Vendégblog: Interjú az etikus hackerrel

„Egyre nagyobb értéke lesz annak, hogy más ne nézzen bele az életünkbe.” 

 Schütz Dávid

Dávid fiatal egyetemista, aki egy éve tagja a HACKTIFY etikus hacker csapatának. Iskola mellett foglalkozik bug bountyval, 2019 óta főleg a Google termékeire fókuszál.

Folyamatosan fejlődő világunkban még mindig sokan gondolják azt, hogy a hackerek világa csak és kizárólag rossz lehet. A hackerek között azonban megkülönböztetünk fekete kalapos és fehér kalapos hackereket. A fekete kalaposok közé tartoznak a rosszakaró hackerek, aki mások munkáját nem sajnálva törnek be rendszerekbe. A másik oldalon azonban az etikus hackerek állnak, akik minden idejüket és energiájuk abba fektetik, hogy megbízások alapján sérülékenységek után kutassanak.

Ebben a bejegyzésünkben szeretnénk Nektek bemutatni egy etikus hackert.

Mikor kezdett el érdekelni téged az informatika világa?

Nem is tudom, hogy az érdeklődésem az informatikával indult-e, de mindig is érdekelt a dolgok működése. Nemrég jutott eszembe egy konkrét emlék ezzel kapcsolatban. Nem emlékszem pontosan hány éves lehettem, de még kicsi voltam. Nagyon szerettem az autónk használati utasítását olvasgatni, és keresni benne az új funkciókat. Kíváncsi voltam mit tudnak még, és szerettem megtalálni ezeket a titkos dolgokat.  

Érdekes visszagondolni, hogy talán már ott megvolt egy ilyen érdeklődés azzal kapcsolatban, hogy hogyan kapcsolódnak egymáshoz különböző rendszerek és mit lehet velük csinálni. Ez később hozta magával a számítógépek világát. A szüleim is hasonló területen munkálkodtak, így korán kapcsolatba kerültem ezzel a területtel.

Középiskola elején egy barátommal sokat játszottunk a Minecraft nevű játékkal, és ő fejlesztett hozzá mindenféle extra funkciókat. Ez engem is nagyon érdekelt, de aztán sokáig mégsem indultam el a programozás irányába. Vele fejlesztettünk egyébként több kis saját projektet is. Ez nem munkaszerű volt, hanem szórakozás. Ilyen volt például a szegedi menetrend bot, amin keresztül a menetrendet lehetett lekérdezni. Ez tök jó volt és egész népszerű is lett. Később engem elkezdett érdekelni a hackelés és az informatikai biztonság világa. Először tool-okat írtam meg fejlesztettem, például, amivel le lehetett valakit lökni egy wifiről, vagy amivel olyan wifit lehetett könnyedén készíteni, amin látni lehetett a csatlakoztatott eszközök adatforgalmát.

2018-ban próbáltam először bug bountyt, kíváncsi voltam, hogy ez működik-e. Először az Under Armour programját próbáltam ki, ahol nem volt pénzjutalom, hanem a bugokért csak pontok jártak. Ott elég sok hibát tudtam találni, később pedig átmentem fizetős programokra, ahol szintén sikerekben volt részem. 

2019 szeptemberében döntöttem úgy, hogy etikus hackerként a Google-nek a programját szeretném csinálni. Ez nagyon széleskörű, hiszen minden Google szolgáltatást magába foglal. Lassan két éve ezt csinálom, és a globális listán a harmincadik hely körül vagyok. Elég sok hibát sikerült beküldenem.

Egyedül vagy csapatban dolgozol szívesebben? 

Egyedül. Még tanulom, hogy hogyan lehet ezt jól csapatban csinálni, illetve nem is lehet mindenhol együtt dolgozni. Az etikus hackelés szerintem olyan tevékenység, amit inkább egyedül végeznek az emberek. Egy idő után azonban sok tud lenni, ha folyton magányosan csinálja az ember, pont ezért keresek nyárra olyan gyakornoki munkát, ahol lehet fejleszteni. De látszik, hogy a platformok nyitnak a közös munka irányába, és ez jó dolog.

Hogyan kerültél kapcsolatba a HACKTIFY csapatával?

Csaba keresett meg először, hogy lenne egy ilyen lehetőség, és én nagyon örültem a HACKTIFY-nak. Magyarországon eddig ilyen még nem volt, nem lehetett magyar dolgokat tesztelni. Szerintem az összes magyar bug bountys célja, hogy egyszer az állami rendszereket is kirakják ebbe a környezetbe, és lehessen azokat is tesztelni. Bár attól talán még messze vagyunk, de én látok benne jövőt.

Mi az, ami tetszett az ő platformjukban?

Az, hogy nem hasonlít az összes többi platformra. Az a különlegességük, hogy olyan célpontokat adnak, akik egyébként elérhetetlenek. Ez a magyar közönségnek vonzó terület, főleg, hogy magyar oldalakat is tudunk tesztelni.

Mi az, ami számodra ebben élvezet, mi motivál téged?

Kicsit felfoghatatlan számomra, hogy én, mint külső ember, kor, papír, bármi nélkül elkezdhetek tesztelni és be is küldhetek egy hibát. A hiba már önmagában egy durva dolog. Gondoljunk bele, hogy mi mindent lehetne megtenni, ha rossz ember kezébe kerülne. Mi ezt nyilván nem tesszük meg. De a tudat, hogy ennek mekkora súlya van, motiváló. Be tudom küldeni, felveszik velem a kapcsolatot. A cégek nem nézik a korodat, végzettségedet vagy, hogy milyen ország állampolgára vagy. Nem foglalkoznak ezekkel, az az érdekük, hogy a hiba ki legyen javítva. 

Ami még sokszor felfoghatatlan számomra, hogy például ha a Google-nél lejelentek egy hibát, miattam egy egész fejlesztőcsapat kezd el dolgozni rajta, és utána milliárdok kapják meg a frissített verziót. Ez nagyon motiváló. 

Van olyan bug, amire nagyon büszke vagy?

Talán a YouTube-nál talált hibát emelném ki külön. Tegyük fel, hogy van egy ismert youtuber, akinek vannak privát, nem nyilvános videói is. Ez a hiba úgy működött, hogy ha például egy rajongó küldött volna neki egy linket, hogy nézze meg, és ő rákattint, akkor hozzáfért volna az összes privát videójához. Egy kattintás az egész. 

Ennek a megtalálása elég komplex feladat volt. Egy okos TV-re, a telefonom segítségével szerettem volna kirakni egy saját, privát videómat, hogy többen meg tudjuk nézni egy nagy képernyőn. Kirakta és le is játszotta. Nem értettem, hogy játszhatja le a privát videómat. Utánanéztem és megtaláltam ezt a hibát.

Mit gondolsz, mit rontanak el leggyakrabban a cégek? Hogyan kerülhetők el a kritikus hibák?

Kritikus hibák mindig lesznek, ez nem kérdés. Ami elválasztja egymástól a cégeket az az, hogy hogyan reagálnak ezekre, illetve, hogy mennyire foglalkoznak a kiberbiztonsággal. Van-e bug bounty vagy ahhoz hasonló programjuk, és ha beküldöd nekik a hibát, akkor ők ezt gyorsan, komolyan végigviszik-e. Sokszor azonban a cégek nem foglalkoznak ezzel és nincs is semmilyen platformjuk, amin a hibát jelenteni lehetne. 

Szerintem ezen áll vagy bukik a dolog. Azért nem szabad senkit sem hibáztatni, hogy kritikus hibák vannak az alkalmazásban, mert ez elkerülhetetlen. Ez nem baj, csak legyen valamilyen rendszer, amin keresztül kapcsolatba lehet velük lépni és kijavítani a hibát. Ettől nem kell megijedni, nem rosszindulattal közeledünk, csak szólni szeretnénk. Ha látszik, hogy ezzel tényleg foglalkoznak, az egy nagyon pozitív élmény.

Milyen pozitív hatásai lehetnek a cégek számára, ha etikus hackerekkel dolgoznak együtt?

Mindenképp ad egy bizalmat a felhasználóknak. Az mindig pozitív, ha valaki nem akarja titokban tartani a dolgait és megadja a lehetőséget a bejelentésre. 

Nagy közönség felé nem igazán szeretik hangoztatni, hogy bárki feltörheti a rendszert és jelenthet be hibákat. Ennek azért lehet egy fura csengése. De a valóság tulajdonképpen ez. 

Azt nem lehet csinálni, hogy nem engedünk közel senkit, mert annak az lesz a vége, hogy olyan valaki nézi meg, aki rossz célra használja fel.

Mit tanácsolnál annak, aki el akar indulni ezen az úton?

Ez egy nehéz kérdés. Azt tudnám ajánlani, amit én is csinálok. Amikor hibát keresek, először megpróbálom nagyon alaposan megérteni a rendszer működését. Az összes funkciót kipróbálom, megvizsgálom a háttérfolyamat működését. Ha az emberben kialakul egy ilyen szintű megértés, akkor nem is kerül sok erőfeszítésbe megtalálni a hibát. Természetesen kell egy alapvető ismeret a támadási típusokkal kapcsolatban, de ha nagyon alaposan átlátjuk a rendszert, szinte akaratlanul fognak eszünkbe jutni ezek a dolgok. Nem kell azon aggódni, hogyan próbálkozzunk feltörni, csak meg kell érteni a különböző funkciókat.

Ha hobbiból vagy akár munkaként fognánk bele az etikus hackerkedésbe, az egyik legnagyobb előny, hogy az ajtó szinte mindig nyitva áll. Elég, ha 16 éves vagy,  szakmai végzettségre nincs is hozzá szükség. Másrészt ugródeszkának is lehet használni IT biztonsági területen. Az én önéletrajzom jelenleg leginkább a talált hibáimból áll, amiket publikáltam, illetve, amik a blogomon is megjelennek.

Vannak olyan trendek, amik a szakmára jellemzőek?

Szerintem az egész bug bounty folyamat még gyerekcipőben jár. Úgy gondolom, hogy a jövőben az átlagos jutalmak meg fognak sokszorozódni, mert a védelem egyre kevésbé lesz elhanyagolható. Ahogy az életünk egyre inkább átköltözik az online térbe, és mindent ott intézünk, az IT biztonság a korábbinál is égetőbb kérdéssé válik. 

Egyre nagyobb értéke lesz annak, hogy más ne nézzen bele az életünkbe. 

A bug bounty program során az etikus hackerek a Te védelmed megerősítéséért, a Te biztonságodért dolgoznak. A program indításával kapcsolatban keress minket bizalommal! https://www.hacktify.eu

További publikációink