30 март 2022

Hakeri: Sivi šeširi (Epizoda 4)

Poznato je da stvari nisu uvijek crne ili bijele, već imamo i sive nijanse pa je prostor između Bijelih i Crnih šešira popunjen Sivim šeširima. To je grupa hakera koja može da krši etičke standarde i principe, ali bez zle namjere koja se pripisuje Crnim šeširima. Oni su sredina između Bijelih šešira, koji se trude da sačuvaju sigurnost sistema i Crnih šešira koji žele da zlonamjerno iskoriste moguće ranjivosti u istim. Iako možda ne izgleda tako, Sivi šeširi imaju svoju ulogu u sajber prostoru.

 

Gray hats hackers
Hakeri: Sivi šeširi; Design by Saša Đurić

Ono što pokreće Sive šešire je vjerovanje da Internet nije sigurno sajber okruženje i da oni smatraju da trebaju to da isprave, ali pod svojim uslovima i na svoj način. Često to rade hakovanjem Internet stranica i računarskih mreža izazivajući određenu količinu haosa da dokažu svoje tvrdnje. A ponekad se jednostavno prepuste radoznalosti i hakuju dobro čuvane sisteme, ne poštujući pravila etičkog hakovanja.

 

Za razliku od certifikovanih Bijelih šešira, ono što rade Sivi šeširi nije unutar zakonskih normi, jer oni nemaju dozvolu organizacija da traže ranjivosti u njihovim sistemima i nemaju dozvolu ulaska u njihove sisteme. Sa druge strane, njihove akcije nisu tako destruktivne kao što bi mogle biti da su u pitanju Crni šeširi. Postupci ove grupe hakera su često u skladu sa javim interesom, pa nije rijetkost da ranjivosti otkrivene od strane Sivog šešira budu prijavljene organizaciji u kojoj su pronađene. Pored toga, Sivi šeširi će često  raditi zajedno sa organizacijom da isprave sigurnosni propust, a organizacija će im za to platiti kao što bi platila i Bijelom šeširu. Ako organizacije nagrade hakera dovoljno dobro za prijavljivanje ranjivosti ili njeno ispravljanje, oni neće imati motiva da izazivaju probleme organizacijama.

 

U slučaju da organizacija odluči da ignoriše Sivog šešira, treba imati na umu da on nije obavezan ugovorom, protokolom ili platom prema njoj. On tada može odlučiti da detaljno objavi pronađene ranjivosti, što može omogućiti Crnim šeširima da ih zloupotrebe. Ovo je upravo ono što čini razliku između Sivog i Bijelog šešira koji ima visoke etičke standarde i koji je obavezan poštivanjem zakona i ugovora. Sivi šeširi pored toga mogu otkrivene ranjivosti prodavati za novac policiji, obavještajnim agencijama ili vojsci. Tada se te ranjivosti koriste za hakovanje kriminalaca ili suparničkih vlada drugih zemalja. Ovaj trend su prepoznale određene organizacije koje su se specijalizovale da otkrivene ranjivosti kupuju direktno od Sivih šešira i onda iste prodaju širom svijeta. Često u ovom slučaju otkrivene ranjivosti budu kupljene i od strane represivnih režima koji ih poslije koriste za špijunažu disidenata ili političkih suparnika.

 

computer hacker
Source: Wallpapercave

Da bi neko bio Sivi šešir ne mora da ima certifikat, ali mora da posjeduje različite setove vještina:

 

ANONIMNOST. Ova vještina nije nužna kada su u pitanju Sivi šeširi, ali može da pomogne ukoliko neka organizacija odluči da pokrene krivični postupak. Uprkos što bi na kraju mogli pomoći organizaciji, korištenje neovlaštenog pristupa bilo kom resursu je ilegalno bez obzira na namjeru. Pošto Sivi šeširi često bez dozvole pristupaju resursima organizacija i tako zloupotrebljavaju svoje vještine u sajber prostoru, anonimnost je jedina stvar koja može da spasi od hapšenja.

 

HARDVER. Svaki haker koji želi biti uspješan bi morao da zna kako hardver funkcioniše. Postojanje svesti o ponašanju hardvera dok izvršava programske komande, dovodi do spoznaje kako se programi smještaju u kompjuterskoj memoriji i kako stvarno rade. Tu je potrebno znanje o električnoj struju, integralnim kolima, tranzistorima, frekvenciji, binarnom kretanju kroz procesorsku jedinicu (CPU) ili unutar tastature, miša, zvučnika ili mikrofona.

 

SOFTVER I PROGRAMIRANJE. Prvo mora postojati znanje o tome kako hardver i softver komuniciraju međusobno, pa je zato potrebno znati sve o jezgru operativnih sistema (eng. kernel) i softveru ugrađenom u hardver (eng. firmware). Nakon toga je potrebno razumijevanje binarnog kôda i asemblerskih jezika, da bi se moglo prijeći na programske jezike kao što su  Python, BASH, C++/C, Java, Perl... Poslije se prelazi na učenje baza podataka i razvoja platformi kao što su Android i iOS.

 

RAČUNARSKE MREŽE. Računarske mreže su jezgro komunikacije uređaja u sajber prostoru, bilo da se radi o lokalnim računarskim mrežama ili o Internetu. Poznavanje kako uređaji međusobno komuniciraju, omogućava spoznaju o tome kako se podaci kreću. Ovdje je potrebno dobro znanje koje podrazumijeva poznavanje TCP i IP protokola, bežičnih mreža, DNS-a i Firewall-a, rutera, svičeva, kao i poznavanje OSI modela komunikacije uređaja preko mreže.

 

LINUX. Da bi neko bio haker nema potrebe da ima svoj operativni sistem. Tu je Linux i njegove distribucije, a neke od najpopularnijih za hakovanje su Kali Linux i Ubuntu. Linux je izuzetno bogat sa alatima otvorenog kôda koji se mogu iskoristiti za istraživanje ranjivosti, tako da nema potrebe ići dalje.

 

KRIPTOGRAFIJA. Nije potrebno da neko bude ekspert u kriptografiji, već je potrebno da ima dovoljno znanja kako bi mogao da dešifruje različite šifrirane podatke kako bi mogao uspješno završiti svoje istraživanje.

 

don't hate The hacker, hate The code
Source: Wllpapercave

SPRETNOST U KORIŠTENJU ALATA ZA PENETRACIJU – Potrebno je dobro poznavanje alata i tehnika za penetraciju, ali i imati praktičnog iskustva u tome. Treba znati kako primijeniti alate za penetraciju kako bi se pronašla i iskoristila ranjivost, a da se ne napravi šteta organizaciji koja se istražuje. Svaka šteta koja se napravi može da izazove zastoj u radu organizacije, a to može da znači da će organizacija biti spremnija da pokrene krivični postupak protiv hakera, nego da započne saradnju sa njim u otklanjaju sigurnosnog propusta.

 

VJEŠTINE RJEŠAVANJA PROBLEMA – Najvažnija i najkompleksnija vještina podrazumijeva da haker ima dobre analitički i kritičke vještine rezonovanja kako bi bio u mogućnosti da odgovori na sve izazovnije okruženje. Sajber prostor je pun izazova sa stalnim napredovanjem tehnologije, što znači da i odbrambeni mehanizmi postaju kompleksniji. Ako neko želi da postane vrhunski haker, mora da ima dosta strpljenja i da ne gubi vjeru u sebe, jer ako se problem ne riješi iz prvog pokušaja, tu je drugi, pa treći i tako dalje. Učenje iz svojih grešaka i primjene novih prilaza rješavanju problema je ono što odvaja obične od vrhunski hakera.

 

DEF CON – jedno od najvećih i najpoznatijih hakerskih okupljanja na svijetu, koje se održava svake godine u Las Vegasu. Ovo je mjesto okupljanja profesionalaca iz oblasti sajber bezbjednosti, novinara, advokata, vladinih službenika, sigurnosnih istraživača, studenata i hakera. Glavna teme su softver, računarska arhitektura, modifikacija hardvera i svega ostalog što može biti hakovano. Najpoznatiji događaj na ovom okupljanju su takozvane ratne igre hakera. Ovdje je izazov za učesnike da iskoriste ili zaštite sigurnosnu ranjivost, odnosno da dobiju ili onemoguće pristup određenom računarskom sistemu. To mogu samo najbolji protiv najboljih. Prisustvo na ovom događaju je za hakera privilegija i odlična prilika za dalje napredovanje. U zavisnosti od reputacije haker može dobiti pristup  VIP zonama gdje može upoznati vrhunske stručnjake i testirati tehnologije koje još nisu dostupne javnosti.

 

enter password
Source: Wallpapercave

Korištenje neovlaštenog pristupa računarima, računarskim mrežama, računarskim sistemima, prenosnim uređajima i IoT uređajima je ilegalno bez obzira na namjeru. Ako ne postoji saglasnost organizacije, njeno hakovanje je protivzakonito i Sivi šešir bi trebalo da očekuje da bude kažnjen. Sa jedne strane neke organizacije ohrabruju Sive šešire da prijave svoja otkrića kroz programe za otkrivanje propusta (eng.  bug bounty) i tretiraju ih kao sigurnosne istraživače, dok druge organizacije obeshrabruju Sive šešire svojom odlučnošću da ih krivično gone. U ovakvoj postavci stvari, haker koji je svjesno prekršio zakon tokom svog istraživanja suočava se sa dilemom. Ako odluči da obavijesti organizaciju o postojanju sigurnosnog propusta, on priznaje da je izvršio protivzakonite akcije koje mogu da pokrenu krivični postupak ili  istragu. Sa druge strane, zadržavajući informaciju za sebe znači da će dopustiti da ozbiljan sigurnosni propust ostane dostupan drugim hakerima da ga iskoriste u zlonamjerne svrhe.

 

Za ovakvu dilemu ne postoji jednostavan odgovor. Jedan od načina je da haker izvrši rekonstrukciju otkrivenog popusta na resursima za koje ima dozvolu pristupa, na osnovu prvobitnog otkrića. Druga opcija je da se prijavi sigurnosni propust bez otkrivanja načina na koji se došlo do njegovog otkrivanja. Sljedeća opcija da se doda još jedna stranka između Sivog šešira i organizacije kod koje je otkriven sigurnosni popust. Bilo je primjera kada Sivi šeširi daju informacije o sigurnosnim popustima advokatu ili novinaru koji poslije upoznaju organizaciju sa sigurnosnim propustom. Još jedan primjer je davanja informacije organizatoru sigurnosne konferencije na kojoj učestvuje organizacija koja ima problem sa sigurnosnim propustom. Međutim, ni jedna situacija ne može da zaštiti hakera u potpunosti, ako unutar organizacije preovlada želja za pokretanjem krivičnog postupka. Posljednja opcija je korištenje enkriptovane komunikacije, što sa druge strane može izazvati sumnju u vjerodostojnost pruženih informacija. Ni jedno rješenje nije idealno, međutim omogućava istraživaču da pokuša riješiti problem štiteći sebe.

 

Uprkos doprinosu koji mogu da pruže, Sivi šeširi su zbog strogih zakonskih propisa u većoj opasnosti od problema sa zakonom u odnosu na sve druge istraživačke profesije. Dok god rade u interesu javne sigurnosti, Sivim šeširima bi trebalo olakšati mogućnost istraživačkog rada kroz jasnije i bolje definisane zakone o visokotehnološkom kriminalu. Potrebne su jasne smjernice koje bi omogućile da se prilikom identifikacije namjere o zaštiti digitalne imovine i privatnosti djelo neovlaštenog pristupa zanemari, proporcionalno društvenoj koristi. Danas postoji praksa stvaranja zbunjujućih i drakonskih zakona za dijela sajber kriminala koja su se desila, ali se ne radi na stvaranju uslova da se ona unaprijed spriječe. Zbog toga napredak u sajber bezbjednosti zavisi od toga koliko je Sivi šešir u ulozi sigurnosnog istraživača voljan da rizikuje da bude krivično gonjen.

 

Hacker on laptop
Source: Wallpapercave

POZNATI. Neki od poznatijih Sivih šešira su:

 

Markus Hičins (Marcus Hutchins) poznat pod nadimkom MalwareTech je Britanski sigurnosni istraživač poznat po zaustavljanju jednog od najopasnijih sajber napada - WannaCry ransomware-a. Napad je pogodio preko 150 zemalja širom svijeta izazivajući paralizu bolnica, fabrika, državnih agencija, banka i ostalih organizacija. Napad je bio orijentisan na starije verzije Microsoft Windows operativnog sistemima, kao i verzije koje nisu bile ažurirane u potpunosti. WannaCry ransomware je enkriptovao podatke na uređajima uz poruku u kojoj se traži 300 do 600 američkih dolara kako bi korisnici dobili pristup svojim podacima nazad. Markus je analizom zlonamjernog softvera pronašao da on kontaktira ne registrovan domen, te je isti kupio. Kupovina domene je imala efekat prekidača za gašenje, što je zaustavilo širenje WannaCry ransomware-a širom svijeta. Od anonimne osobe koja je se krila iza nadimka MalwareTech, postao je planetarno poznat. Uskoro dobija poziv za DEF CON u Las Vegasu gdje i odlazi, ali na aerodromu prilikom povratka u Britaniju uhapšen je od strane FBI-a. FBI je rušenjem Internet stranice na mračnom Internetu AlphaBay, došao do podataka koji povezuju Markusa sa Kronos zlonamjernim softverom dizajniranim za krađu bankarskih podataka. Po američkom zakonu, prijetila mu je zatvorska kazna od 10 godina. Na prvom izlasku pred sudiju, izjasnio se da nije kriv, pa je zatvoren uz određivanje kaucije. Došlo je do organizovanja sajber zajednice, pa je kaucija plaćena i dobio je kuću za stanovanje u Losa Anđelelesu uz GPS nanogicu, pošto je naredbom suda bio spriječen da se vrati kući. Na kraju, nakon skoro dvije godine, priznao je dvije tačke optužnice – bankarsku prevaru i prodaju, promociju i širenje zlonamjernog softvera. Zbog žaljenja koje je pokazao zbog grešaka u mladosti, nemogućnosti FBI-a da izračuna potencijalnu štetu nastalu zlonamjernim softverom Kronos i zaustavljanjem  WannaCry ransomware-a, sudija ga je osudio na kaznu provedenog vremena u pritvoru i pustio na slobodu.

 

Dmitrij Skljarov (Dmitry Vitalevich Sklyarov) ruski programer koji se našao u centru pažnje zbog zabrinutosti da osoba može biti krivično gonjena za dijela koja su legalna u zemlji boravka. Dimitrij je 2001. godine došao na  DEF CON u Las Vegasu da održi predavanje. Prilikom povratka, na aerodromu je uhapšen od strane FBI-a i zatvoren zbog navodnog kršenja američkog zakona DMCA. Svrha predavanja koje je Dimitrij držao je bila da pokaže kako se kompanija Adobe ponaša neodgovorno, ugrožavajući prava autora korištenjem nedokazanog kriptografskog sistema zaštite elektronski knjiga. Dimitrij je radeći za rusku kompaniju ElcomSoft napisao softver The Advanced eBook Processor koji zaobilazi zaštitu implementiranu od strane kompanije Adobe u elektronske knjige. Ovo je prvobitno izazvalo prijavu od strane kompanije Adobe koja je kasnije povučena. Međutim, američko pravosuđe je nastavilo sa slučajem, jer je pronašlo da ruska kompanija  ElcomSoft sarađuje sa američkom kompanijom RegNow i na taj način prodaje  sporni softver u Americi obrađujući platne podatke američkih građana. Treba napomenuti da je navedeni softver kompanije  ElcomSoft, kao i postupci Dmitrija Skljarova potpuno legalni u Rusiji. Nakon pojavljivanja na sudu, Dimitrij je pušten uz kauciju, uz zadržavanje u Kaliforniji dok se slučaj ne riješi. Krajem godine, Dimitrij je napravio dogovor sa američkim pravosuđem u kojem će on biti oslobođen od svih optužbi, a zauzvrat treba da svjedoči protiv kompanije  ElcomSoft. Godinu dana kasnije, federalni sudija je utvrdio da kompanija ElcomSoft nije kriva za optužbe unutar DMCA zakona.

 

Goatse Security je grupa hakera koja je u junu 2010. godine otkrila veliki propust kod američkog mobilnog operatera AT&T. Propust omogućava otkrivanje adresa elektronske pošte korisnika iPad uređaja, koja je povezana identifikatorom pretplatnika na AT&T mreži i na taj način se može doći do identifikacije SIM kartice povezane sa uređajem određenog korisnika. Procjena je da je pogođeno oko 114.000 korisnika, uključujući direktore velikih kompanija, vojne zvaničnike i velika imena političke scene. Nezvanično, broj pogođenih korisnika bi mogao biti svaki korisnik iPad 3G u SAD. Iako je propust otkriven na serverima AT&T mobilnog operatera, dio krivice svakako ide i kompaniji Apple zbog odgovornosti prema privatnosti korisnika, kroz zahtjeva da moraju da daju svoju adresu elektronske pošte kako bi aktivirali uređaj. Grupa Goatse Security je obavijestila kompaniju AT&T i sigurnosni propust je zatvoren. Pošto je grupa prije kontaktiranja kompanije AT&T, podijelila podatke sa medijskom kućom Gawker Media i tako izložili podatke korisnika otvorenom napadu, FBI je pokrenuo istragu. Uskoro nakon pokretanja istrage, FBI identifikuje pripadnika grupe Goatse Security pod nadimkom weev kao Endrua Auernhajmera (Andrew Alan Escher Auernheimer). Osuđen je na 41 mjesec u federalnom zatvoru za zavjeru i krađu identiteta. Odslužio je 13 mjeseci, prije nego što je vrhovni sud poništio presudu. Ponašanje ove grupe je pokrenulo javnu debatu o načinu otkrivanja sigurnosnih propusta.

 

Kalil Šreteh (Khalil Shreateh) nezaposleni Palestinski sigurnosni istraživač je u avgustu 2013. godine otkrio sigurnosni propust na platformi Facebook. Otkriveni propust je omogućavao postavljanje objave na bilo koju stranicu bilo kog korisnika. Ovaj propust bi bio zlata vrijedan za razne vrste zlonamjernih korisnika na Internetu, dajući im moć nad oko milijardu korisnika širom svijeta. On je pokušao nekoliko puta da prijavi sigurnosni propust administratorima platforme Facebook, da bi mu na kraju rekli da to nije propust. Na kraju kada je iscrpio sve mogućnosti, odlučio je da skrene pažnju direktno Marku Zakenbergu (Mark Elliot Zuckerberg) osnivaču platforme Facebook, hakujući njegovu Facebook stranicu. Nakon toga navedena ranjivost je ispravljena. Facebook se pravdao da je problem bio u jezičkoj barijeri između njih i sigurnosnog istraživača koji nije dobro govorio engleski jezik. Međutim zbog kršenja uslova korištenja platforme Facebook – hakovanje korisnika, nije mu isplaćena nagrada iz programa za otkrivanje  propusta. Kalil je bio razočaran, govoreći da je mogao popust prodati nekom Crnom šeširu i tako zaraditi više novca nego što bi mu Facebook ikad dao. Iako je propust pronašao sa laptopa starog više od pet godina sa neispravnom baterijom, na kojem nedostaju tipke na tastaturi, on smatra da je pravilno postupio što je obavijestio Facebook. Nakon ovakvog razvoja događaja, sajber zajednica se organizovala i preko platforme GoFundMe skupila više od 8.800 američkih dolara za ovog sigurnosnog istraživača.

 

Aleksej (Alexey) Sivi šešir sa ruskog govornog područja, poznat po tome što je zaštitio oko 100.000 Mikrotik rutera. Ranjivost Mikrotik rutera označena kao CVE-2018-14847 je davala mogućnost napadačima da zaobiđu autentifikaciju na uređaju i preuzmu korisničku bazu čijom dekripcijom su mogli doći do korisničkog imena i lozinke. Aleksej je dodao Firewall pravila koja blokiraju pristup uređaju sa vanjske mreže i u komentaru pravila ostavio adresu na Telegram kanalu gdje ga mogu kontaktirati. Procjena je da je Mikrotik tada imao oko 2.000.000. uređaja – dakle 100.000 je negdje oko 5%. Na kraju je registrovano oko 420.000 preuzetih uređaja od strane napadača. Reakcija korisnika je, najblaže rečeno, bila umjerena. Jedni su ga kontaktirali da se zahvale, dok je veliki broj korisnika bio veoma negativan prema njegovom postupku. Etički? Možda. Legalno. Sigurno ne.

 

<----- Hakeri: Crni šeširi (Epizoda 3)

Hakeri: Plavi šeširi (Epizoda 5) ----->

Razbijanje Sajber Mitova #3/22

Razbijanje Sajber Mitova #3/22; Design by Saša Đurić Ne možeš vjerovati svemu što pročitaš na Internetu: Tačno! Interne je pun zavjera,...