Home » 2022 » Hakerzy i ich etyka w działaniu

Hakerzy i ich etyka w działaniu

By Anna Brytańczyk and Wojciech Cichocki in 2022 on 7 kwietnia, 2022.

Spread the love

We współczesnym świecie istnieje wiele osób potocznie zwanych hakerami. Czym oni się zajmują i czy mogą być łatwo zaklasyfikowani jako „Ci źli”? Czy można mówić o etyce wśród profesji, która jest utożsamiana z nielegalnymi i niepochlebnymi działaniami. Jednocześnie wzbudzając w przeciętnym człowieku strach przed atakiem ze strony hakerów. Czy można być etycznym hakerem czy to tylko próba złagodnienia dla niektórych złodziejskich działań tej grupy społecznej?

Hacker jako samo słowo kojarzy się jednoznacznie z negatywną osobą, która mogłaby nam zagrażać. Powodować to może rym słowa „hack” i słowa „atak” przez co wydźwięk może być szkodliwy(1). Natomiast (2) sugeruje, że jest to kwestia tego iż niebezpieczeństwo lepiej się sprzedaje w opinii publicznej. Obie te teorie są prawdziwe, aczkolwiek pojawia się tu pierwsza wątpliwość kim jest dokładnie haker i dlaczego potocznie jest „tym złym”?

Jak zostało to opisane hackerem jest osoba, która to znajduje słabości systemu w celu dostania się do danych chronionych jak dane personalne czy biznesowe. Istnieją różne teorie rozróżniające typy hackerów, głównymi z nich są: BLACK HAT i WHITE HAT. Określenia te w głównej mierze porównują „złych” i „dobrych” hackerów.

Źli hackerzy są rozumiani jako Ci co działają poza prawem by wykorzystać lub zniszczyć nasze dane personalne lub inne informacje poufne mające na celu zaszkodzenie danej organizacji. Natomiast hackerów WHITE HAT określa się jako tych, którzy działają w celu poprawy ochrony zabezpieczeń systemów informatycznych i wykrywaniu ich nieścisłości.

Jednocześnie w literaturze pojawiają się osobniki pomiędzy WHITE HAT i BLACK HAT jak (5): GRAY HAT czy BLUE HAT. Które są swego rodzaju połączeniem pozwalającym np. w przypadku GRAY HAT na włamanie się do systemu i znalezieniu luk w zabezpieczeniach oraz naprawieniu ich w celu uzyskania wynagrodzenia finansowego, bez uprzedniego zatrudnienia lub pisemnego wyrażenia zgody na działania tego typu. Takie działania na zasadzie GRAY HAT są również nielegalne. Natomiast BLUE HAT i inne następne rodzaje kolejnych kolorów odpowiadają profesji i rodzajom ataków tworzonych przez hakerów.

Główny sposób rozróżnienia hackerów to prawdopodobnie intencje jak zostało wspominanie (3) źli hackerzy wykonują swoje działania w celach zarobkowych lub rozgłosu personalnego inni natomiast tworzą awarie systemów w celu zepsucia reputacji oraz strat finansowych organizacji lub też dla dobrej zabawy.

Kim mogą być dobrzy Hackerzy?

Niektórzy rozumieją ich jako hackerów zatrudnianych w celu wykrycia luk w systemach bezpieczeństwa. (6) Niestety ta definicja nie mówi zbyt wiele o ich fachu poza wszędobylskim słowem hacker. Niektórzy (8) idą dalej i sugerują, ze zawody typu penetration tester, security analyst, security engineer, network security consultant są uznawane za etyczne stanowiska hakerskie. Oczywiście do rozpoczęcia kariery w tym zakresie często jest wymagany ukończony kurs Certified Ethical Hacker, który to może być dobrym startem dla początkujących hakerów.

Koncentrując się na dobrych hackerach jako osobach zajmujących się szeroko pojętym bezpieczeństwem systemów można pokusić się o znalezienie wartościowych umiejętności jakie powinni tacy osobnicy posiadać. Umiejętności z zakresu Data Science (7) są głównie rozumiane jako główne cechy tych stojących po „dobrej” stronie barykady. Machine Learning jest używany w celu wykrywania Phishing’u jest Phishytics, który polega na wykorzystywaniu odpowiedniego klasyfikatora w celu detekcji interesujących nas ataków.

Dlaczego umiejętności data science są tak interesujące (7) ponieważ wymagają myślenia poza schematem , umiejętności rozwiązujących problemy oraz analitycznego myślenia. Co jest określane jako umiejętności potrzebne do bycia hackerem?

Wykorzystanie uczenia maszynowego w celu podszywania się pod ludzi jest jedną z cech potrzebnych przez hackerów. Mianowicie dzięki takim zabiegom mogą lepiej naśladować ludzką mowę czy sposób konstruowania tekstu. Pozwala to na urealnienie działań hakerów w celu podszywania się pod inne osoby.

Pokonanie systemów bezpieczeństwa jest jedną z głównych działań hakerów w tym celu tworzone są różne złośliwe oprogramowanie. Niezwykle istotne jest wykorzystanie sztucznej inteligencji, uczącej się różnego rodzaju zabezpieczeń systemowych i dostosowanie swojego działania do wykrytego zabezpieczenia.

Jednym z następnych umiejętności jest wyuczenie botów w celu omijania zabezpieczeń anty-botowych zwanych CAPTCHA. Które to byłby w stanie pominąć te zabezpieczenia w celu dostania się do odpowiedniego systemu.

Jednym z najważniejszych ataków hackerskich są ataki typu DDoS, które to polegają na przeciążeniu przepustowości poprzez zalewanie sieci wzmożonym ruchem z wielu adresów IP, co uniemożliwia proste zablokowanie tychże operacji oraz zakłóca możliwość dostępu dla prawdziwych użytkowników, co może być niekorzystne dla właścicieli serwisu.

Pojawia się pytanie jakie umiejętności powinien mieć dobry hacker by zaistnieć?

Oczywiście wiadomości z zakresu data science są niezwykle ważne i ich waga prawdopodobnie będzie wzrastać wraz z rozwojem tej dziedziny aczkolwiek nie można tu wykluczyć danych o umiejętnościach sieciowych i systemowych oraz algorytmicznej.

Dobrego Hackera można definiować jako osoby działające przede wszystkim legalnie (5). Jest to słowo kluczowe pojawiające się niemal zawsze w literaturze. Jednak czy tak naprawdę to powinno określać osoby o takich działaniach jako te działające w sposób etyczny?

Można zwrócić uwagę na parę faktów. Poprzez etyczne zatrudnienie przez pracodawców, nakłada to swego rodzaju ograniczenia. Mianowicie hakerzy tacy nie mają pełnej autonomii w podejmowaniu działań w danej firmie czy to w celu analizy braków zabezpieczeń. Nawet jeśli są zatrudnieni jako typowo hackerskie stanowiska, a nie te wspomniane (8) jako np. security engineer. Mianowicie poprzez posiadanie firmy dla której chcą być pożytkiem a nie kłopotem mogą unikać sytuacji, które spowodowałyby więcej problemu niż pożytku dla swojej firmy (9).

Rozważając druga stronę medalu, hakerzy, którzy nie mają nad sobą zwierzchników mogą spokojnie wyrażać swoje zdanie na temat zabezpieczeń przez co mogą przysłużyć się społeczeństwu poprzez nakreślanie problemu w informacji publicznej. Takie zachowania choć godzące w dobre imię firmy czy innej organizacji mogą pokazać w jaki sposób są chronione dane, a co za tym idzie wprowadzają konkretne działania w celu ich zabezpieczania.

Tak jak tłumaczone jest (10) motywacja jest rozumiana jako główny aspekt etyki hackerskiej. Podział następuje ze względu na dobre lub złe zamiary. Niestety ciężko jest określać „WHITE HAT” hackerów jako tych dobrych, gdyż oni powinni działać na korzyść swojej firmy i jest to ich normalna praca zarobkowa, ciężko tutaj mówić o większych motywacjach poza obowiązkowym wykonywaniem swojej pracy i nie szkodzeniu pracodawcy, co jak już zostało wspominanie niekoniecznie może służyć wyższemu dobru.

Jednym z przykładów motywacji i wywierania dużego wpływu jest grupa Anonymous.

Grupa ta stara się przeciwdziałać ograniczaniu wolności obywatelskich, kontroli rządowej, korupcji, walczy o wolność słowa. Grupa ta nie wiąże sie politycznie, a obraz jej przedstawiany jest jako działaczy pro społecznych dbających o ważne wartości dla każdego człowieka. Jednakże grupa ta zalicza się do BLACK HAT hakerów ponieważ ich działania nie są legalne, a to jest często określane jako główna cecha przynależności do “tych dobrych” hackerów.

Jako kolejny aspekt można rozważyć działania złych hakerów, którzy to chcą uświadomić społeczność o informacjach ukrywanych np. przez rząd. Takim hakerom przysługuje wyższe dobro wspólne (2) a ich motywacja jest transparencja w przekazywaniu informacji a nie utajnianiu jej poza opinią publiczną. Można w pełni utożsamić się z takimi motywacjami gdy tylko zależy nam na informacjach i ich niecenzuralnym przepływie.

Podając polemice kontrprzykład w jaki sposób można poznać, że ten zły hacker nie zamierza nam szkodzić skoro włamał się do naszego systemu, wykradł dane lub po prostu miał do nich dostęp i nie wiadomo w jaki sposób je wykorzysta. Ciężko jest określić motywacje takiego człowieka bez utożsamienia go i ewentualnej konfrontacji. Tego typu działania zawsze będą godzić w dobre imię firmy a motywacji hakera możemy nigdy nie poznać przez zachowanie dość wysokiego poziomu anonimowości.

Osoby które są BLACK HAT hakerami nie będą ujawniać swoich tożsamości ponieważ ich działania choć intencyjnie słuszne, w prawnym aspekcie są niestety nielegalne. Co mogłoby powodować komplikacje i ich narażenie się na doświadczenie regulacji prawnych w przypadku wykrycia ich działań i przyporządkowania do konkretnych tożsamości.

Kolejnymi bardzo bieżącymi atakami hackerskimi są ataki skierowane przeciwko Rosji podczas rozpoczętej wojny na terenach Ukrainy. Działania te choć mogą być publicznie chwalone nie znajdują się na granicy prawa w obecnej sytuacji. Tylko jak rozważać sytuacje wojenne w kwestiach moralnych i ich działań. Wiele osób może powinno się tutaj odnieść do motywacji wspomnianych w (10). Ponieważ to one sprawiają, że przez większość społeczeństwa takie działania są aprobowane.

Jednocześnie pomimo względnej aprobaty pojawiają się również obawy (11). Co jeśli hackerzy się pomylą i pomimo dobrych chęci udzielając się w taki sposób w wojnie mogą spowodować szkodę. Wspomniane przez ekspertów cyberbezpieczeństwa są przykłady pomyłkowego wyłączenia sieci komputerowej szpitala czy przerwaniu łącz komunikacyjnych.

Wracając do przykładów legalności działań WHITE HAT niestety to właśnie ona – legalność – definiuje w głównej mierze tą grupę i niekoniecznie oznacza prawidłowość lub dobro. To są pewnego rodzaju regulacje które jedynie wskazują drogę i jednocześnie ograniczają działania osobników chcących postępować zgodnie z nimi.

Jednocześnie to tylko dzięki BLACK HAT hackerom rozwijają się zabezpieczenia i szukane są nowe rozwiązania. (13) To oni gwarantują rozwój w dziedzinie cyberbezpieczeństwa tak samo jak tworzenie i rozwijanie taktyk przeciwdziałających wykradaniu lub niszczeniu danych poufnych. To dzięki nim są zatrudniani specjaliści w dziedzinie ochrony danych. Natomiast WHITE HAT hackerzy (2) przeciwdziałają zbyt wysokim szkodom, które potencjalnie mogą zostać wyrządzone poprzez tych stojących po drugiej stronie barykady.

Można równocześnie zaprzeczyć powyższej superlatywie hakerów szkodzących innym użytkownikom. Nawet jeśli oni pokażą braki w zabezpieczeniach uświadamiając tym ludzi jak i firmy o ich nieprecyzyjności w ochronie danych, czy takowe działania byłby potrzebne gdyby nie ataki hackerskie? Czyż nie pojawia się tutaj zamknięte koło wskazujące na zwiększenie ochrony tylko dlatego by inni mogli pokazać jej nieudolność? Jeśli nikt nie chciałby zaszkodzić nie musiałyby być tworzone tego typu osłony. Tylko ten aspekt jak wiadomo może odnosić się do każdej dziedziny i profesji jaka istnieje i wyeliminowanie ich nie zapobiegłoby nawrotom powyższych działań.

Często typowymi WHITE HAT hakerami są osoby, które zmieniły swoje nastawienie do legalności swoich działań. Są hakerzy, którzy uprzednio byli BLACK HAT po to by później współtworzyć nowe rozwiązania chroniące przed atakami innych swoich pobratymców. Jak jest wspomniane w (14) by kogoś pokonać należy go poznać i przyłączyć się do niego. Hakerzy, którzy wykonywali ataki lepiej wiedzą jak im przeciwdziałać i wiedzą w jaki sposób myślą potencjalni agresorzy. Jednocześnie jest to forma pracy przy tym co lubią hakerzy po ewentualnym osądzeniu i odsiedzeniu wyroku bez narażenia na konsekwencje prawne.

Teoria o istnieniu wśród hakerów każdego ich rodzaju i każdej możliwej motywacji od tych typowo egoistycznych po te całkowicie altruistyczne (2) ma dość prawdziwe odzwierciedlenie w życiu. Każde grupy mają ludzi z różnym poziomem motywacji i działań wynikających z ich przekonań. Dlatego też ciężko powiedzieć kiedy dane działania mają jaki cel. Jedno jest pewne nie zawsze „zły” haker jest zły, a „dobry” dobry bez żadnego zawahania. Niestety tak jak każda inna profesja wiele zależy od konkretnych osób i ich otoczenia. Jednocześnie warto zwrócić uwagę, że nie zawsze za teoretycznie dobrym działaniem jest dobra motywacja.