Slovo hacker má zvláštnu povesť. Niekomu sa vybaví človek v kapucni, zelený text na monitore a dramatická hudba, akoby práve prelamoval Pentagon cez notebook z bazáru. Inému sa vybaví bezpečnostný odborník, ktorý pomáha firmám nájsť slabé miesta skôr, než ich nájde niekto s horšími úmyslami. A potom je tu tretia skupina: zvedavý používateľ, ktorý si povie: „Len skúsim, čo sa stane.“
A presne medzi týmito tromi svetmi vzniká zásadná otázka: je testovanie bezpečnosti legálne? Odpoveď nie je o tom, či používaš nástroj, skript alebo webovú stránku. Odpoveď závisí hlavne od toho, čo testuješ, koho systém to je a či máš povolenie.
Ak chceš začať úplne jednoducho a bezpečne, môžeš si najprv prečítať môj úvodný článok „Penetračné testy: Ako si vyskúšať bezpečnosť svojej siete v 3 krokoch„. Tento článok naň prirodzene nadväzuje a rieši druhú, ešte dôležitejšiu vec: kde je hranica medzi učením, testovaním a problémom.
Kto je hacker, kto pentester a kto iba zvedavec?
Hacker v pôvodnom technickom význame nemusí byť automaticky zločinec. Môže to byť človek, ktorý rozumie systémom, skúma ich správanie a hľadá netradičné riešenia. Problém vzniká vtedy, keď zvedavosť prekročí hranicu cudzieho priestoru.
Pentester, teda penetration tester, robí niečo podobné ako útočník, ale s jedným obrovským rozdielom: má povolenie. Testuje systém na základe dohody, v určenom rozsahu, v dohodnutom čase a s jasným cieľom zvýšiť bezpečnosť.
Zvedavý používateľ je často niekde medzi. Nemusí mať zlý úmysel. Možno iba skúša, čo jeho router dokáže. Možno si testuje vlastnú Wi-Fi. Možno číta články, pozerá videá a chce pochopiť, ako funguje bezpečnosť. To je v poriadku. Lenže veta „ja som to len skúšal“ nemusí byť veľmi silná obrana, ak skúšal cudzí systém.
Najdôležitejšie pravidlo: vlastné áno, cudzie nie
Ak testuješ vlastný počítač, vlastnú domácu sieť, vlastný router alebo vlastnú testovaciu aplikáciu, si vo výrazne bezpečnejšej zóne. Aj tam treba rozumne dávať pozor, aby si si niečo nerozbil, ale právne je to úplne iná situácia než testovanie cudzieho webu, cudzej Wi-Fi alebo firemného systému bez súhlasu.
Na Slovensku sa neoprávnený prístup do počítačového systému rieši v Trestnom zákone. Podľa § 247 môže byť problémom už prekonanie bezpečnostného opatrenia a získanie neoprávneného prístupu do počítačového systému alebo jeho časti. Pri závažnejších okolnostiach môžu byť tresty vyššie.
Podobnú logiku pozná aj medzinárodný rámec. Budapeštiansky dohovor o počítačovej kriminalite rieši okrem iného nelegálny prístup, nelegálne zachytávanie, zásah do dát a zásah do systému.
Jednoducho povedané: ak sa dostávaš tam, kam nemáš povolenie, už to nie je „testovanie bezpečnosti“. To je vstup do cudzieho digitálneho priestoru.
Povolenie nie je formalita. Je to ochranný štít.
Pri penetračnom testovaní je povolenie základ. Nie ústne „jasné, skús niečo“, nie správa v chate o polnoci, nie dohoda typu „veď sme kamaráti“. Ideálne je mať jasne napísané:
- čo sa môže testovať,
- kedy sa môže testovať,
- ktoré systémy sú mimo rozsahu,
- aké nástroje a techniky sú povolené,
- komu sa hlásia nálezy,
- čo sa nesmie poškodiť,
- kto nesie zodpovednosť za test.
Toto je rozdiel medzi pentesterom a človekom, ktorý si len koleduje o problém. Pentester má rozsah. Zvedavec má výhovorku. A výhovorka je v bezpečnosti slabšia než heslo admin123.
Tabuľka: kde je hranica?
| Situácia | Pravdepodobné riziko | Komentár |
|---|---|---|
| Testuješ vlastnú domácu sieť | Nízke | Ak je to tvoja infraštruktúra, učíš sa bezpečne. |
| Skúšaš vlastný router a svoje zariadenia | Nízke | Dávaj pozor skôr na technické poškodenie nastavení. |
| Testuješ web kamaráta bez jasného súhlasu | Stredné až vysoké | Kamarátstvo nie je právny dokument. |
| Skúšaš cudziu Wi-Fi, či má slabé heslo | Vysoké | Už samotný pokus môže byť problém. |
| Skenuješ cudziu firmu „len zo zvedavosti“ | Vysoké | Môže to vyzerať ako príprava útoku. |
| Máš písomné poverenie na test | Nízke až kontrolované | Toto je štandardný svet pentestingu. |
Mýtus: keď nič nepoškodím, nič sa nestalo
Toto je veľmi nebezpečný omyl. V digitálnom svete nemusíš nič zmazať ani pokaziť, aby vznikol problém. Už samotný neoprávnený prístup, obchádzanie ochrany alebo získanie údajov môže byť vážna vec.
Je to ako keby si otvoril cudzie dvere, vošiel do bytu, nič nezobral a povedal: „Ale veď som iba pozeral, či máte dobrý zámok.“ Majiteľ by zrejme neodpovedal: „Ďakujem za bezplatný audit.“ Skôr by volal políciu.
Rovnako to funguje aj v IT. Úmysel pomáhať nestačí. Musíš mať súhlas.
Praktický checklist pred testovaním
Predtým, než niečo začneš skúšať, polož si tieto otázky:
- Je systém môj?
- Ak nie je môj, mám jasné povolenie?
- Viem presne, čo môžem testovať?
- Viem, čo je zakázané?
- Môžem test zastaviť, ak niečo začne padať?
- Viem zdokumentovať, čo som robil?
- Nepracujem s cudzími dátami bez súhlasu?
- Nepoužívam nástroj spôsobom, ktorému nerozumiem?
Ak pri niektorej otázke zaváhaš, netestuj. V kyberbezpečnosti je lepšie päť minút premýšľať než päť hodín vysvetľovať.
Ako sa učiť bezpečne?
Najlepšia cesta je vlastné prostredie. Môžeš používať vlastný počítač, domáci router, testovací server, virtuálne stroje alebo legálne tréningové platformy. Tak sa učíš bez toho, aby si ohrozoval cudzie systémy.
A hlavne: zapisuj si, čo robíš. Nie preto, aby si pôsobil ako tajný agent, ale preto, aby si vedel spätne pochopiť výsledky. Dobrý bezpečnostný človek nie je ten, kto kliká najviac. Je to ten, kto vie vysvetliť, čo zistil, prečo je to dôležité a ako to opraviť.
Záver: Je testovanie bezpečnosti legálne ? Hranica je jednoduchšia, než sa zdá
Rozdiel medzi hackerom, pentesterom a zvedavým používateľom nie je iba v nástrojoch. Je v povolení, zodpovednosti a úmysle.
Ak testuješ svoje veci, učíš sa. Ak robíš testovanie vlastnej siete, vlastného routera alebo vlastných zariadení, pohybuješ sa v bezpečnejšej zóne. Ak testuješ cudzie veci bez súhlasu, riskuješ. Ak testuješ cudzie veci so súhlasom, jasným rozsahom a dokumentáciou, vstupuješ do sveta etického hackingu.
Takže odpoveď na otázku, či je testovanie bezpečnosti legálne, znie: áno, môže byť. Ale iba vtedy, keď vieš, čo testuješ, máš na to právo a neprekračuješ cudzie hranice. Aj penetračné testovanie doma má zmysel vtedy, keď slúži na učenie, kontrolu vlastnej siete a zlepšenie bezpečnosti, nie na skúšanie cudzích systémov. Lebo v kyberbezpečnosti platí jednoduché pravidlo: vlastný piesoček je laboratórium, cudzí piesoček je problém.
Zdroje:
