U planu slušni centri u svim gradovima s općom bolnicom

Moda u hakerskom svijetu nije previše šarolika, ali je vrlo znakovita. U prošlosti se, kaže Leon Juranić, riječ haker upotrebljava za iznimno sposobne programere i osobe sa izvanrednim znanjem o računalnim sustavima. Krekerom (eng. cracker) se nazivala osoba koja je neovlašteno upadala u računalne sustave. U međuvremenu su mediji termin haker počeli koristiti za svakog tko upada u računalne sustave, pa je termin kreker izgubio smisao.

Da bi se razlikovali, hakeri su smislili varijante sa šeširom pa se danas dijele na Bijele, Sive i Crne šešire. Crni su loši momci, Sivi su ‘niti smrdi niti miriši’, a Bijeli su dobri momci – kaže Juranić. Hacker vs. Cracker, Black Hat vs. White Hat… sve su to simboli, dodaje Goran Pizent, jedne subkulture u kojoj se pojedinci žele bojomi ili nazivom razlikovati od drugih, biti drugačiji osnovna je motivacija. Pravila su došla iz starih kaubojkih filmova – onaj koji nosi crni šešir je uvijek negativac dok je onaj sa svjetlim šeširom pozitivac, npr. John Wayne.

Generalno po definiciji haker je onaj koji uspješno izvodi inovativne i dotad nevidene akcije u postojećem sustavu. Haker može biti i netko u medicini tko usprkos nekim uvriježenim pravilima uspije zaobilaznim putem izliječiti neku bolest ili hakerskim kirurškim zahvatom spasiti nečiji život. Slikar Van Gogh je jedan od najvećih hakera u slikarstvu… – kaže Pizent.

Jednostavno, haker je osoba koja razmišlja izvan okvira koje mu zadaju društvo ili stručna i poslovna okolina. Krekeri su možda malo manje inovativni, ali zato višestruko opasniji. Oni koriste gotove alate i metode, razvijaju svoje alate jer imaju resurse potrebne za to, fokusirani su na svoj cilj i uvijek im je motivacija novac. Po mom osjećaju oni spadaju u dio kriminalnog miljea – smatra Pizent.

Sličnu distinkciju koristi i Bojan Ždrnja koji ističe da je haker osoba koja nema zlih namjera već netko koga zanima kako funkcioniraju stvari (uključujući i sigurnosne kontrole informacijskih sustava) te ulaže puno vremena i truda u svoje znanje dok je kreker haker s lošim namjerama. Prvotni hakeri su, kaže Tomislav Androš, bili inženjeri, profesori na fakultetima i entuzijasti, a kasnije se taj naziv proširio i na ljude koji su zloupotrebljavali propuste u računalnim sustavima pa su oni prozvani krekerima. Danas se termin haker više ne upotrebljava za ljude sveobuhvatnog računalnog znanja već se koristi kao općeniti naziv za pojedince koje iskorištavaju ranjivosti u računalnim i programskim sustavima.

Proizvođači hardvera obično zatvaraju oči na sigurnost što potvrđuje prošlogodišnja havarija u industrijskim postrojenjima za obogaćivanje urana u Iranu.

Iako se pojam hakera u novije vrijeme najčešće koristi za računalne znalce i entuzijaste te obično ima negativan predznak budući da su novinski naslovi puni hakera koji provaleju u informatičke sustave od NATO-a i banaka do globalnih kompanija, kradi podatke i stvaraju materijalnu štetu, stvari nisu crno-bijele. Ima i sivih.

Naime, i hakeri se dijele na one koji nose bijele (pozitivci), crne (negativci) i sive (malo dobri, malo zlo-česti) šešire. U općoj neimaštini cyber kriminal postao je iznimno unosan posao.

Danas imate velik broj računalnih stručnjaka koji su u jeku recesije ostali bez posla. Sami procijenite koliko njih je prešlo na ‘tamnu stranu’. Potražnja za našim uslugama i proizvodima iznimno se povećala u zadnje vrijeme, iako su uzroci različiti i kreću se od zakonske regulative, preko više razine svijesti o informacijskoj sigurnosti do straha od financijskih gubitaka uzrokovanih upadima u sustav – kaže Juranić, inače vlasnik tvrtke DefenseCode koja se bavi zaštitom računalnih sustava od upada, razvojem sigurnosnih softvera i penetracijskim testovima.

Ekonomski problemi neizbježivo dovode do socijalnih problema, a njihova kombinacija do rapidne eskalacije kriminala na svim područjima, pogotovo na informatičkom polju. U takvim uvjetima potražnja za sigurnosnim uslugama je značajno porasla. Porast očekujem i u idućim godinama jer se pribojavam da je ekonomska kriza tek u svojoj početnoj fazi mada većini ljudi to nije draga čuti. Pokreti kao što je Anonymous zasigurno će budućnost učiniti puno zanimljivijom i neizvjesnijom sa sigurnosnog aspekta pogotovo ako uzmemo u obzir koje su im primarne mete – kaže stručnjak za IT sigurnost Ivica Ostojić koji se računalnom sigurnošću bavi već 16 godina, a nakon karijere u Ciscu od početka ove godine radi u tvrtki Diverto koja se bavi isključivo sigurnošću, trenutačno na području Hrvatske i regije, a u tijeku su im i projekti u SAD-u.

Posao koji radim mi je i hobi, a ne smatram se nijednim šeširom, već isključivo konzultantom – kaže Ostojić. Ja bih sebe okarakterizirao kao haker i to onakvog kakvi se danas najčešće naziva hakerom u bijelom šeširu – kaže Bojan Ždrnja, viši konzultant za informacijsku sigurnost u tvrtki INFIGO IS koji drži i tri kolegija o informacijskoj sigurnosti na Viškoj školi za primijenjeno računarstvo u Zagrebu. Trenutačno uglavnom radi na projektima provjeri sigurnosti (penetracijska testiranja) te konzalting projektima na području informacijske sigurnosti. Računalnom sigurnošću bavi se još od 1997. godine, kada je on bio na FER-u, a IT sigurnost u Hrvatskoj u povojima.

S druge strane, Goran Pizent stručnjak za IT sigurnost iz tvrtke minus5, kaže da se, u pogledu potražnje, na tržištu događaju i suprotne stvari. Tvrtke prvo odbacuju trošak, a to je tamo nekakva sigurnosna analiza sustava koja ne donosi izravno novac već nudi obećanje u nekoj nedefiniranoj budućnosti. Nažalost, to je kao da u autoindustriji štede na pojasevima pa ih odlučno ne stavljaju u automobile jer će to smanjiti ‘trošak’. U nekoj ‘nedefiniranoj’ budućnosti taj pojas spašava život, koliko god kratkoročno gledano on bio trošak – kaže Pizent koji se bavi sigurnosnom analizom izvornog koda kojeg minus5 proizvodi za klijente, vrši black box i white box testiranja aplikacija, procjenu rizika za tehnička rješenja, analizira mreže sa sigurnosnog aspekta, definira pravila firewalla, kontrolira i nadzire aplikacijske firewalllove itd.

U posljednje vrijeme je fokusiran na sigurnost i dostupnost servisa u “cloudu”, a povremeno odradi i penetracijske testove za najveće klijente. Na pitanje koji šešir nosi, kaže da se smatra entuzijastom kojem je igra s tehnologijom vrlo zabavna. A kako to onda rade hakeri u bijelom šeširu? Uglavnom dobijem zadatak provesti u računalnu mrežu ili aplikaciju koristeći tehnike koje svakodnevno koriste zlonamjerni hakeri. Nakon toga dokumentiram načine na koje je moguće upasti u sustav, te predlažem metode zaštite. Traži se i računalna forenzika, analiza računalnog sustava nakon što mu je sigurnost kompromitirana, odnosno nakon što je netko u njega već upao – opisuje Juranić.

A gdje sve leže prijetnje sigurnosti? Pitanje bi, doduše, bilo suvislije da se pita – a gdje ne leže? Definitivno najizraženija prijetnja računalnoj sigurnosti je neinformiranost odnosno ljudski faktor. Ljudi su uvijek najslabija karika. Bili to programeri s deadlineom koji su nena-mjerno ostavili sigurnosni propust u softveru koji koristite, sistem administratori koji zbog prezaposlenosti ne vode brigu o sigurnosti sustava ili tajnica koja će vam zbog malo slatkorječnosti preko telefona drage volje izdiktirati svoju lozinku. Veliki problem računalne sigurnosti današnje je kompleksnost i slojevitost tehnologije. Prije 20-25 godina pametni računalni inženjer mogao je bez problema izjaviti da zna sve o računalima. Danas je to apsolutno nemoguće – kaže Juranić.

Iako bi mogli reći da je informacijska sigurnost vječna igra mačke i miša, postoje određene aktivnosti koje se mogu (i trebaju) provesti kako bi razina sigurnosti bila zadovoljavajuća. Danas se susrećemo s tri glavne prijetnje: prva su vječni DoS napadi (napadi uskraćivanjem računalnih resursa) gdje napadači pokušavaju onesposobiti nečije poslužitelje ili web-stranice te, u ovisnosti o pojedinom slučaju, pokušavaju ucijenom doći do novca. Druga prijetnja, s kojom se u zadnje vrijeme iškako susrećemo, su usmjereni napadi na tvrtke (tzv. APT – Advanced Persistent Threat). Riječ je o napadima sponzoriranim od drugih kompanija, a nerijetko i vlada. Ovakvih je napada sve više i predstavljaju ozbiljan problem.

Zaštititi se možete odgovarajućim sigurnosnim politikama, korištenjem sigurnosnih softvera za zaštitu, te redovitim ispitivanjima sigurnosti računalnih sustava. Kao običan korisnik, odnosno privatna osoba koji surfa po internetu, možete se donekle zaštititi ako se naoružate oprezom i antivirusnim softverima (njegova tvrtka DefenseCode razvila je softver BlackTitan Internet Security upravo za zaštitu korisnika tijekom surfanja). Također, potrebno je uvijek koristiti zadnje verzije softvera na računalu.

Najvažniji savjet je da se informacijska sigurnost ne može riješiti jednim proizvodom već da je potrebno implementirati zaštitu u više razina (tzv. Defense in Depth), koja je još k tome jedan stalni, ciklički proces. Što se tiče kućnih korisnika, najčešće savjeti za njih su da redovito instaliraju sigurnosne zakrpe za svoje računalo, da imaju aktiviran i osvježen anti-virusni program te da budu oprezni prilikom skidanja i pokretanja bilo čega s interneta.

Treba upotrijebiti male sive ćelije i prihvatiti realnost kakva jest, tj. zdrav razum staviti ispred svega. Edukacija osoblja je glavni savjet. Znati koje informacije su bitne, a koje nebitne, koje informacije trebamo štititi, a koje ne. Tu leži mudrost. Privatnim osobama preporučujem edukaciju, dajem linkove na neke članke o tome kako se ponašati u virtualnom svijetu, kako zaštititi svoje podatke i sebe. To pogotovo naglašavam mladim roditeljima čija djeca počinju upotrebljavati internet.

Za obične korisnike najbolji način za otklanjanje većine prijetnji je povećani oprez. Korištenje riskantnih datoteka, softvera te prevelika doza povjerenja na internetu može lako dovesti u neugodnu poziciju. Također je potrebno voditi brigu o redovitom zakrpanju operacijskog sustava te softverskih paketa kako bi se smanjila mogućnost za pronalaženjem rupe. Kod tvrtki je bitno donošenje odgovarajuće sigurnosne politike te njeno dosljedno provođenje.