От два дни терминът "бял хакер" е особено популярен в България. Именно така беше определен човекът, отговорен за изтичането на данни от системата на НАП. В съзнанието на мнозина хакерите не се делят по цветове.
В съзнанието ни те са злонамерени компютърни специалисти, затворени в някое тъмно помещение, които извършват кибератаки за собствена или за чужда облага. А понякога - само заради отмъщение или заради тръпката да нанесат големи щети.
Но има и онлайн факири (или "вълшебници" ако предпочитате използваната от премиера Бойко Борисов терминология), които осъществяват виртуални пробиви, но далеч не са злонамерени.
Сещате ли се как в сериала Westworld посетителите на уестърн-парка избираха черна или бяла шапка да носят, съответно - добри или лоши герои ли да са в собствения си сценарий? Всъщност тази идея е заимствана от света на специалистите по киберсигурност, които условно делят хакерите на три категории.
Тези с черните шапки са злонамерените хакери, които използват способностите си, за да навредят. Сивите шапки са колебливи, но често клонят повече към черните.
Белите шапки или белите хакери са хората, които извършват хакове с цел постигане на общото благо. Най-често те го правят, за да разкрият слабостите в киберзащитата на дадена система. Намират пробойните, които следва да бъдат поправени, и ги докладват, за да не се получават повече "течове".
Това не означава, че белите хакери не печелят от дейността си.
Напротив, много от тях са повече от добре обезпечени за знанията и уменията си. Техните "черни" колеги си докарват доходи най-често като сами злоупотребяват с данните, до които достигат, или като продават придобитата информация на заинтересовани лица. Често заплащането им е далеч по-несигурно, отколкото на белите хакери.
Етичните специалисти по киберсигурност са едни от най-ценените кадри в технологичните компании. Повечето фирми си имат отдел за дигитална безопасност, който ежедневно работи по виртуалната защита. Това са цели отдели, съставени от бели хакери, които изпитват сигурността на системата си като се опитват да я хакнат и да открият слабости.
Може да се каже, че друга част от етичните хакери са на свободна практика, но също няма как да се оплачат от ниско заплащане. Редица компании развиват цели програми за привличане на "ловци на бъгове". Фирми като Google, Microsoft и Facebook предлагат щедро заплащане на всеки, който им посочи какво биха могли да подобрят в сигурността на платформите си.
Така белите хакери им помагат проблемите да бъдат отстранени, преди някой киберпрестъпник да се докопа до ценна информация.
От 2010 г. насам само от Google са изплатили над 15 млн. долара на "ловци на бъгове", които са докладвали за пробиви. Официалната статистика на технологичната компания показва, че за 2018 г. са дадени 3,4 млн. долара на етични хакери, които са разпределени в общо 78 държави.
Facebook са още по-щедри, може би заради скандала с продажбата на данни от Cambridge Analytica. За изминалата година социалната мрежа е дала над 7,5 млн. долара на бели хакери като средното възнаграждение на човек за един докладван бъг е около 1500 долара. Марк Зукърбърг споделя, че оттогава се появяват все повече желаещи да изпробват сигурността на платформата му и да се опитат да я разбият.
Затова не е учудващо, че белите хакери придобиват почти романтичен ореол - печелят добри пари, вършат добри дела и са от страната на добрите.
А и не само технологичните, хардуерни и софтуерни компании разчитат на помощта на етични хакери.
Те помагат и в области като автомобилостроенето и сигурността на новите модели автомобили. През март месец тази година двама бели хакери успяват да проникнат в интернет браузъра на Model 3 на Tesla и да изкарат на дисплея на инфотейнмънт системата няколко написани от тях съобщения.
Въпреки че при дигиталната атака не успяват да стигнат до никоя друга система в колата, например спирачната или тази за отваряне на прозорците, производителят им връчва чек за 375 хил. долара.
Оттогава Tesla организира състезанието Pwn2Own - събитие хакатон, на което наградният фонд отива при ентусиастите, успели да хакнат системите на електромобилите. За компания, която съвсем сериозно се кани да въведе автономно управление на колите си, все пак е нормално сигурността да е от такава първостепенна важност.
Има обаче и още една група етични хакери - хактивистите.
Те са хакери, които хакват заради конкретна идеология или кауза, зад която застават. От няколко години хактивизмът е в своя възход като напоследък геополитиката е сред най-силните мотиви за действията им. Ситуацията във Венецуела, Либия, Пакистан и Индия кара мнозина да протестират по свой собствен начин.
Такива хакери например проникват в системите на новинарски сайтове и подменят новините така, че да звучат по начина, по който искат. Друг път генерират свръх трафик към страници, които са си набелязали, и по този начин ги сриват поне за известно време, без да нанасят непоправими щети.
Освен това хакерът може да мени цвета на шапката си и да премине от черната към бялата. Най-голям стимул за подобна промяна е страхът от наказания, които в много страни стават все по-жестоки за киберпрестъпниците. Пред страх от затвор или от солени глоби някои от черните хакери предпочитат да упражняват дейността си, но без опасения от законови последици.
Според специалистите по киберсигурност черните шапки стават по-добри бели хакери, защото са свикнали да мислят по-разчупено и да заобикалят правилата. Те знаят какво е да не спазваш законите и да не ти пука и запазват това си поведение и в новите си начинания. Черните хакери просто имат друг подход към хакването и не се притесняват да го използват.
А дали отговорникът за изтичането на данни от НАП наистина е "бял хакер"? По-скоро не.
Един от основните принципи на белите хакери е взаимното съгласие - те извършват атаките си, но в 99% от случаите го правят със съгласието на отсрещната страна.
В този случай няма съгласие от страна на НАП системата й да бъде хакната и нещо повече - никой от засегнатите от кибератаката не е давал съгласието си личната му информация да стане публично достояние.
Действията му показват слабостите в дигиталната защита на личните данни - проблем, за който се говори усилено в България, но погазват почти всички други етични норми на бялото хакерство (въпреки че заподозреният работи именно във фирма за киберсигурност).
От фирмата на хакера: Кристиян обучаваше ГДБОП на киберсигурност
Задържаният за кибератаката срещу базата с данни на НАП Кристиян Бойков, за когото по-рано стана ясно, че работи в компания за киберсигурност, се оказва, че сам е водел курсове за повишаване на уменията на служителите на ГДБОП по киберсигурност.
Това разкриха на брифинг адвокатите и юристконсултката на фирмата, в която работи той, цитирани от Нова телевизия.
Според тях няма доказателства, че именно Кристиян стои зад хакерската атака. Вместо това "доброжелател" от конкурентна фирма може да е подал сигнал до ГДБОП срещу него, за да спре големи проекти, по които работи, с което да навреди и на компанията.
"Кристиян е най-удобното младо момченце. Обвинението срещу него е неясно, а той е твърде добър специалист, за да допусне грешка при подобна хакерска атака. Кристиян е човекът, който открива следи, но не оставя следи", категорични бяха адвокатите му.
В "Тад груп" той е бил нает на работа през 2017 г., след репортажа на "Господари на ефира" за него и хахването на сайта на МОН. От фирмата останали впечатлени, лично юристконсултката го е издирила го и привлякла на работа. Решили, че е етичен и интелигентен, и трябва да стане част от екипа им.
От фирмата са категорични, че ще оставят Кристиян на работа и той може да се върне, веднага щом го освободят.
"Вярваме в неговата невинност", казаха още адвокатите по негов адрес. Кристиян в момента не следва висше образование, но постоянно се е усъвършенствал, според мениджърите му.
Кристиян Бойков също така е викан като експерт по киберсигурност от Bulgaria On Air за различни техни материали по темата, съобщават от телевзията.