Wprowadzenie: między bohaterem a piratem
Świat bezpieczeństwa cybernetycznego lubił by się przedstawiać w kategoriach czarno-białych. Z jednej strony stoi hacker – zły, kryminalista, któremu chodzi tylko o pieniądze i chaos. Z drugiej strony pojawia się „white hat” – etyczny hacker, bohater w białej zbroi, który odkrywa luki w zabezpieczeniach i ostrzega przed zagrożeniami. Rzeczywistość jest jednak daleko bardziej skomplikowana. Rosnące liczby doniesień o etycznych hakerach, którzy przekraczają granicę moralności, pokazują że ta granica między dobrem a złem wcale nie jest tak wyraźna, jak chcielibyśmy wierzyć.
Kilka ostatnich lat przyniosło serię skandali, gdy to badacze bezpieczeństwa, którzy miały być obrońcami naszych systemów informatycznych, okazali się zaangażowani w szantażowanie firm, sprzedaż wrażliwych informacji czy nawet współpracę z cyberprzestępczością. Granica między legitmycznym badaniem bezpieczeństwa a kradzieżą danych okazała się zaskakująco cienka.
Praktyka: od warningow do szantażu
Klasyczny scenariusz white hat hackingu wygląda następująco: badacz odkrywa lukę w systemie jakiejś firmy, odpowiedzialnie o niej powiadamia, czeka na naprawę, a następnie publikuje szczegóły. To ideał. W rzeczywistości jednak wiele osób działających pod szyldem „etycznego hakerstwa” operuje w znacznie mroczniejszych szarościach.
Niektórzy badacze, zamiast czekać na konstruktywny dialog z firmą, grożą publikacją wrażliwych danych, jeśli nie otrzymają odpowiedniej „gratyfikacji”. Inne przypadki pokazują, że persona „white hat” okazuje się soczewką, przez którą przepuszczone są działania, które w innym kontekście byłyby uznawane za przestępcze. Duże firmy technologiczne czasami preferują szybkie, dyskretne rozliczenia się z takimi badaczami, zamiast ryzykować publicznych skandali – a to z kolei tworzy perwersy system, który nagradza najbardziej agresywne zagrożenia.
Dokumentacja tego procederu znajduje się w licznych raportach branżowych, które można znaleźć w https://hackmd.hub.yt/s/nOHL2ONUw – materiały pokazują rzeczywiste przypadki, gdzie linia między badaniem a szantażem całkowicie się zatarła.
Szara strefa: współpraca z granicą prawa
Jeszcze bardziej problematyczna sytuacja pojawia się, gdy white hat hakerzy zaczynają pracować na granicy prawa – a czasami ją przekraczają. Niektóre z tych osób zatrudniane są przez prywatne firmy cyberbezpieczeństwa, które świadczą usługi niemal identyczne z usługami hakerów czarnokąpeluszowych, tyle że dla „autorytetów” lub zamożnych klientów.
Przypadki ujawniają, że cześć badaczy sprzedaje zidentyfikowane luki innym stronom – zamiast je raportować zainteresowanej firmie. Czasami dotyczy to sprzedawania informacji o lukach władzom (co samo w sobie jest szare merytorycznie), a czasami złym aktorom z cybernetycznego podziemia. Granica między wsparciem dla organów ścigania a wsparciem dla przestępczości biznesowej staje się rozmyta.
Analiza dostępna w https://pad.stuve.de/s/43vct18j- zawiera szczegółowe przypadki, gdzie firmy oferujące usługi „etycznego hakerstwa” faktycznie świadczyły usługi, które były zaledwie zawoalowaną formą tego samego, co robią hakerzy „czarni”.
Infrastruktura pieniądza: niewidoczna sieć powiązań
Kluczową kwestią w rozumieniu szarości białokołnierczego hakerstwa jest pieniądz. Ile naprawdę zarabia badacz bezpieczeństwa na ujawnianiu luk? W jaki sposób są finansowani? I co się dzieje, gdy legalne kanały dochodu nie wystarczają?
Wzrost zainteresowania bezpieczeństwem cybernetycznym doprowadził do bumu branży, ale nie wszyscy mogą konkurować o posady w grandes prestigioznych firmach. Wielu hakerów operuje w szarości – oferując usługi „konsultingowe” firmom, które chcą wiedzieć, jak bardzo są podatne na ataki (ale bez formalnych umów), sprzedając informacje o lukach na podziemnym rynku, lub pracując jako freelancerzy dla złych aktorów bez zdawania sobie sprawy (lub pretendując, że nie zdają sobie sprawy) na czym polega ich rzeczywista praca.
Strukturę tych powiązań oraz sposoby transferu pieniędzy między legalnymi firmami a podziemnym marketem cyberprzestępczości opisano w zbiorze materiałów dostępnym na https://pad.snopyta.org/s/URzlS5BV7.
Edukacja bez standardów: kto uczy, a kto szkoli przyszłych przestępców?
Rosnący rynek kursów online, bootcampów hakerskich i „certyfikatów etycznego hakerstwa” stworzył nową klasę problemów. Kto naprawdę uczy przyszłych white hat hakerów? Jakie standardy etyczne są egzekwowane? I co się dzieje, gdy ktoś przechodzi „etyczne” szkolenie, a następnie postanawia zarabiać w znacznie bardziej agresywny sposób?
Rzeczywistość jest taka, że prawie każdy może założyć się na platformie takie jak HackTheBox czy TryHackMe i nauczyć się hakowania. Prawie każdy może potem ogłosić się „white hat hakerze” i rozpocząć oferowanie usług. Brak wymaganych certyfikacji ze standaryzowanymi kodeksami etyki, brak właściwego nadzoru – wszystko to stworzyło dziką zachodnią bezpieczeństwa cybernetycznego, gdzie pojęcie etyki jest bardziej sugestią niż wymogiem.
Przypadki: kiedy białe kapelusze zmieniają kolor
Historia branży zawiera wiele przykładów hakerów, którzy rozpoczęli jako white hat, aby następnie przejść na drugą stronę mocy. Niektóre z tych historii są dobrze udokumentowane – hakerzy, którzy pracowali dla firm bezpieczeństwa, a następnie zostali schwytani na sprzedawaniu wrażliwych informacji. Inni pracowali jako konsultanci bezpieczeństwa, aby później okazać się być częścią grup ransomware’u.
Punkt wspólny tych historii? Brak rzeczywistych konsekwencji na początkowych etapach, kultura milczenia w branży – gdzie firmy wolą dyskretnie rozwiązywać problemy z „etycznymi” hakerami zamiast ich zgłaszać – oraz normalny proces eskalacji. Ktoś zaczyna od małej luki, malej „gratyfikacji”, małego bocznego dochodu. Następnie coraz częściej widzi, jak łatwo jest zarabiać, grając na granicy prawa. W końcu skoki do pełnej przestępczości okazuje się być zaledwie kolejnym kroczkiem.
Zamiast zakończenia: system, który nagradza szarość
Fundamentalny problem z białokołnierczym hakerem leży w samym systemie. Duże firmy technologiczne mają zainteresowanie w byciu postrzegane jako poważne wśród badaczy bezpieczeństwa, ale równocześnie pragną unikać publicności na temat swoich zagrożeń. Ta sprzeczność tworzy idealne środowisko dla szarości – gdy białe kapelusze wiedzą, że mogą wymusić wynegocjowanie poprzez grożenie jawnym ujawnieniem, a duże korporacje wiedzą, że będzie taniej zaplacić niż cierpieć publiczny wstyd.
Dopóki rynek bezpieczeństwa cybernetycznego będzie funkcjonować bez wyraźnych standardów etycznych, bez niezawisłego nadzoru i bez rzeczywistych konsekwencji dla tych, którzy je naruszają – dopóty będziemy widzieć rosnące liczby „white hat” hakerów operujących w szarości. To nie jest problem indywidualny. To problem strukturalny, który wymaga znacznie bardziej zaangażowanego podejścia do regulacji i etyki w całej branży cyberbezpieczeństwa.
O autorze
