Nusikaltimų elektroninėje erdvėje skaičiai ir mastai sparčiai auga – skaičiuojama, kad jie pasaulio ekonomikai kainuoja 5,5 trln. eurų per metus. Apsaugoti verslus ir institucijas nuo virtualių grėsmių tampa itin svarbu, tačiau mažai kas žino, kas ir kaip tai atlieka. Vieni iš nematomų virtualios erdvės sargų yra vadinamieji etiškieji įsilaužėliai – saugumo specialistai, spragų ieškantys ir įsilaužimus atliekantys legaliai.
„Daugeliui žmonių žodis „hakeris“ asocijuojasi su įsilaužėliais nusikaltėliais. Tačiau etiškieji įsilaužėliai tokie nėra, atvirkščiai – tai labai svarbi ir paklausi specialybė. Tiesa, realybėje tokį darbą profesionaliai atlikti gali toli gražu ne kiekvienas“, – sako Giedrius Saulėnas, „Baltic Amadeus“ įsilaužimo spragų ieškotojas, arba kitaip etiškasis įsilaužėlis.
Pradėjo nuo telefonų, tęsė su kompiuteriais
Nustebsite, bet įsilaužėliai egzistavo dar prieš atsirandant asmeniniams kompiuteriams bei internetui. Tik vadinti jie ne „hakeriais“, o „phreak’ais“ ar „phreak’eriais“ – nuo žodžių „phone“ („telefonas“) ir „freak“ („išdaiga“). Šie žmonės ieškojo silpnybių laidinio telefono tinkluose, dažniausiai būdų nemokamai skambinti, ir jas išnaudojo. Ėmus plisti kompiuteriams ir internetui, spragų paieška persikėlė į virtualiąją erdvę, o „phreak’eriai“ virto hakeriais (nuo žodžio „hack“ – „įsilaužti“). Įžvelgta ir tokios veiklos pavojų, o vienu pirmųjų etiškų įsilaužėlių „užsakymų“ istorijoje laikomas 1974-aisiais JAV Karinių oro pajėgų atliktas anuomet naudotos „Multics“ operacinės sistemos saugumo patikrinimas.
„Hakerius“ skirsto pagal kepures
Šiandien įsilaužėliai skirstomi į tris pagrindines grupes, priklausomai nuo jų veiklos ir siekių:
-
juodakepuriai (angl. black-hat hacker) – piktavaliai įsilaužėliai, nusamdyti arba dirbantys sau;
-
baltakepuriai (angl. white-hat hacker) – etiškieji „hakeriai“, dirbantys IT įmonėse ar priimantys individualius užsakymus, už kuriuos sumokama;
-
pilkakepuriai
„Etiškieji hakeriai išsiskiria tuo, kad savo užduotis vykdo legaliai. Nors darbo metodai nesiskiria nuo piktavalių, jų tikslai yra visai kitokie – rasti spragas, pažeidžiamas vietas ar būdus, kaip piktų kėslų turintys asmenys galėtų patekti į sistemas ar tinklus, sutrikdyti jų veiklą ar pasiekti konfidencialią informaciją“, – paaiškina G. Saulėnas.
Apie atrastus pažeidžiamumus tiesiogiai pranešama sistemų arba tinklų savininkui. Dažnai pateikiama ir rekomendacijų, kaip aptiktas spragas galima ištaisyti.
Įsilaužėlis šiandien – itin paklausi profesija
Skaičiuojama, kad vidutinis atlyginimas, kurį gali uždirbti etiškasis įsilaužėlis, yra 70 tūkst. eurų per metus. Dažnai jis būna dar didesnis. Lyginant su programinės įrangos kūrimo inžinieriais, etiškieji įsilaužėliai vidutiniškai uždirba 2,7 karto daugiau.
Etiškieji įsilaužėliai padeda ir privačioms kompanijoms, ir valstybės valdomoms įmonėms. Užsakovai dažnai skiria ir papildomus priedus už spragų atradimą. Be to, etiškieji įsilaužėliai gali papildomai užsidirbti ieškodami pažeidžiamumų tų įmonių sistemose ir produktuose, kurios yra paskelbusios viešą spragų atskleidimo programą (angl. Responsible Disclosure Program).
„Aptikti aukšto kritinio lygio spragą svarbioje sistemoje nėra lengva, tačiau tokiu atveju ta viena spraga gali atnešti dešimtis tūkstančių eurų. Didžiosios tarptautinės kompanijos yra ypač dosnios – pavyzdžiui, „Apple“ už aukšto kritiškumo spragą, susijusią su jų produkto branduoliu, yra pasiruošusi pakloti milijoną dolerių“, – sako G. Saulėnas.
Jis priduria, kad viešą spragų atskleidimo programą skelbiančių organizacijų saugumo branda turi būti didelė. Apskritai, saugumas turi tapti jų veiklos dalimi, apie kurią galvojama viso programinės įrangos kūrimo metu, jau nuo planavimo fazės. Taip pat, prieš skelbiant minėtą programą, įprastai įmonę patikrina jos vidiniai ar nusamdyti baltakepuriai.
Svarbios ne tik žinios
Nors šios specialybės atstovams atlyginama itin dosniai, jų kasdienybėje pasitaiko ir ne tokių pozityvių atvejų. Tiek pasaulyje, tiek Lietuvoje yra ne viena garsi istorija, kai IT specialistai bandydami atskleisti sistemų spragas susidūrė su teisėsaugos institucijomis.
„Jei asmuo ieško sistemoje spragų ir jas radęs praneša atsakingiems specialistams, tačiau neturi rašytinio leidimo užsiimti tokia veikla, tai dažniausiai bus laikoma neteisėtu įsilaužimu. Svarbu suprasti, kad etiškieji įsilaužėliai turi sistemų savininkų leidimą vykdyti tokią veiklą“, – pabrėžia G. Saulėnas.
Pasak specialisto, norint tapti profesionaliu etiškuoju įsilaužėliu, kelias nėra trumpas, užtrunka daug laiko, be to, tam reikalingas ir didelis IT žinių bagažas. Tačiau žinios – dar ne viskas.
„Didžiausios spragos atrandamos tik mąstant neįprastai, kūrybiškai. Svarbu ir komandinio darbo gebėjimai. Skirtingi etiškieji nusikaltėliai gali identifikuoti skirtingas spragas, todėl atliekant kokybišką saugumo vertinimą būtina mokėti dirbti su žmonėmis“, – pasakoja G. Saulėnas.