώσουν οδηγίες ως προς την μέθοδο διόρθωσης τους.

Από τις πρώτες μέρες των υπολογιστών, to ethical hacking έχει χρησιμοποιηθεί ως μέθοδος αξιολόγησης της ασφάλειας ενός συστήματος. Πολλοί από τους πρώτους ethical hackers ξεκίνησαν από τον Στρατιωτικό Οργανισμό Ηνωμένων Πολιτειών, προκειμένου να διεξαγάγουν αξιολογήσεις ασφαλείας στα λειτουργικά τους συστήματα, για να προσδιορίσουν αν θα πρέπει να χρησιμοποιούν ένα σύστημα ταξινόμησης δύο επιπέδων (μυστικό / άκρως απόρρητο). Ωστόσο, με την ανάπτυξη της πληροφορικής και της δικτύωσης στις αρχές της δεκαετίας του 1990, άρχισαν να εμφανίζονται μελέτες ευπάθειας υπολογιστών και δικτύων εκτός του στρατιωτικού οργανισμού. Τον Δεκέμβριο του 1993, δύο ερευνητές της ασφάλειας υπολογιστών, ο Dan Farmer από την Elemental Security και ο Wietse Venema από την IBM, πρότειναν ότι οι τεχνικές που χρησιμοποιούν οι χάκερ μπορούν να χρησιμοποιηθούν για να εκτιμηθεί η ασφάλεια ενός συστήματος πληροφοριών. Έγραψαν μια αναφορά που μοιραζόταν δημοσίως στο Διαδίκτυο, η οποία περιγράφει πώς ήταν σε θέση να συγκεντρώσουν αρκετές πληροφορίες για να θέσουν σε κίνδυνο την ασφάλεια πολλών και έδωσαν διάφορα παραδείγματα για το πώς αυτές οι πληροφορίες θα μπορούσαν να συγκεντρωθούν και να αξιοποιηθούν για να αποκτήσουν τον έλεγχο ενός συστήματος και πώς μια τέτοια επίθεση θα μπορούσε να αποφευχθεί.

Τι είναι το ‘Ethical Hacking’;

Το ethical hacking - που ονομάζεται μερικές φορές ως δοκιμή διείσδυσης -  είναι μια πράξη διείσδυσης σε ένα ψηφιακό σύστημα ή σε δίκτυα για να εντοπιστούν απειλές ή ευάλωτα σημεία σε εκείνα τα συστήματα, τα οποία ένας κακόβουλος επιτιθέμενος μπορεί να βρει και να εκμεταλλευτεί προκαλώντας απώλεια δεδομένων, οικονομικές απώλειες ή άλλες σημαντικές ζημίες. Ο σκοπός του ethical hacking είναι να βελτιώσει την ασφάλεια του δικτύου ή των συστημάτων, καθορίζοντας τις ευπάθειες που διαπιστώθηκαν κατά τη διάρκεια των δοκιμών. Οι ‘ηθικοί’ χάκερ μπορούν να χρησιμοποιούν τις ίδιες μεθόδους και εργαλεία που χρησιμοποιούν οι κακόβουλοι χάκερ αλλά με την άδεια του εξουσιοδοτημένου προσώπου για τη βελτίωση της ασφάλειας και την υπεράσπιση των συστημάτων από επιθέσεις από κακόβουλους χρήστες. Οι ηθικοί χάκερ αναμένεται να αναφέρουν στην εκάστοτε επιχείρηση  με την οποία συνεργάζεται, όλες τις ευπάθειες και τις αδυναμίες που διαπιστώθηκαν κατά τη διάρκεια της διαδικασίας.

Ποιος θεωρείται ‘ethical hacker’;

Ένας ethical hacker αλλιώς γνωστός ως “white hat hacker” είναι ένας εξειδικευμένος επαγγελματίας που διαθέτει άριστες τεχνικές γνώσεις και δεξιότητες και ξέρει πώς να εντοπίζει και να εκμεταλλεύεται τις ευπάθειες στα συστήματα/στόχους. Εργάζεται με την άδεια των ιδιοκτητών των συστημάτων για την ερεύνηση θεμάτων ασφαλείας και την επιδιόρθωση τους. Ένας ηθικός χάκερ πρέπει να συμμορφώνεται με τους κανόνες του οργανισμού που στοχεύει να ερευνήσει ή του ιδιοκτήτη και τους νόμους της χώρας που επιβιώνει και ο σκοπός του είναι να εκτιμήσει την κατάσταση ασφαλείας ενός οργανισμού / συστήματος. Στην συνέχεια θα γράψει αναλυτικά τα προβλήματα τα οποία εμφανίστηκαν ως ένα ‘report’ στην εταιρία και αφού πάρει έγκριση θα προχωρήσει στην επιδιόρθωση των προβλημάτων.

Ικανότητες ενός ‘ethical hacker’

Ένας “ηθικός χάκερ” απαιτείται να διαθέτει μια τεράστια γκάμα δεξιοτήτων στον κλάδο πληροφορικής. Δεν είναι εφικτό για κάθε ηθικό χάκερ να είναι ένας εμπειρογνώμονας σε κάθε πεδίο και έτσι δημιουργούνται ομάδες ethical hacker όπου τα μέλη των οποίων έχουν συμπληρωματικές δεξιότητες για να αποτελούν μια οργάνωση που διαθέτει το πλήρες σύνολο που απαιτείται για έναν ethical hacker.

Οι οργανισμοί μπορεί να έχουν μια μεγάλη ποικιλία συστημάτων πληροφορικής και είναι απαραίτητο για κάθε ηθικό χάκερ να έχει πείρα σε λειτουργικά συστήματα, καθώς και πλατφόρμες υλικού δικτύου. Είναι επίσης θεμελιώδους σημασίας το γεγονός ότι ένας ηθικός χάκερ κατέχει μια σταθερή βάση των αρχών της ασφάλειας των πληροφοριών, ενώ απαιτείται άριστη γνώση σε γλώσσες προγραμματισμού όπως (C,C++) και scripting όπως (Perl,Ruby,PHP κ.α.), άριστες γνώσεις στις βάσεις δεδομένων (SQL) αλλά και στην χρήση συστημάτων Linux καθώς τα περισσότερα εργαλεία του κλάδου είναι γραμμένα εκεί.

[1] https://www.wikiwand.com/el/Χάκερ

[2] http://wiki.cas.mcmaster.ca/index.php/Ethical_Hacking

[3] https://www.greycampus.com/opencampus/ethical-hacking/what-is-ethical-hacking

[4] http://wiki.cas.mcmaster.ca/index.php/Ethical_Hacking