White Hat - cyfrowi dżentelmeni na tropie cyberpodatności
21.05.2020
Dżentelmeni nie wyginęli wraz z końcem XX wieku. Wprost przeciwnie. W dobie powszechnej cyfryzacji możemy liczyć na cyberdżentelmenów – czyli tzw. białe kapelusze (ang. White Hat). Dowiedzcie się, czym się zajmują i dlaczego robią to dobrze.
Okazuje się, że zainteresowania informatyczne i instynkt detektywa można wykorzystać także w cyberprzestrzeni, np. przy tropieniu podatności oprogramowania na ataki i błędy w aplikacjach. Dlaczego to ważne? Nawet niewielka podatność lub niewidoczny na pierwszy rzut oka błąd systemu mogą umożliwić cyberprzestępcom np. uzyskanie nieuprawnionego dostępu do naszych danych. Nad tym, aby tak się nie stało czuwają między innymi tzw. hakerzy w białych kapeluszach.
Biało-czarna różnica
Słusznie się zastanawiacie, że skoro są hakerzy w białych kapeluszach, to muszą też być w czarnych. Co ich różni?
White hat dzieli się swoją wiedzą. Wykorzystuje ją, by podnieść poziom cyberbezpieczeństwa danego systemu, a nie po to, by ten system zablokować, zniszczyć dane, czy uzyskać nieuprawniony dostęp do np. rachunków bankowych. To dlatego hakerzy w białych kapeluszach są nazywani etycznymi hakerami. Czerpią satysfakcję nie tylko z odkrywania błędów i „tylnych wejść” do systemów teleinformatycznych, ale również z uczestnictwa w procesie ich usuwania. W tym celu informacje o wykrytych problemach przekazują bezpośrednio do administratorów systemów, producentów oprogramowania, a także właściwych zespołów reagowania na incydenty bezpieczeństwa – CSIRT/CERT.
- Wszystkie systemy informatyczne wymagają stałego monitorowania i testowania. Na każdym etapie – przed produkcją, podczas produkcji, jak i w fazie po oddaniu do użytku. Nie ma systemu idealnego. Regularnie słyszymy o tym, że różnego rodzaju podatności są wykrywane w nawet najbardziej zaawansowanych systemach – mówi Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. – Dlatego nieocenioną rolę pełnią ci, którzy te podatności wychwytują i informacje na ich temat przekazują do zainteresowanych stron – dodaje.
W działaniu
O tym, jak potrzebny jest tzw. etyczny haking przekonujemy się w praktyce. Ostatnio takim właśnie hakerem w białym kapeluszu okazał się inżynier i analityk rozwiązań chmurowych w firmie Intel Polska – Ciprian Alexandru Pitis. Wykrył dwie podatności w implementacji aplikacji webowej do podpisywania plików podpisem zaufanym w serwisie moj.gov.pl. Poinformował o tym nasz Departament Cyberbezpieczeństwa i zespół CSIRT NASK.
Przekazane przez niego (20 kwietnia) informacje zostały wykorzystane w dodatkowych analizach przeprowadzonych przez Centralny Ośrodek Informatyki (COI). Eksperci COI 29 kwietnia wprowadzili poprawki uniemożliwiające wykorzystanie wykrytych podatności.
- Nikt nie jest doskonały. Dlatego cieszymy się, że są takie osoby i firmy, które kierując się profesjonalizmem i dobrem wspólnym analizują systemy, wychwytują podatności i reagują – mówi dyrektor Robert Kośla. – Tego typu działania, nakierowane na poprawę bezpieczeństwa oprogramowania i usług, z których korzysta na co dzień wiele przedsiębiorstw i użytkowników - są de facto najlepszą praktyką partnerstwa publiczno-prywatnego w cyberbezpieczeństwie - dodaje.
Takie partnerstwo umożliwia budowę jeszcze efektywniejszego krajowego systemu cyberbezpieczeństwa, który ma wpływ na nas wszystkich, a nie tylko operatorów usług kluczowych czy dostawców usług cyfrowych.
W przypadku Intel Polska to partnerstwo będzie miało także formalny wymiar. Intel przystąpi do Programu Współpracy w Cyberbezpieczeństwie, który obejmuje m.in.:
- podnoszenie kompetencji w zakresie świadomości zagrożeń oraz metod ataków w cyberprzestrzeni;
- identyfikację podatności i zagrożeń oraz wymianę informacji;
- opracowywanie rekomendacji w zakresie konfiguracji urządzeń i oprogramowania;
- przygotowanie i prowadzenie oceny oraz certyfikacji cyberbezpieczeństwa;
- promowanie innowacyjnych rozwiązań i projektów w dziedzinie cyberbezpieczeństwa oraz budowanie partnerstwa z podmiotami Krajowego Systemu Cyberbezpieczeństwa.
Strategiczne podejście
Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty” – to jeden z głównych celów Strategii Cyberbezpieczeństwa RP na lata 2019-2024.
Zaplanowane testy i audyty bezpieczeństwa to kluczowe elementy jego realizacji.
Co więcej, w ramach Strategii - „w celu wykorzystania potencjału społecznego w zakresie cyberbezpieczeństwa” - propagowane będzie testowanie zabezpieczeń w modelu tzw. „bug-bounty”. To mówiąc najprościej – „polowanie” na błędy. Więcej o tym już wkrótce.