Hackeři v bílých kloboucích aneb etický hacking

Když nejde o páchání škod

Obecně řečeno se za etický hacking, v anglickém slangu nazývaný white hat (bílý klobouk), považuje taková činnost, která vede k odhalení zranitelností nějakého počítačového systému či aplikace. To platí ostatně o hackingu jako takovém. Jenže etický hacker odhalené zranitelnosti nijak nezneužije. Naopak její existenci dostatečně srozumitelně popíše a informace o ní předá přímo a pouze provozovateli daného systému či aplikace. Ten pak má šanci bezpečnostní zranitelnost odstranit.

Co z toho takový hacker vlastně má? Proč to dělá? Existují dvě hlavní motivace. Ta první je samotná záliba hackerů v překonávání nějakých bezpečnostních opatření, případně v hledání bezpečnostních děr v aplikacích. Ta je sama o sobě dostatečně silná. Ostatně jeden z prvních doložených případů hackingu – narušení superpočítačů americké společnosti NCSS v roce 1981 – byl vlastně pouze o tomto. Neznámý hacker pronikl na server, který poskytoval to, čemu dnes říkáme cloudové služby. Jediné, co ve skutečnosti způsobil, bylo, že po sobě zanechal zprávu „Kilroy was here“, což byl jakýsi předchůdce memu z dob druhé světové války.

Etičtí hackeři však mají ještě jednu motivaci – finanční. White hat hacking je totiž vysoce výnosná práce. Mnoho etických hackerů ji tak má jako jediný zdroj příjmů. Řada firem vypisuje za etické prolomení bezpečnosti svých systémů či aplikací nemalé finanční odměny. Kupříkladu pravidelné bezpečnostní záplaty operačních systémů i aplikací ve velké míře těží právě z etického hackingu. Třeba kritická zranitelnost celé řady procesorů Meltdown, která je jednou z největších kybernetických hrozeb současnosti, byla také objevena formou etického hackingu a v době, kdy informace o ní vyšly najevo, byly připraveny už i bezpečnostní záplaty.

Kde se vzal etický hacking

Historie hackingu jako takového není zrovna věcí veřejnou. Nejdůležitějším úkolem hackera je zůstat neodhalen. První případ etického hackingu však lze z dostupných zdrojů dohledat. Odtajnila ho vláda Spojených států amerických, tedy přesněji americké letectvo. Americká armádní výzkumná agentura ARPA se v roce 1964 spojila se slavnou univerzitou MIT, Bellovými laboratořemi a společností General Electric, aby dala dohromady operační systém Multics pro tehdejší superpočítač GE 645. Zájem ARPA byl hlavně v tom, aby jednotlivé americké bezpečnostní složky mohly bezpečně využívat obrovský výpočetní výkon superpočítače a provádět tak náročné výpočty velice rychle. Na přelomu let 1967 a 1968, po zapojení odborníků z amerického hydrometeorologického ústavu a ze CIA, už projekt spěl k úspěšnému spuštění.

Počátkem sedmdesátých let bylo vše připraveno a Multics byl postupně nabídnut jednotlivým bezpečnostním složkám, včetně U. S. Air Force. Jenže americké letectvo se někdy v roce 1972 rozhodlo si bezpečnost nového systému nejdřív na vlastní pěst ověřit. Stejně jako to běžně dělalo u nových vojenských objektů, muničních skladů a dalších. A tak dalo svým nejlepším počítačovým odborníkům za úkol prověřit Multics pro potřeby uchovávání tajných a přísně tajných informací. Tak vznikly i ve světě počítačů první tzv. penetrační testy, tedy testy, kdy jsou simulovány různé způsoby útoku na počítačový systém s cílem odhalit jeho slabá místa. Mimochodem, Multics z nich zas tak extra dobře nevyšel. Hodnocení sice znělo „výrazně lepší než jiné konvenční systémy“, ale s dovětkem „se zranitelnostmi v oblasti hardwarové bezpečnosti, softwarové bezpečnosti a procedurální bezpečnosti, které je možné odhalit s relativně malým úsilím“. Asi netřeba říkat, že ARPA ani ostatní účastníci projektu si ho za rámeček nedali.

Etický hacking v komerční sféře

Idea placeného etického hackingu však má svého „pacienta nula“ i v komerční sféře. Jak možná už tušíte, stala se jím NCSS, první doložená oběť hackingu. Ta byla známá tím, že přitáhla nejlepší počítačové mozky z celých USA. Jeden z nich se v roce 1981 tak trochu nudil, a tak napsal program na prolamování uživatelských hesel zákazníků NCSS. A ten skutečně fungoval. NCSS na to časem přišla, protože se tím zaměstnanec pochlubil. Jak byste možná očekávali, postihl ho za to trest. Ten však nepřišel za to, že prolomil zákaznická hesla, ani za to, že takový program napsal, nýbrž za to, že se tím nepochlubil dříve. NCSS ve vytýkacím dopise zaměstnanci mimo jiné doslova uvedla: „Společnost si uvědomuje přínosy pro NCSS a vlastně podporuje úsilí svých zaměstnanců při identifikaci bezpečnostních slabin.“ To byla vlastně první výzva k etickému hackingu z komerčního prostředí.

Firma tak totiž reagovala na výše zmíněný bezpečnostní skandál „Kilroy was here“, který ji vynesl v červenci téhož roku celostátní „popularitu“ v New York Times i značnou pozornost FBI, neboť jejích služeb využívala celá řada organizací z bezpečnostního sektoru, a to včetně Bell Labs, které se podílely na projektu Multics.