Jos kirjoitat hakukoneeseen Black Hat tai White Hat, emme saa vain tuloksia uusimmista hattutarjouksista. Nämä termit liittyvät myös tietoturvaan ja tietokonejärjestelmien hakkerointiin. Mutta mitä tekemistä hatuilla on hakkeroinnin kanssa? Ja mikä on "eettinen hakkeri"? Näihin kysymyksiin vastaamme seuraavassa blogiartikkelissa.
Ensinnäkin, mitä hakkerointi tarkalleen ottaen on? Olet luultavasti lukenut artikkeleita "10 parhaasta retkeilyhakkerista", joissa kerrotaan, miten tehdä popcornia leirinuotiolla, tai olet kuullut "life hackeista", jotka voivat helpottaa arkea luovalla tavalla. "Hakkerit" ovat siis määritelmän mukaan ihmisiä, jotka käyttävät tietämystään ja luovuuttaan, usein teknologiaan liittyvää, ymmärtääkseen, parantaakseen ja muuttaakseen olemassa olevia järjestelmiä. Termi on kuitenkin 1980-luvulta lähtien muuttunut negatiivisesti ja kaventunut tietoturvan alalle1. Nykyään arkikielessä hakkeriksi kutsutaan henkilöä, joka tunkeutuu toisten tietokonejärjestelmiin.
Hakkerit ovat lähes yksinomaan huppareihin pukeutuneita hämäräperäisiä henkilöitä, jotka hakkaavat näppäimistöjä pimeässä huoneessa erilaisten näyttöjen ääressä. Tämä näkyy myös tiedotusvälineissä, niin uutisissa kuin elokuvissa. Siellä tulee selväksi, että sanalla "hakkeri" on yleensä kielteisiä konnotaatioita. Ehkä juuri siksi tarvitaan muita kuvauksia, jotta hakkerit voidaan erottaa toisistaan: yhä useammin puhutaan black hat -hakkerista ja white hat -hakkerista. Mutta miten ne eroavat toisistaan?
Termit ovat peräisin vanhoista lännenelokuvista. Niissä hyvät hahmot, joilla oli valkoinen hattu, erottautuivat pahoista vastapuolistaan, jotka käyttivät mustaa hattua. Juuri tässä mielessä "mustat hatut" ja "valkoiset hatut" löytyvät jälleen hakkeroinnin maailmasta. Jotta voisimme erottaa hakkerien hyvän ja pahan toisistaan, meidän on tarkasteltava erityisesti kahta tekijää: heidän motivaatiotaan ja työnsä oikeutusta.
Mustat hatut löytävät motivaationsa omasta taloudellisesta hyödystä, mutta myös verkkovakoilusta, protestoinnista tai pelkän jännityksen vuoksi. He yrittävät varastaa, salata tai tuhota henkilökohtaisia tietoja, taloudellisia tietoja tai kirjautumistietoja ja aiheuttaa näin vahinkoa niille, joita vastaan he hyökkäävät. He toimivat kohteeksi joutuneiden henkilöiden tai yritysten tietämättä ja saattavat näin ollen itsensä syytteeseen.
"Valkohattuiset taas käyttävät taitojaan hyvään tarkoitukseen. Heidän lähestymistapansa on samanlainen kuin mustan hatun hakkereiden, mutta sillä erotuksella, että he eivät toimi laittomasti. He työskentelevät yrityksissä tai organisaatioissa IT-asiantuntijoina ja auttavat paljastamaan ja korjaamaan tietoturva-aukkoja hakkeroinnin avulla. Heidän motivaationaan on parantaa ja turvata teknisiä järjestelmiä. Yhä useammat yritykset käyttävät tällaisia palveluja estääkseen pahantahtoiset verkkohyökkäykset.
Mustan ja valkoisen, hyvän ja pahan erottaminen toisistaan on IT-maailmassa, kuten kaikkialla muuallakin, liian lyhytnäköistä. Siksi on olemassa kolmas ryhmä: "harmaat hatut". Nämä ovat kahden edellä mainitun ryhmän välissä. He havaitsevat tietoturva-aukkoja ilman järjestelmän omistajien suostumusta tai tietoa, mutta ilmoittavat sitten ongelmista niille, joita asia koskee. Sitten he pyytävät työstään rahallista korvausta tai/ja antavat yrityksille aikataulun ongelmien korjaamiseksi ja julkistavat sitten haavoittuvuudet. He eivät tavoittele tavoitteitaan pahantahtoisesti. Heidän motiivinaan on lisätä tietoisuutta asiasta ja nauttia itse hakkeroinnista. Tämäntyyppinen hakkerointi on laittomuuden rajoilla, sillä he työskentelevät ilman järjestelmän omistajien lupaa ja saavat usein tietoa arkaluonteisista tiedoista. Se, että valkoisen ja mustan hatun hakkereiden väliset rajat hämärtyvät yhä enemmän, todistettiin jo Osterman Researchin vuonna 2018 tekemässä tutkimuksessa.2
Valkoisen ja harmaan hatun hakkereita kutsutaan myös "eettisiksi hakkereiksi". Tämä termi kuvaa vastuullista suhtautumista omiin hakkerointitaitoihin ja -tuloksiin. On jopa olemassa kursseja, konferensseja ja sertifikaatteja eettisille hakkereille, jotka haluavat tarjota työtään virallisesti. Sillä asianmukaisen eettisen asenteen lisäksi eettisten hakkerien on täytettävä myös muita vaatimuksia: suuri tekninen taito, kyky asettua hyökkääjien asemaan ja ymmärrys niiden tietojen ja järjestelmien arvosta, joita heidän on tarkoitus suojata.3
Muistatte ehkä erään tapauksen, joka nousi esiin tiedotusvälineissä toukokuussa 2021. Hakkeri Lilith Wittmann paljasti tietoturva-aukkoja CDU:n vaalikampanjasovelluksessa. Tämän jälkeen hän ilmoitti asiasta puolueelle, liittovaltion tietoturvavirastolle ja Berliinin tietosuojavaltuutetuille4 ja tarjosi näille mahdollisuuden korjata ongelma. Vasta kun sovellus oli offline-tilassa, hän julkaisi työnsä. Tätä lähestymistapaa kutsutaan myös "vastuulliseksi julkistamiseksi", ja se on esimerkki eettisestä hakkeroinnista. Tapaus osoittaa kuitenkin myös sen, miten vaikeaa tällaisen työn arviointi voi olla lain nojalla. Tässä tapauksessa CDU teki rikosilmoituksen Wittmannia vastaan, mikä ei ainoastaan lisännyt puolueen julkista häpeää, vaan johti myös Chaos Computer Clubin (CCC) viralliseen lausuntoon, jonka mukaan he eivät enää tulevaisuudessa huomauta puolueelle tietoturva-aukoista. Tapauksesta luovuttiin, koska tiedot olivat julkisesti saatavilla ja koska oikeustilanne kriminalisoi vain pääsysuojattujen tietojen vakoilun tai sieppaamisen.5
Tämä esimerkki osoittaa jälleen kerran, että eettisten hakkereiden työ on tärkeää: ilman heitä olisi enemmän avoimia tietoturva-aukkoja, joita mustan hatun hakkerit voisivat puolestaan hyödyntää.
Muuten, hakkereiden väripaletti laajenee. Voit lukea esimerkiksi myös Red Hatsista, Blue Hatsista, Purple Hatsista ja Green Hatsista. Näiden määritelmät ovat kuitenkin joskus hyvin kaukana toisistaan, joten jätämme asian toistaiseksi tähän.
YouTube-videollamme on myös pelottava katsaus joihinkin verkkorikollisten käyttämiin lähestymistapoihin: "Pelottavia tarinoita kyberhirviöistä"..
1 Hakkeroinnista - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3Kyberturvallisuusopas . (2021, 20. lokakuuta). Kuinka tulla eettiseksi hakkereiksi | Opas vuodelle 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. huhtikuuta). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. November 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/
