A gdyby poprosić hakerów, by włamali się na rządowe serwery? Brzmi groźnie? Niekoniecznie. O ile uda się stworzyć sensowne przepisy regulujące włamanie na zlecenie.
Ogłoszenie, które zaczynałoby się od słów „Zatrudnimy hakera”, wyglądałoby na nieco tandetny chwyt marketingowy. Ale gdy brzmi: „Zatrudnimy na stanowisko Audytor Zabezpieczeń Aplikacji Webowych” lub: „Dla klienta, firmy z Katowic, poszukujemy osoby na stanowisko pentester”, to otoczka taniej sensacyjności znika. A to jedynie dwa z dziesiątek aktualnych anonsów. Bo dziś zatrudnianie pentesterów i bug bounterów to codzienność.
Pentesty to próby przedarcia się przez zabezpieczenia sieci informatycznych, zaś bug bounty to znajdowanie błędów w programach. – Z usług takich ekspertów korzystają nie tylko przedsiębiorstwa, dla których bezpieczeństwo ma kluczowe znaczenie, jak np. banki. Coraz częściej w ten sposób testują się firmy z sektora usług medycznych czy telekomunikacyjnych oraz te, którym zależy na ochronie danych klientów, niezakłóconym działaniu i ochronie własności intelektualnej – mówi Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte w Polsce. – Pentesting jest legalny. Włamanie na zlecenie poprzedza podpisanie umowy, która określa zakres i głębokość ataku – tłumaczy Przemysław Krejza, dyrektor ds. badań w laboratorium informatyki śledczej Mediarecovery. Dodaje, że podobnie jest z wynajmowaniem bug bounterów: – Firmy, które chcą być przetestowane przez osoby z zewnątrz, same się ogłaszają. Decydują się na to, by mieć pewność, że systemy informatyczne – na których pracują lub które sprzedają – są bezpieczne.
Jednak ostatnio wokół tych metod dbania o bezpieczeństwo zaczynają pojawiać się kontrowersje. Bo z jednej strony Strategia Ochrony Cyberprzestrzeni RP, przygotowana przez Ministerstwo Cyfryzacji, zakłada prawne uregulowanie sytuacji bug bounterów i pentesterów. A z drugiej – nowy projekt kodeksu karnego przedstawiony przez resort sprawiedliwości, jak ostrzegają niektórzy eksperci od bezpieczeństwa sieciowego, może zaprowadzić pentesterów i bug bounertów za kratki nawet na 5 lat.
Czy rzeczywiście rząd kręci bicz na etycznych cyberwłamywaczy?
Mali i duzi
Szczególnie że wykorzystanie ich umiejętności to dziś codzienna praktyka. Na przykład Google w swojej centrali w Mountain View zatrudnia ponad 700 ekspertów odpowiedzialnych za bezpieczeństwo produktów oferowanych przez tę korporację. Jednym z nich jest Parisa Tabriz, nazywana Security Princess, Księżniczką Zabezpieczeń (oficjalna nazwa jej stanowiska: inżynier ds. bezpieczeństwa informacji). Mimo posiadania własnego ogromnego zespołu pentesterów i bug bounterów, Google zachęca, by także niezależni testerzy sprawdzali zabezpieczenia jego produktów i – jeżeli coś znajdą – zgłaszali to. By zmotywować do pracy, firma opublikowała nawet cennik – za znalezioną lukę płaci od 100 dol. do nawet 20 tys. dol.
Z kolei w innym komputerowym gigancie, Microsofcie, działają dwa zwalczające się zespoły: Red oraz Blue. Zadaniem Czerwonych jest nieustanne atakowanie infrastruktury utrzymującej w działaniu chmurę (cloud) i jej oprogramowania – to jedna z najważniejszych komercyjnych usług MS. Z kolei Niebiescy mają ją chronić oraz dokonywać oceny ryzyka i wpływu atakujących na stabilność całego systemu.
Na ogłoszenie łowów na błędy decydują się nie tylko najwięksi, bo coraz częściej to także decyzja średniej wielkości firm, jak choćby hostingowej OVH.de, która swój konkurs dla fanów szukania dziur (można zarobić nawet 10 tys. euro) ogłosiła w sierpniu ubiegłego roku. OVH nie zdradza, jak wiele luk wykryto. Ale nie ukrywa, że chętnych do spróbowania sił nie brakuje.
Coraz większy jest także rynek przedsiębiorstw wynajmowanych do atakowania. Firm, do których przedsiębiorcy muszą mieć zaufanie. – Kiedy odkrywamy lukę, stajemy się odpowiedzialni za to, żeby informacje o niej nie dostały się w niepowołane ręce. Bo wyciek może nawet skończyć się upadkiem feralnego przedsiębiorstwa – tłumaczy Leszek Tasiemski, wiceprezes Rapid Detection Center w firmie F-Secure.
Także w Polsce środowisko hakerskie jest bardzo aktywne. Jak wynika z najnowszego zestawienia Google’a – jesteśmy na dziewiątym miejscu pod względem liczby bug bounterów szukających błędów produktach tej firmy. Nieźle, ale jeszcze lepiej nasze środowisko wypadło, gdy porówna się wypłacone nagrody. W ubiegłym roku polscy hakerzy zarobili w sumie 341 tys. dol., a wyprzedzili nas tylko Chińczycy (675 tys.) i Rosjanie (351 tys. dol.).
Artykuł 296b
Nasi eksperci cieszą się światową renomą. Również dlatego, że – w przeciwieństwie do Rosjan czy Chińczyków – Polska nie jest uważana za matecznik internetowych mafii. Przeciwnie – nasz bug bounting jest mocno etyczny. Przemysław Krejza przypomina o dwóch podstawowych zasadach działania: sprawdzaniu tylko na życzenie kontrolowanego oraz niewykorzystywaniu zdobytej wiedzy. – To taki podstawowy kodeks etyczny. Jeśli znalazłem podatność w produkcie czy systemie firmy X, to kontaktuję się z nimi i wspólnie ustalamy termin ogłoszenia podatności. Daje to firmie X czas na załatanie luki. Kiedy to się stanie, firma X publikuje informację o już załatanej podatności, wskazując na osobę lub firmę, która poświęciła swój czas na jej odkrycie i zgłoszenie. Haker zyskuje popularność, a firma X ma bezpieczniejszy produkt – tłumaczy Leszek Tasiemski.
Z zasady problemów z tym nie ma, ale współpraca z firmami nie zawsze układa się idealnie. Tasiemski opowiada o przypadku dużej amerykańskiej firmy, którą poinformował o luce. – Spędziłem mnóstwo czasu na wyjaśnieniu, na czym ten problem polega. Podatność została załatana po cichu, bez poinformowania klientów, że byli narażeni, a na moje pytanie o publikację informacji na ten temat zaczęło się straszenie prawnikami. Oczywiście odpuściliśmy – ekspert rozkłada ręce, ale zastrzega, że takie podejście skutecznie zniechęca do tego, by o kolejnej dziurze w systemie takiej firmy poinformować. – Znam historię młodego chłopaka, który wykrył podatność w pewnej instytucji, a ta zamiast mu podziękować, nasłała na niego policję – dodaje Krejza.
Podobnych scenariuszy obawia się środowisko od czasu opublikowania projektu nowelizacji kodeksu karnego. Projektu, w którym pojawiła się zmiana w art. 296b. W obecnej wersji brzmi: „Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa (...) a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3”. W nowej wersji zaostrzono nie tylko wymiar kary, precyzując, że za takie włamanie ma grozić od 3 miesięcy do 5 lat, lecz dodatkowo zmieniono mały fragment. Zamiast „umożliwiające dostęp do informacji” wpisano „umożliwiające nieuprawniony dostęp”. Czyli mocniej zaakcentowano brak ewidentnej zgody na włamanie.
W alarmistycznym tonie o projekcie resortu pisze opiniotwórczy branżowy serwis Niebezpiecznik.pl. Jego obawy podzielają też niektórzy eksperci. – Jeśli prawo zostanie zaostrzone, może to oznaczać, że za prowadzenie testów penetracyjnych na zlecenie będzie możliwe postawienie zarzutów karnych – uważa Tasiemski. Ale zastrzega, że trzeba mimo wszystko zakładać dobre intencje prawodawcy i prokuratury oraz że stosowana przez nie będzie wykładnia celowościowa. – Taka wykładnia oznacza dążenie do zamierzonego efektu. A jest nim skuteczniejsze ściganie przestępców. W takim przypadku prokurator musiałby się wykazać dużą dozą złej woli, by wszcząć postępowanie przeciwko pentesterowi działającemu np. na zlecenie banku – dodaje Tasiemski.
Ale ostrzega, że skutki nowelizacji dla cyberbezpieczeństwa mogą być dwojakie. – Zaostrzenie kar z jednej strony na pewno odstraszy część przestępców. Z drugiej strony społeczność białych hakerów (nie działających na szkodę – aut.) tworzy pożyteczny ekosystem, pomagający instytucjom poprawiać bezpieczeństwo poprzez zwracanie uwagi na zauważone problemy. Próby oskarżania takich ludzi, którzy w dobrej wierze i bez oczekiwania wynagrodzenia zgłaszają zauważone luki, uważam za szkodliwe, nieodpowiedzialne i bardzo krótkowzroczne. To trochę jak pozwanie lekarza, który nam mówi o chorobie – dodaje ekspert.
Przepisy dla łataczy
– Nie przesadzałbym z tymi alarmami. Zatrudnieni przez firmy pentesterzy nie będą pociągani do odpowiedzialności. Zaś ci, którzy robią to samowolnie, muszą mieć świadomość, że to łamanie prawa – uważa Krejza. Przytakuje mu Ludwiszewski: – To jak z włamaniem do domu. Gdybyśmy szli ulicą i zobaczyli, że drzwi są uchylone, to nie mamy prawa wchodzić i sprawdzać, co się dzieje w środku. Co nie oznacza, że jest potrzeba jakieś bardzo silnego dokręcania śruby w polskim prawie. Ale pewne dopracowania przepisów zapewne będą z biegiem czasu coraz bardziej potrzebne – tłumaczy ekspert.
I w taką stronę idą wstępne pomysły Ministerstwa Cyfryzacji. Strategia Ochrony Cyberprzestrzeni RP zakłada, by bug bounterów wciągnąć do systemu ochrony kraju. – Jeżeli chcemy mieć administracyjne systemy bezpieczne i sprawne, to warto wykorzystać ten model kontroli. Ale tylko w jasnej i kontrolowanej przez państwo sytuacji, w której ogłasza konkretny czas na bug bounting, pozwala na penetrację zabezpieczeń, bo system jeszcze nie operuje na konkretnych danych obywateli czy urzędów – mówi Krejza.
– Wiele państw i korporacji już korzysta z takich rozwiązań. Ale budowanie odporności na cyberzagrożenia nie realizuje się w nieskoordynowany sposób. Przeciwnie, to poważne programy ochronne, jak choćby CBEST uruchomiony przez Bank of England – mówi Ludwiszewski. W Stanach taki system został opracowany na zlecenie Departamentu Obrony. Rok temu departament oficjalnie ogłosił rządowy poszukiwania dziur pod nazwą „Hack the Pentagon”. W ciągu niecałego miesiąca, między 18 kwietnia a 12 maja, dziury zgłosiło ponad 1,4 tys. osób, łącznie wskazując 138 mniejszych i większych luk. Łącznie za pomoc w ich wykryciu i zneutralizowaniu zapłacono łowcom 71,2 tys. dol.
Co nie znaczy, że zawsze rządowe programy zatrudniania hakerów spotykają się z poklaskiem. Gdy w 2015 r. FBI przyznało, że zapłaciło ponad milion dolarów, by złamać zabezpieczenia iPhone,a użytego przez zamachowca podczas strzelaniny w szpitalu w San Bernardino, wywołało to spore oburzenie. I skłoniło Apple do tego, by zorganizowało własny program bugbountingowy – lecz nie otwarty dla wszystkich chętnych, ale skierowany bezpośrednio tylko do wybranej grupy wysoko ocenianych specjalistów od zabezpieczeń.
Takie właśnie podejście wskazują amerykańscy eksperci jako najbardziej przyszłościowe i warte do skopiowania przez rząd. I to nie tylko ten w USA.
