Az etikus hackerek kiemelt tudással rendelkező informatikai szakemberek, akik képzettségüket arra használják fel, hogy megbízás alapján biztonsági hibákra világítsanak rá.
Nézzük meg, mi kell ahhoz, hogy valaki sikeres legyen munkájában, mi teszi őt jó, etikus hackerré?
Kitartás, szorgalom
Egy etikus hackernek elengedhetetlen, hogy munkáját kitartóan végezze, hiszen hibákat találni nem könnyű. Sok gyakorlás, olvasás, önfejlesztés szükséges hozzá. A rendszerek működése iránti érdeklődés, illetve analitikai gondolkodás is előnyére válhat.
Folyamatos tanulás, nyitottság
Folyamatos tanulás nélkül egyik munkában sem lehetünk igazán sikeresek, ahogy a technológia fejlődik, úgy kell nekünk is lépést tartani az újdonságokkal. A hackereknek is figyelemmel kell kísérniük a híreket, az új biztonsági hibákat, a javítási technikákat. Egy programban a megadott határokon belül bármit tesztelhetnek, így sikeres lehet az a hacker, aki újabb és újabb módszereket és lehetőségeket ismer, és azokat használja munkája során.
Különböző hibákra is lehet specializálódni, ez leginkább külföldön jellemző. Megtanulnak egy támadási módszert vagy egy sérülékenységet, ami sok rendszerre jellemző lehet, és az összes programban azt keresik. Program típusokra is specializálódhatnak, például web applikációkra, hálózat tesztelésre, okos eszközök (IoT), gépjárműbiztonsági berendezések tesztelésére stb.
Szerencse
A szerencsére is nagy szükségük lehet. A bug bounty programnál egyszerre több etikus hacker is dolgozhat ugyanazon a programon, ezért előfordulhat, hogy többen is ugyanazt a sérülékenységet találják meg. Azonban csak az kaphat jutalmat, aki elsőnek jelenti be a hibát.
Munka vagy iskola mellett is érdemes lehet kipróbálni a bug bounty-zást, így akár egy kiegészítése is lehet a havi bérnek, később pedig főállássá is alakulhat.
Az etikus hacker munka tanulható, szinte bárkiből lehet hacker, aki elég kitartó és elszánt, azonban kellhet hozzá egy bizonyos érzék, veleszületett tehetség. Az alapok elsajátítása viszont elengedhetetlen ahhoz, hogy valaki magabiztosan mozogjon ebben a munkakörben.
Ha valaki képezni, fejleszteni szeretné magát, különböző források állnak rendelkezésére. Rengeteg könyvet, videót, ingyenes oktató anyagokat lehet találni az interneten, így mindenki megtalálhatja a számára megfelelőt. Aki magasabb szinten szeretne foglalkozni a hackerkedéssel, a rendszerek megismerésével, annak különböző képzések állnak rendelkezésére.
Certified Ethical Hacker
Az egyik legelterjedtebb és legelfogadottabb etikus hacker minősítés. A vizsga előtt elméleti és gyakorlati oktatáson vesznek részt a hallgatók, majd pedig megírják a 4 órás feleletválasztós vizsgát.
További tanúsítványok:
Global Information Assurance Certification (GIAC)
Certified Security Analyst (ECSA)
Licenced Penetration Tester (EPT)
Offensive Security Certified Professional (OSCP)
Sokat jelenthet egy biztos angol tudás, hiszen a legtöbb oktató anyag, tanúsítvány eddig csak angol nyelven elérhető.
Hogyan bővítsük tudásunkat?
Hálózati ismeretek
Érdemes lehet beleásni magunkat a hálózati ismeretekbe, és amikor már minden alapvető részletet megtanultunk, tovább gyarapíthatjuk tudásunkat ehhez kapcsolódó tanfolyamokkal. A CompTIA Network+ például egy IT tanúsítvány, amely igazolja, hogy rendelkezel a számítógépes hálózatokhoz szükséges ismeretekkel és készségekkel.
Script nyelv
Egy script nyelv – azaz elemi utasításokból álló programnyelv – ismerete nagy segítség lehet a munkád során. Ezt nem kell tökéletesen megtanulni, elég, ha a struktúrát megismered és tudsz kódot olvasni. A Python ilyen szempontból jó választás lehet, viszonylag egyszerű és modern, emellett könnyen értelmezhető.
Operációs rendszer
A Linux alapú operációs rendszerek ismerete is előnyünkre válhat, mert sok etikus hacker által használt eszköz ezen fut. A Linux disztribúciók közül, egy optimális választás lehet a Kali Linux, mivel előre telepítve tartalmaz hasznos programokat, melyek a kiberbiztonsági tesztelés alatt a segítségünkre lehetnek.
Sérülékenység vizsgáló szoftver
A Nessus Professional segítségével gyorsan azonosítani tudjuk a sebezhetőségeket, szoftver hibákat, téves konfigurációkat, ileetve rosszindulatú programokat az eszközökben és alkalmazásokban.
Jutalom
Felmerülhet bennünk a kérdés, hogy etikus hackerként mekkora jövedelemre számíthatunk, lehet-e főállásban végezni ezt a munkát. Ez az összeg csakis attól függ, hogy az illető mennyire ássa bele magát az etikus hackelésbe, mennyire komolyan foglalkozik vele.
A bug bounty programnál is változhat az összeg, hiszen függ attól, hogy milyen kritikusságú hibát találunk, privát vagy publikus programról beszélünk-e. Illetve előny, hogyha a szerencse is mellénk áll és mi vagyunk azok, akik először beküldik a sérülékenységet. Összességében azonban elmondható, hogy etikus hackerként milliós nagyságrendű fizetése is lehet valakinek, hiszen a nagyobb cégek komoly összegeket ajánlhatnak fel egy súlyos hiba megtalálásáért.
Egy etikus hacker sikerét nem mérőszámokban mérjük, leginkább a tapasztalat és a ranglista helyezés lehet mérvadó. Jól mutat az önéletrajzban, hogy ha nagy nevek mellett dolgozott az illető, illetve külföldi programoknál díjakat is lehet kapni. Az igazán sikereseket pedig interjúkban, szakmai cikkekben is említik.
Milyen kapcsolat van az etikus hacker és az ügyfelek között?
A bug bounty program előnye a cégek számára, hogy nem kell kapcsolatba lépniük a hackerekkel, ezt a terhet levesszük a megbízó válláról. Mi intézünk minden kommunikációt, felmerülő problémát. Az ügyfél nem is látja a bejelentett riportból, hogy ki az a hacker, aki a sérülékenységet megtalálta.
Ugyanez vonatkozik az etikus hackerekre is, a platformunk biztosítja nekik, hogy ne kelljen ügyfeleket, cégeket keresniük, csak a programot kell kiválasztaniuk, amin dolgozni szeretnének. Nálunk legálisan dolgozhat, és magyarországi vállalatokat is tesztelhet.
Az etikus hackerek munkájára egyre nagyobb igény lesz, hiszen sérülékenységek mindig is voltak, mindig is lesznek. Mi örülünk neki, hogy egyre többen dolgoznak velünk, hiszen több szem többet lát. Várunk szeretettel, hogy ha csatlakoznál a HACKTIFY csapatához.