Jak zlepšit bezpečnost? Tři způsoby, jak se naučíte myslet jako hacker
Hackování je špatné – tento názor stále mezi většinou lidí převládá. A mnoho médií tuto představu posiluje. Ve skutečnosti tomu tak ale není. Hackování samo o sobě špatné není a lidé, kteří ho ovládají, nejsou vždy zločinci. V tom se podobá otevírání zámků – schopnost sama o sobě není škodlivá, v rukou zámečníka nebo hasiče zachraňujícího lidi ze zamčeného hořícího bytu je naopak pozitivní. Až v rukou zločince může vést ke krádežím. Hackování lze využít pozitivně a konstruktivně.
Hackování je totiž pouze nástrojem, dovedností, kterou lze využít také eticky. A každý den to stovky lidí po celém světě dělají. Pomocí hackování odhalují bezpečnostní díry a zranitelnosti programů, pečlivě je dokumentují a oznamují vývojářům postižených aplikací. Pomáhají posouvat svět kyberbezpečnosti dál. Téměř každá univerzita na světě má tým specialistů, kteří se těmito věcmi zabývají.
Pro zlepšení zabezpečení svých serverů můžete hackování využít i vy. Tím, že se vžijete do pozice útočníka, začnete přemýšlet o své infrastruktuře a datech trochu jinak. Kde jsou zranitelná místa, kudy je možné dostat se za běžné ochranné valy? Pokud nějaké díry ve svých systémech takto odhalíte, můžete se proti nim lépe bránit. Možná se taky dozvíte o procesech, o kterých jste ani nevěděli, že vás mohou ohrozit.
Jak se ale do způsobu myšlení hackerů nejlépe dostat? Ukážu vám tři způsoby, kterými se naučíte základní dovednosti, procvičíte si je a dovedete k dokonalosti.
1) Wargames. Zahrajte si na hackera se skutečnými servery
K hackování potřebujete určitou sadu dovedností. Musíte vědět, jak fungují programy, procesory, sítě, oprávnění a další záležitosti, pravděpodobně se vám budou hodit i znalosti několika programovacích jazyků. Takový přehled je ale dnes snadné získat na internetu.
S nejčastějšími typy útoků a exploitů se také můžete seznámit po síti. Většina z nich je dobře zdokumentovaná. Využít k tomu můžete třeba známou databázi OWASP (Open Web Application Security Project). Na tu řada bezpečnostních expertů nedá dopustit, určitě si ji tedy někdy alespoň rychle pročtěte.
Když už ale máte v hlavě teorii, kde si hackerské kousky bezpečně a bez porušování zákona procvičíte?
Pomocí takzvaných wargames, což do češtiny můžeme přeložit jako „válečné hry“. Wargames spočívají v sadách hackerských úkolů, které jsou umístěné na skutečných serverech konkrétní komunity. Mezi nejznámější patří Over The Wire, Hack This Site, Smash The Stack a We Chall. Posledně zmiňovaná jednotlivé wargames sdružuje, takže na We Chall najdete odkazy na velké množství dalších her.
Ve wargames hackujete pomocí skutečných nástrojů a postupů, které by mohli využít skuteční útočníci. Jelikož servery jsou přímo k jejich procvičování určené, učit se přemýšlet jako hacker můžete v bezpečném a legálním prostředí.
Úkolem bývá většinou získání přístupového hesla do další úrovně nebo nějaké jiné citlivé (a chráněné) informace.
Jednotlivé výzvy jsou odstupňované podle obtížnosti – a tak zatímco na první stačí jen umět navázat spojení se serverem přes SSHSSHSSH (Secure Shell) je protokol pro šifrovanou komunikaci v počítačové síti.více a otevřít textový soubor, v pozdějších úrovních už je potřeba umět se aktivně dívat po možných dírách v zabezpečení nebo přímo chybách v kódu a překonávat základní bezpečnostní prvky.
Wargames jsou výborným vstupem do světa internetové bezpečnosti i pro ty, kteří zatím příliš mnoho zkušeností nemají – snazší úrovně je možné dokončit často bez znalosti programovacích jazyků.
2) Chcete volnost? Tyto webové aplikace vás za ruku nepovedou
Pokud vás na wargames odrazuje výuková struktura na úrovně, můžete vyzkoušet i volnější způsob. Na internetu je k dispozici několik dalších způsobů, jak si vyzkoušet hackování bez jakékoliv nápovědy. Procvičíte si tak realitu hledání chyb bez toho, aby vás někdo k jejich odhalení směřoval.
Tento postup umožňuje například Damn Vulnerable Web Application (DVWA), do češtiny přeložitelná jako „Zatraceně zranitelná webová aplikace“. Stáhnete si balík s webovou aplikací a po rychlém nastavení můžete sami začít pátrat po dírách v bezpečnosti.
Podobnou službu poskytuje dokonce i Google. Můžete se zkusit nabourat do jeho aplikace nazvané příhodně Gruyere – je totiž děrami prošpikovaná stejně jako slavný sýr.
3) Nejlepší motivací je touha vyhrát. Hromadu peněz
Všechny náročné lekce wargames zvládáte s přehledem? Hackování je pro vás hračkou? Gratuluji, právě jste se dostali k vytyčenému cíli – umíte přemýšlet jako hacker.
Co s nově nabytými znalostmi?
Předně je využijte pro sebe nebo svou firmu. Svou infrastrukturu a data si můžete zabezpečit mnohem lépe, když víte, jaké konkrétní útoky vám hrozí. Zkuste si třeba podniknout na svůj server útok sami, ať víte, kde máte v obraně ještě mezery.
Další a možná lukrativnější možností, jak nové dovednosti využít, je zúčastnit se některé z hackerských soutěží. Konají se pravidelně po celém světě a staví hackery proti různorodým výzvám, při jejichž řešení se pořádně zapotíte.
Pravidelně se konají třeba soutěže Facebook Hacker Cup nebo Pwn2Own. Kromě uznání a dobrého pocitu si můžete z takové soutěže odnést také značnou sumu peněz.
Z letošního Pwn2Own si například jihokorejský hacker Jung Hoon Lee odnesl 225 tisíc dolarů, tedy přes pět a půl milionů korun, a mezi ostatní úspěšné hackery organizátoři rozdělili dalších 332 tisíc dolarů.
Firmám zajišťujícím financování takových soutěží se to bezesporu vyplácí. Kdyby chyby odhalili (a posléze zneužili) skuteční útočníci a ne legitimní hackeři, jejich ztráty peněz a důvěry zákazníků by byly mnohonásobně vyšší.
Také proto řada velkých i malých firem po celém světě nabízí takzvané bug bounties, což jsou odměny za odhalení chyb a prolomení systémů. Vyplácí je i giganti jako Google a Microsoft. Někteří odborníci na bezpečnost se lovením chyb v cizích systémech za odměnu úspěšně živí. Pokud si myslíte, že na to máte taky, můžete se podívat na seznam firem, které takové programy nabízejí na serveru Bugcrowd.
A co vaše zkušenosti?
Jaké máte zkušenosti s hackováním? Odhalujete pomocí něj chyby? Trénovali jste někdy pomocí wargames? A troufli jste si někdy přihlásit se do soutěže hackerů? Podělte se o své zkušenosti a názory, napište komentář.