Σήμερα, πολλοί ακούμε για ethical hacking και για ανθρώπους που “χακάρουν” συστήματα για καλό σκοπό. Πρόκειται για επαγγελματίες που δοκιμάζουν την ασφάλεια ενός συστήματος ώστε να βρουν τα προβλήματα πριν τα εκμεταλλευτούν οι επιτήδειοι. Όμως, η αλήθεια είναι πως πολλές φορές η απόσταση ανάμεσα στο καλό και το κακό hacking είναι πολύ μικρή. Κι αν δεν υπάρχει αυτοσυγκράτηση ή σαφές πλαίσιο, η γραμμή αυτή μπορεί εύκολα να ξεπεραστεί.
Τι είναι το ethical hacking;
Το ethical hacking (γνωστό και ως white-hat hacking) είναι το επονομαζόμενο και ως "νόμιμο χακάρισμα". Οι εταιρείες προσλαμβάνουν ethical hackers για να εντοπίσουν αδυναμίες στην ασφάλειά τους, είτε στο δίκτυο, είτε σε εφαρμογές, είτε σε διαδικασίες, ανοιχτές πίσω πόρτες και κρυμμένες τρωτότητες. Οι hackers αυτοί λειτουργούν με άδεια και συνήθως με συμβόλαιο που ορίζει τι επιτρέπεται να κάνουν και πού.
Τι γίνεται όμως όταν κάποιος ξεπεράσει τα όρια;
Εδώ τα πράγματα περιπλέκονται. Υπάρχουν περιπτώσεις όπου ένας ethical hacker, είτε από υπερβολικό ζήλο, είτε από περιέργεια, είτε από προσωπικό συμφέρον, προχωρά πέρα από αυτά που του έχουν επιτραπεί. Εκεί ξεκινά η λεγόμενη "γκρίζα ζώνη" και ο hacker μπορεί, χωρίς να το καταλάβει, να περάσει στο λεγόμενο black-hat hacking, δηλαδή στο κακόβουλο hacking.
Case Study: Όταν ο ethical hacker έγινε κατηγορούμενος
Ένα πραγματικό περιστατικό (με τυχαία ονόματα για λόγους απορρήτου):
Ο Δημήτρης, ethical hacker με αρκετή εμπειρία, προσλήφθηκε από μια εταιρεία για να κάνει ελεγχόμενες επιθέσεις στα συστήματά της. Το scope ήταν ξεκάθαρο: να εξετάσει μόνο την ιστοσελίδα και το εσωτερικό σύστημα διαχείρισης πελατών.
Κατά τη διάρκεια των δοκιμών, εντόπισε μια παραμελημένη πόρτα που οδηγούσε σε προσωπικά δεδομένα υπαλλήλων, κάτι που δεν περιλαμβανόταν στη συμφωνία. Αντί να ενημερώσει άμεσα την εταιρεία, επέλεξε να το κρατήσει για μελλοντική χρήση «σε περίπτωση που δεν τον πλήρωναν», όπως αργότερα παραδέχτηκε.
Το θέμα ανακαλύφθηκε με έναν τρόπο και η εταιρεία κατέθεσε μήνυση. Ο Δημήτρης κατηγορήθηκε για μη εξουσιοδοτημένη πρόσβαση και εκβιασμό. Παρ' όλο που ξεκίνησε ως συνεργάτης, κατέληξε κατηγορούμενος.
Τι μαθαίνουμε από αυτό;
Το ethical hacking είναι εξαιρετικά χρήσιμο, αλλά δεν είναι παιχνίδι. Οι κανόνες πρέπει να τηρούνται αυστηρά:
- Δουλεύεις μόνο μέσα στο συμφωνημένο πλαίσιο.
- Αναφέρεις όλα τα ευρήματα υπεύθυνα.
- Δεν κρατάς δεδομένα “για σένα”.
- Δεν απειλείς, δεν παζαρεύεις.
Οποιαδήποτε απόκλιση από αυτά μπορεί να σε βάλει στον δρόμο του κυβερνοεγκλήματος, ακόμη κι αν οι προθέσεις σου ήταν καλές στην αρχή.
Τελικές σκέψεις - συμπεράσματα.
Το να είσαι ethical hacker σημαίνει ότι έχεις δύναμη στον κυβερνοχώρο. Όμως, όπως και με κάθε δύναμη, χρειάζεται και ευθύνη. Αν περάσεις τη γραμμή, ο Νόμος δεν θα σε κρίνει για τις προθέσεις σου, αλλά για τις πράξεις σου.
Γι’ αυτό, αν είσαι στον χώρο της κυβερνοασφάλειας ή σκέφτεσαι να ασχοληθείς με ethical hacking, θυμήσου:
Ο χαρακτήρας σου είναι αυτός που σε κρατάει white hat. Όχι μόνο οι γνώσεις σου.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου