autor gościnny: Marianna Płatek, Redaktor @TechWarn.com
Etyczny haker to specjalista od cyberbezpieczeństwa, zwany również white hat, który włamuje się do systemu na własną prośbę przedsiębiorstwa w celu znalezienia luk w zabezpieczeniach.
Przeprowadza i dokumentuje legalne symulacje cyberataków, które identyfikują słabości systemu i aplikacji bez faktycznego wykorzystywania uzyskanych w ten sposób informacji. Sam tworzy i wykorzystuje narzędzia hakerskie w celu uzyskania dostępu do określonych poufnych danych i weryfikacji zabezpieczeń danego zasobu.
Testy penetracyjne sieci
Testy penetracyjne sieci wykonywane są zgodnie z zasadami PTES (Penetration Testing Execution Standard) i mogą dotyczyć zarówno sieci zewnętrznej, jak i wewnętrznej. Testy penetracyjne obejmują fazę pasywną (czyli rozpoznanie logiki używanych aplikacji i zebranie danych) oraz aktywną (symulacja cyberataku).
Pozwalają sprawdzić infrastrukturę firmy tak, jakby haker obecny był w sieci wewnętrznej i wykluczyć nawet sytuację, w której nieuczciwy pracownik działa na szkodę przedsiębiorstwa. Pentester może wykonać testy bezpieczeństwa sieci lokalnej zarówno przebywając w siedzibie firmy jak i zdanie przy wykorzystaniu sieci VPN.
Program Bug Bounty
Ciekawym sposobem na zyskanie renomy w branży legalnych hakerów jest Bug Bounty, czyli program premiowy, w którym udział bierze wiele znanych portali internetowych i twórców oprogramowania, takich jak Google, Facebook, Microsoft, Yahoo ! czy Oracle. Każda osoba z zewnątrz może otrzymywać nagrody pieniężne w zamian za wykrycie i zgłoszenie luk w zabezpieczeniach przedsiębiorstwa. Im poważniejszy błąd zostanie zgłoszony, tym większa gratyfikacja.
Dzięki temu programiści danej organizacji mogą naprawić te błędy, zanim staną się publiczne. Firma oszczędza, gdyż zapłacanie nagrody hakerowi działającemu na jej korzyść jest znacznie mniejszym kosztem niż potencjalne straty spowodowane utratą ważnych danych. Jak dotąd najwięcej zgłoszeń błędów pochodzi ze Stanów Zjednoczonych, Indii oraz Trynidad i Tobago, a sam Facebook wypłacił łącznie ponad 4.3 milionów dolarów nagród w ramach programu.
Jak zostać pentesterem?
Skuteczne hakowanie opiera się na wiedzy na temat sieci systemowej, sprzętu, interakcji użytkowników, zasad, procedur i kultury biznesowej. Zawód wymaga głębokiego zrozumienia strategii ataku i taktyk hakerskich, ich narzędzi i motywacji. Oczywiście przydatne będzie ukończenie studiów informatycznych i doświadczenie w zawodzie programisty. Nie jest to jednak najważniejsze. Konieczne są podstawowe umiejętności techniczne w zakresie systemów operacyjnych, języków programowania, narzędzi sieciowych oraz sprzętu i oprogramowania komputerowego. Przydadzą się także specjalistyczne kursy z zakresu kryminalistyki, kryptografii, analizy podatności oraz struktur i narzędzi bezpieczeństwa.
Pentester potrzebuje także umiejętności analitycznych oraz kreatywności podczas rozwiązywania problemów i tworzenia nowych narzędzi włamywania się do systemów bezpieczeństwa. Początkujący mogą zdobyć umiejętności poprzez szkolenia i kursy online, a w praktyce wiele firm wymaga egzaminu na certyfikowanego testera bezpieczeństwa. Ponieważ zawód wymaga nie tylko wiedzy, ale również dużej cierpliwości, pentesterem musi być jednak przede wszyskim osoba z pasją.
