Az etikus hackerekről a legtöbb ember fejében egy sztereotip kép él, miszerint hátizsákos, kapucnis különcök, akik egy pincében titokban dolgoznak. Valójában azonban a többségnek semmiféle fogalma nincs arról, hogy mivel foglalkozik egy etikus hacker és arról sem, hogy mi különbözteti meg a nem etikus hackerektől. Ezzel a blogposzttal szeretnénk rendet tenni a fejekben és bemutatni, hogy mivel foglalkoznak az etikus hackerek.
Ki az az etikus hacker?
A hackelés lényege, hogy a hacker be tudjon törni egy számítógépbe, az IT eszközökbe, egy hálózatba és olyan adatokhoz, információkhoz férjen hozzá, amihez nem lenne jogosultsága. A hackelés több szinten is végezhető, például ha egy wifi hálózatot szeretnénk feltörni, ahhoz nem szükséges mélyreható tudás, elég ha az illető alapszinten tud programozni, mivel egyszerűen csak futtatni kell az erre a célra írt programot. Ha azonban a programot is el kell készíteni, akkor már komolyabb ismeretekre van szükség.
A profi hackereknek igen szerteágazó a tudása. Érteniük kell a betörési tesztekhez, az app fejlesztéshez, a sérülékenységelemzésez, a kódoláshoz és ez csak néhány a szükséges ismeretek közül.
Az etikus hackerek Certified Ethical Hacker (CEH) tanúsítvánnyal rendelkeznek. Ez a legelfogadottabb minősítés, amelyet egy képzés és egy vizsga teljesítésével szerezhetnek meg a szakemberek. Az oktatás alatt elsajátítják, hogy milyen támadási módok léteznek, ezeket hogy lehet elhárítani, hogy lehet felderíteni a gyanús tevékenységeket, behatolásokat, kémprogramokat.
Legális vagy illegális?
Az etikus és a nem etikus hackert egy vékony határvonal választja el, ez pedig nem más, mint a felhatalmazás. Az etikus, vagyis white hat hacker a megbízó felhatalmazásával tör be egy rendszerbe. Minden mozzanatát szerződés határozza meg, célja pedig nem az információszerzés, hanem a biztonsági rések felkutatása.
A nem etikus hackernek, vagyis a black hat hackernek ezzel ellentétben nincsen felhatalmazása, illegálisan törnek be, akárcsak egy betörő. A rendszer gyenge pontjain keresztül akarnak károkat okozni, tehetik ezt azért, mert valaki sokat fizet érte vagy pedig egyszerűen passzióból. A lényeg, hogy a tevékenység illegális és bűncselekmény.
Az etikus hackerek segítenek abban, hogy a rendszerek, az eszközök biztonságosak legyenek, illetéktelenek ne férhessenek hozzá az információkhoz. A hiányosságokat tehát nem kihasználni szeretnék, hanem befoltozni, megjavítani. Mindezt úgy teszik, hogy megpróbálnak betörni a rendszerekbe, hálózatokba, ellenőrzik a sebezhetőséget és javítási javaslatokat tesznek a cégeknek.
A cég megbízásából dolgozó profik kizárólag addig merészkednek, ameddig a megbízatásuk szól. A felderített gyengeségeket riportokban foglalják össze, de azt nem adják ki senki másnak és nem is használják fel saját céljaik érdekében. A hackerek a tevékenységükről dokumentációt készítenek és minden részletet rögzítenek. Fontos, hogy a tesztelés során ne érje kár az ügyfelet, ne következzen be túlterhelés vagy éppen leállás, ez ugyanis megrendítheti az ügyfelek bizalmát.
Milyen hackerek léteznek még?
A white hat és a black hat hackerek mellett léteznek más típusok is. Ott vannak például a grey hat hackerek, akik ugyan nem rendelkeznek felhatalmazással, viszont a biztonsági hiányosságokat nem használják ki, legalábbis nem úgy, ahogy a black hat hackerek. Ha valamilyen gyenge pontot találnak, akkor ezt jelzik a rendszer üzemeltetői felé, ha úgy tetszik eladják az információt, de az is előfordulhat, hogy a hiba javításáért kérnek pénzbeli ellentételezést.
A green hack hackerek a kezdő hackerek, a script kiddie-k olyan támadók, akik mások által írt programokat használnak, a blue hat hackerek pedig a teljesen új rendszereket tesztelik még a megjelenés előtt.
Milyen esetekben célszerű etikus hackert alkalmazni?
Általánosságban az etikus hackereket azért bízza meg egy cég, hogy kiderítsék a hiányosságokat és orvosolják azokat. A felkészülés oka, hogy az ügyfelek és a cég adatai biztonságban legyenek, azokat ne tudja más megszerezni, ne lehessen velük visszaélni. A vállalkozások sokféle adatot kezelhetnek. Alapvetően mindegyik védelme fontos, nem nehéz azonban belátni, hogy például egy banknál a védelem kiemelt helyen áll.
A rendszerek tesztelése nem azt jelenti, hogy bárki is meg szeretné kérdőjelezni a fejlesztők munkáját, profizmusát. A programok javarészt több csapat munkájának eredményeképpen jönnek létre. Ez azt is jelenti, hogy mindenki egy adott szegmensre összpontosít, így az összkép háttérbe szorulhat, a teljes rendszerre vonatkozó veszélyek láthatatlanok maradhatnak. Az etikus hackerek segítenek felfedni ezeket a hiányosságokat.
A Zero IT Labnál hisszük, hogy a biztonság nem privilégium, hanem bárki számára elérhető. Nap mint nap azon dolgozunk, hogy védhetővé tegyük az informatikai rendszereket. Ahhoz, hogy a legprofibb megoldásokkal tudjunk előrukkolni, folyamatosan fejlesztjük magunkat, tanulunk, hogy naprakész tudással álljunk a kihívások elé.
Vedd fel velünk a kapcsolatot, és segítünk egy biztonságos rendszer kialakításában!