Hackeři – proti komu se bráníme?

Hackerství a hackeři jsou opředeni mnoha mýty, na čemž se asi nejvíce podílí filmová produkce a také novináři, kteří potřebují zaujmout své čtenáře a diváky. Velmi málo z toho, co vidíme v médiích ale odpovídá realitě.

Kdo jsou tedy ti obávaní hackeři, můžu je nějak poznat a co mají společného?

Hackeři pocházejí z různých prostředí, z různých částí světa a z různých sociálních vrstev. Nedá se obecně říct, že typický hacker je pětadvacetiletý běloch, závislý na kofeinu z energy drinků, který si nerozumí se svými vrstevníky a veškerý svůj volný čas tráví v tmavém sklepě obklopen počítači.
Co ale má většina hackerů společného je schopnost používat věci jiným způsobem, než jak bylo zamýšleno a obcházet překážky. Ať jde o fyzické, technologické nebo psychologické.
Na začátku bývá zvědavost. Jak funguje svět okolo nás, jak fungují různé nástroje a jak funguje lidská mysl. A jestli má daný předmět zájmu ve svém designu nějaké slabiny, které se dají využít nebo zneužít (to je často spíše subjektivní hodnocení).

Otevíráme zámek

Když chcete otevřít klasický zámek, je dobré nejdříve vědět, jak funguje jeho mechanismus. Poté můžete použít nástroje a techniky, jak ho otevřít bez klíče. Nebo prostě použijete trhavinu. To sice může být efektní, ale má to několik menších nevýhod. Někdo si toho může všimnout a mít zvláštní otázky jako jestli jsou ty dveře vaše, proč si normálně neodemknete a kde jste vzali tu nezdaněnou výbušninu. Někdy se může hodit i to, aby majitel zámku ani v budoucnu nezjistil, že byl odemčen (po použití výbušniny se celkem špatně zamyká). No a také se může stát, že výbuchem zničíte to, co je za tím zámkem a kvůli čemu to vlastně celé děláte. Nemluvě o tom, že při neopatrném zacházení se může radikálně snížit počet vašich oblíbených končetin.
Proto je celkem výhodné vědět, že v zámku je mechanismus, který se dá otevřít poměrně rychle, tiše a bez dalších následků. Proto hackeři obvykle velmi dobře znají systémy, na které útočí. Jak si ukážeme později, neznamená to, že hacker musí být počítačový génius. Skoro v každé oblasti se dá najít prostor pro hackery.
Hacking totiž není jen to, že se dostáváme někam, kam bychom se dostat neměli. Může jít i o schopnost používat věci jinak. Např. v poslední době oblíbený biohacking není o tom, že se vkrademe do (nejlépe) vlastního těla a něco si tam vezmeme. Spíše se snažíme vylepšit procesy, které se tam dějí.
Já se budu držet popisu hackerství v tom nejznámějším IT sektoru, ale v podstatě cokoliv se dá nějakým způsobem aplikovat i jinde.

Hackeři, móda a stát

WesternProtože svět potřebuje škatulky, začali se i hackeři dělit na skupiny: black hat, white hat a grey hat. Toto označení bylo převzato z Hollywoodských westernů dvacátých let 20. století, kde byla nepsaná konvence, že hrdinové nosí bílé a padouši černé klobouky. Aspoň to tedy tak píší na Wikipedii.

Black hat hackeři jsou ekvivalent záporných hrdinů divokého západu. Využívají své znalosti ke svému obohacení případně k poškození své oběti. Black Hat hacker se nabourá do vašeho bankovního účtu a sebere peníze, nainstaluje do vašeho počítače program pro sledování webkamery nebo shodí webové stránky vaší firmy.

Zvláštní podskupinou black hat hackerů jsou státem organizovaní hackeři. Většinou jsou to zaměstnanci nebo kontraktoři tajných služeb nebo armády, kteří mají za úkol cyber útoky na cíle mimo území daného státu. Oproti samostatným hackerům mají velkou výhodu v tom, že mají přístup k nejlepší technice či dalším zdrojům a můžou si tak dovolit útoky, které jsou pro ostatní nedostupné. Toto téma si ale zaslouží vlastní článek. Tak o tom víc někdy příště.

White hat hacker se do webových stránek vaší firmy nabourá také. Ale je tu jeden podstatný rozdíl. On to udělá jen s vaším souhlasem. Proto se jim také říká etičtí hackeři. Proč byste ten souhlas dávali? Právě proto, že chcete vědět, jestli je vaše firma proti takovému útoku zabezpečena. Pokud se white hat hackerovi takový průnik podaří, nic zlého vám neprovede. Naopak, dostanete od něj přesný popis toho, co je potřeba opravit, aby se tam nikdo jiný už nedostal. A vy mu za to zaplatíte. Takovému hackingu se říká penetrační testování. White hat hackeři často zakládají firmy, které pomáhají svým zákazníkům zvyšovat bezpečnost jejich systémů.

Grey Hat hacker – často se tvrdí, že jsou něco mezi. Málokde se ale dozvíte, co to znamená být něco mezi. Může být někdo jenom trochu zloděj? Spíše je to tak, že je ta hranice mezi white hat a black hat nejasná. Hacker se sice tváří jako white hat, ale existuje podezření, že svoje znalosti a um používá i neeticky. Případně útočí na firmy, organizace nebo třeba státy bez jejich souhlasu a vědomí, ale vedou ho k tomu (někdy subjektivně) dobré důvody. Může to být ekologický aktivista, bojovník za lidská práva nebo třeba náboženský fanatik.

Legálnost versus etičnost

Zároveň je potřeba rozlišovat mezi legalitou a etikou. Zákony jsou různé v různých částech světa. Například zde v Evropě platí téměř každých 500km jiná pravidla. Co je legální v Praze, může být trestné ve Vídni. A protože Internet hranice nemá, je to pro posuzování ještě složitější. V zemích, jako je třeba Severní Korea je například ve většině případů ilegální jakékoliv použití počítače. Proto není možné posuzovat hackery podle lokálního národního práva. Zvláště v době, kdy národní státy začínají ztrácet smysl.

Střelci naslepo a nestátní armády

Existuje ještě jedna skupina. Nejsou to hackeři v pravém slova smyslu. Spíše rádoby hackeři. Vžilo se pro ně označení “Script kiddies”. Dnes je totiž na Internetu velké množství hackerských nástrojů, které jsou volně ke stažení. A vypadat před kámošem jako hacker může být lákavé. Stáhnout nějaký prográmek, stisknout pomyslné tlačítko “Hackni to!” není složité. Útočník ale většinou nic nezíská. Protože i s těmito nástroji je potřeba pracovat cíleně a s přesným nastavením. Na druhou stranu, i když nic nezíská, může přeci jen napáchat nějaké škody (poškodit databázi, smazat důležité soubory, zahltit síť atd.). Proto je důležité chránit systémy i před takovýmito amatérskými útoky.

V cyber světě můžeme najít i nestátní organizované hackerské skupiny. Jsou to vlastně takové malé armády hackerů, kteří mají nějaký společný cíl a kterého se snaží dosáhnout spojením svých sil. Neznamená to ale nutně, že se tyto skupiny scházejí někde na tajných místech a odtud provádějí své útoky (etické či neetické). Jednotlivý členové se mezi sebou často osobně vůbec neznají. Můžou být rozeseti po celém světě, operují pod přezdívkami a vše, co o sobě navzájem potřebují vědět jsou jejich schopnosti. To mj. zajišťuje i jejich fyzickou bezpečnost. Když je nějaký člen skupiny odhalen, nemůže o svých kolezích prozradit nic důležitého.

Chci se stát hackerem

Častá otázka je, jak se člověk může stát hackerem. Odpověď na ni není jednoduchá a rozhodně ne univerzální. Hackerství je o každodenním učení a prohlubování svých znalostí. V podstatě každý, kdo je expertem ve svém oboru a má touhu se dál zlepšovat a pronikat do každého detailu, se může stát hackerem. Neexistuje ani jasná hranice, kdy o sobě (nebo o někom jiném) můžeme říci, že je hacker. Existují sice různé kurzy a certifikáty, ale ani to není nutná podmínka. Certifikát z vás nutně hackera neudělá, pokud se tomu dál nevěnujete a na druhou stranu jeho absence (stojí to čas a peníze) neznamená, že hackerem nejste.

No a jak tedy otevřu ten zámek?

Není to těžké a po natrénování to může jít poměrně rychle. Toto je ovšem jen taková základní technika, víceméně je to svým způsobem sport (ano, pořádají se v tom soutěže). Profesionální zloději ji téměř nevyužívají.

Návod naleznete ve videu, jak ubránit vaše digitální zámky vám řeknu já 🙂

Milan

Jmenuji se Milan Půlkrábek, pamatuji si počítače bez internetu, Internet bez Google a mobilní komunikaci bez šifrování. Mám za sebou více než dvacet let profesionální praxe v IT, přednáším a píšu články o IT bezpečnosti, kryptoměnách a nových technologiích. Od roku 2014 jsem součástí nezikové organizace Paralelní Polis v Praze.