Mennyit érnek az etikus hackerek?

Réfi Balázs
2022. október 15.

Mennyit keres egy etikus hacker? Ki kicsoda ebben a világban, mit csinál és kivel van? Rakjunk egy kis rendet a fejünkben! Tudj meg többet!

More...

Kapucnis pulcsi, feliratos póló, farmer, sötét színek, hátizsák, egyedül a pincében a számítógép előtt. A legtöbbször így ábrázolják a filmekben a hackereket, gondoljunk akár a Mr. Robot programozójára, A tetovált lány címszereplőjére, vagy a Hacktion című magyar sorozatra.

Számtalan filmben találkozhatunk hackerekkel (black hat hacker). De vajon mitől lesz valaki etikus (fehér kalapos, azaz white hat) hacker?

Etikus hacker

Kezdjük az elején: mi a hackelés?

A hackelés nem más, mint törekvés arra, hogy hozzáférj olyan számítógépekhez vagy más IT eszközökhöz, azon tárolt adatokhoz, amelyekhez jogosultsággal nem rendelkezel. Továbbá a hackelésbe természetesen beletartozik eszközök jogszerűtlen manipulálása is.

A legtöbben azt gondolják, hogy a hackeléshez óriási tudás szükséges. Valójában azonban léteznek felhasználó szintű hackerek is és olyanok is, akik tényleges, valódi és mély tudással rendelkeznek.

Nézzünk egy egyszerű példát: felhasználói szinten bárki (őket hívjuk script kiddie-nek) képes lehet futtatni olyan scripteket vagy programokat, amelyek pl. wifi hálózatokba tudnak authentikálni, így képesek lehetünk jelszóval védett, nem saját wifi hálózatot használni, illetve bejutni egy olyan hálózatba, amelynek nem vagyunk legális felhasználói.

Ha viszont mi írjuk a programot, ami képes feltörni idegen wifi jelszót, akkor egész más tudásszintről beszélünk. Aki pedig tud programozni annyira, hogy írjon egy wifi kódot feltörő programot (amit még mindig nem nevezhetünk bonyolult programnak), az valószínűleg nem fog idegen kódot futtatni, mert tudja, bármi lehet benne (például telepíthetünk egy jó kis jelszó lopó programot önszántunkból).

Mikor lehet, és nem lehet hacker tevékenységet végezni? Ez különbözteti meg az etikus hackert a többi hackertől. Ha felhatalmazással futtatjuk a fentiek szerinti programot, akkor nevezhetjük magunkat etikus hackernek. (A további szükséges feltételeket kifejtjük az alábbiakban.) Ha viszont anélkül futtatjuk, akkor egyértelműen bűncselekményt követünk el. Kérünk minden kedves olvasót, maradjon az etikus oldalon!

Mik a legfőbb különbségek az etikus és nem etikus hackerek között?

Etikus hacker

(white hat hacker)

  • Felhatalmazással rendelkezik
  • Tevékenységét szerződések szabályozzák
  • Célja a biztonsági rések javítás miatti felfedése
  • Munkaszerűen végzi tevékenységét
  • Tevékenysége szabályozott

Nem etikus hacker

(black hat hacker)

  • Nincs felhatalmazása
  • Tevékenysége illegális
  • Célja a biztonsági rések kijátszása, haszonszerzés
  • Hobbiként vagy anyagi érdek alapján végzi tevékenységét
  • Tevékenysége szabályozatlan

Egyéb hacker „típusok”

Grey hat hackernek azokat a hackereket nevezzük, akik hackerként felhatalmazás nélkül biztonsági réseket keresnek, majd találat esetén értesítik a megtámadott rendszer üzemeltetőit. Az értesítést követően felajánlják segítségüket, persze többnyire pénzért cserébe.

További hacker típusok:

  • Blue hat hacker: Főbb feladatuk az új rendszerek megjelenés előtti tesztelése, támadása.
  • Green hat hacker: Zöldfülű, kezdő hacker.
  • Script kiddie: Mások által megírt programokat használnak hackelés céljára.

Magyarországon az elmúlt években számos grey hat hacking történt, melynek következménye rendszerint büntetőeljárás megindítása volt a „megtámadott” vállalat részéről.

Etikus hacker - Bluebird

Az etikus hacker

Egyre jobban tisztul a kép a hackerekkel kapcsolatban, amióta bekerült a köztudatba az etikus hacker kifejezés. Ők azok a szakemberek, akik hivatalosan dolgoznak cégeknek, és a biztonságos rendszerek kialakításában segítenek. Pontosabban olyan hackerek, aki a biztonsági réseket nem kihasználni, hanem megszüntetni szeretnék. Céljuk, hogy az adott rendszer minél inkább védett legyen a támadásokkal szemben. Megpróbálnak betörni az adott vállalat rendszereibe, azaz megnézik a rendszer sebezhetőségeit, és probléma esetén megoldási javaslattal állnak elő. Így a biztonsági rések javítása ideális esetben még azelőtt megtörténik, mielőtt – hackerek vagy crackerek által – valódi támadás éri a céget.

Folyamatos tanulással bárki lehet etikus hacker. Valószínűleg abból válik ilyen szakember, akit érdekel, hogyan lehet rendszerekbe bejutni, biztonsági réseket megtalálni, emellett nincs ártó szándéka. Inkább a kihívás az, ami érdekes neki a hackelési munkában. A 2018-as Hacker Reportból kiderül, hogy 58%-uk nem iskolában sajátította el a hackelést, jóllehet legtöbbjük informatikai képzésben részesült.

Az egyik legkeresettebb és legnépszerűbb minősítés világszerte a CEH (Certified Ethical Hacker). Általánosságban elmondhatjuk a legkeresettebb etikus hackernek betörési tesztelésben, sérülékenységelemzésben, mobil applikációk fejlesztésében, kódfejtésben, reverse engineeringben kell tapasztalatot szerezniük. Ezek mellett incidensreagálási folyamatokban kell részt venniük, és mindig nyitottnak kell lenniük az új megoldásokra is.

Az etikus hacker egy átfogó kifejezés, többféle pozíciót is takar: közéjük tartozhatnak többek között a penetrációs tesztelők, biztonsági elemzők, információbiztonsági tanácsadók és a hálózatbiztonsági szakemberek is. Számos olyan cég van, amely kétféle biztonsági csapatot is toboroz. A „kék csapat” (blue team) feladata az üzleti rendszerek biztonságának biztosítása, míg a „piros csapat” (red team) támadja meg a belső hálózati rendszert.

Etikus hackerek alkalmazásának okai

Megelőző intézkedések a biztonsági szabálysértések elkerülése érdekében.

  • Ügyfél információk védelme.
  • Biztonsági tudatosság létrehozása a vállalkozás minden szintjén.
  • A hálózatok rendszeres időközönként történő tesztelése.
  • A tanúsított etikus hackereknek kötelezettségük jelenteni a felmerült (biztonsági) problémákat.
  • Képben vannak a legújabb technológiákkal és módszerekkel.
  • A veszteségek csökkentése.

Állások IT biztonság területén

IT biztonság területén belül az etikus hacker szerepkör mellett számos egyéb munkakör található.

Fontos tisztázni, hogy az "etikus hacker" is gyűjtőfogalomként használatos. Bár a legtöbb embernek azonnal egy deviáns fejlesztő képe formálódik az etikus hacker kifejezés kapcsán, valójában sokféle állás és feladat létezik ezen a besoroláson belül is.

IT állások és IT projektek a Bluebirdnél
IT contracting - Bluebird
IT recruitment - Bluebird

Nézzük, mire érdemes rákeresned, ha IT biztonság területen állást keresel!

Etikus hacker állás - cyber security manager

Vezetői állások

Cyber security manager vagy IT security manager

Kiberbiztonsági vezető feladata, hogy kialakítsa a biztonsági irányelveket és eljárásokat, gondoskodjon ezek működtetéséről. Feladata továbbá, hogy biztosítsa, hogy a rendszerekhez csak azok férhessenek hozzá, akik erre vonatkozó jogosultsággal rendelkeznek, biztonsági rések ne lehessenek. 

Koordinálja a kockázatok szisztematikus feltárását, továbbá az adatok biztonsági osztályuknak megfelelő védelmét.

Fenti feladatai mellett hozzá tartozik, mint vezetőhöz, a csapat képzése, vezetése, koordinálása és motiválása. 

Etikus hacker állás - IT security architect - Bluebird

Architekt állások

Corporate IT security architect vagy Infrastructure security architect

Hozzá tartozik a vállalat vagy infrastruktúra biztonsági szabványainak, konvencióinak kialakítása, vállalati biztonsági rendszerek tervezése és ellenőrzése. Feladata az IT-biztonsággal kapcsolatos szabványos működési eljárások kidolgozása, felülvizsgálata és karbantartása, sebezhetőségek feltérképezése és elhárítására architektúra elemek tervezése.

Szintén feladata az új technológiák és megoldások kockázatértékelése.

Etikus hacker állás - Információbiztonsági szakértő - Bluebird

Tanácsadó / analyst állások

Információbiztonsági tanácsadó, -szakértő vagy Cyber security analyst

Feladata az IT security alkalmazások tervezése, bevezetése és üzemeltetésében való részvétel, biztonsági incidensek kezelése, biztonsági előírások végrehajtása, eltérések kezelése, megszüntetése.

Továbbá hozzá tartozik incidensek esetén az utólagos vizsgálatok elvégzése, szükséges módosítások, beavatkozási pontok definiálása és megtervezése.

Szintén feladata az adatszivárgások megelőzésében való részvétel, illetve jelentések készítése a feltárt problémákról.

Etikus hacker állás - Ethical hacking specialist - Bluebird

Etikus hacker állások

Etikus hacker, Application security engineer vagy Security engineer

Feladata a sebezhetőségek felmérése, kockázatok feltárása és értékelése, továbbá penetrációs tesztek elvégzése és kiértékelése, ellenintézkedésekre történő javaslattétel.

Szintén feladata lehet rootolás, jailbreak, továbbá hálózati-, informatikai eszközökbe, alkalmazásokba történő behatolás, továbbá alkalmazások-, rendszerek védelmének kiépítésében való részvétel.

Etikus hacker állás - Penetration tester - Bluebird

Tesztelő állások

Security testing engineer vagy Penetration tester

Alkalmazások, rendszerek, hálózatok behatolás- és sebezhetőségének tesztelése, teszteredmények dokumentálása. Feladata továbbá biztonsági rések felfedése, aktív és passzív információgyűjtés, hálózati infrastruktúrák és végpontok tesztelése.

Etikus hacker állás - Penetration tester - Bluebird

Üzemeltetői állások

Security administrator vagy Security solution administrator

Behatolás elleni védelem és antimalware megoldások kezelése, víruskezelő megoldások üzemeltetése, vállalati protokoll-, házirend szerinti üzemeltetési feladatok ellátása.

Feladata továbbá a hálózat-, rendszer-, alkalmazás monitorig feladatok elvégzése, részvétel az incidens menedzsment feladatok elvégzésében.

Frissítések, javítások és verzióváltások végrehajtása.

Legfontosabb tanúsítványok

Certified Ethical Hacker tanusítvány - Bluebird

Certified Ethical Hacker (CEH)

A CEH vizsga az egyik legelterjedtebb és legelfogadottabb etikus hacker minősítés. A vizsga megszerzése előtt elméleti és gyakorlati képzéseken vesznek részt a hallgatók. Megtanulják, milyen támadások érhetnek egy IT rendszert (beleértve az alkalmazást, rendszert, infrastuktúrát, stb.), milyen behatolási módok léteznek és mit kell tudni azok elhárításáról. 

A tematika része a felderítés, a jelszó elleni támadások, kémprogramok, backdoor technikák, DOS, DDOS, hijacking, webszerverek elleni támadások, buffer overflow, penetration tesztek. 

A minősítésre történő felkészítés és a vizsgázási lehetőség a felsőoktatásban és céges képzéseken is elérhetőek.

Certified Ethical Hacker tanusítvány - Bluebird

További tanúsítványok

Global Information Assurance Certification (GIAC)

Certified Security Analyst (ECSA)
Certified Information System Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Encryption Specialist (ECES)

Licenced Penetration Tester (EPT)

GIAC Penetration Tester (GPEN)

Offensive Security Certified Professional (OSCP) 

Etikus hacker fizetések Magyarországon

Aktualitás: 2023.07.11.

A különböző IT security munkaköröket nagyon sokféleképpen nevezik Magyarországon. Érdemes a feladatokat elolvasni a munkakör megnevezése mellett. Többnyire a konkrét feladatok azok, amelyek segítenek a munkakör mögötti tényleges tennivalók megértésében.

Manager és architekt fizetések

A managerek és architektek 1.5M és 2.3M Ft közötti bruttó bérsávval találnak állást mostanság. Azt gondoljuk, hogy egyre inkább nőni fog az igény irántuk.

Ide tartozik: IT Development Manager, IT Operation Manager, Test Manager, Project Manager, IT Security Manager, Software Architect, Solution Architect, Infrastructure Architect

Mérnök és tanácsadó

Az ebbe a munkakörbe tartozó szakemberek bruttó 1.2M és 1.9M Ft közötti összeget kereshetnek.

Ide tartozik: IT Security Consultant, Security Engineer

Elemző, tesztelő

Az elemzők, és testerek bruttó 800.000 és 1.8M Ft közötti összegért tudnak elhelyezkedni.

Ide tartozik: System Analyst, Automation Tester, Manual Tester

Kitekintés a világra - USA

Etikus hacker fizetésekről szóló felmérések közül a Payscale.com oldalon lévőt találjuk a legjobban rendszerezettnek. Fontos, hogy a lenti fizetések éves bérek, USD-ben és az USA vonatkozásában értendők. (USA-n belül is akár +9% -24% eltérés lehet).

Átlagos fizetés (USA)

Etikus hacker fizetés - Bluebird blog

Source: Payscale.com

Nézd meg az összes IT fizetési sávot!

Ethical Hacker Network

Bár az etikus hackerek nagy része szeret egyedül dolgozni, saját online közösséget és ingyenes online magazint is alapítottak The Ethical Hacker Network néven. Saját hashtaget is létrehoztak: #TogetherWeHitHarder. A 2018-as Hacker Report felmérése alapján a legtöbbet kereső etikus hackerek 2,7-szer több pénzt keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök. A legújabb kihívást pedig a felhőben rejlő biztonsági lehetőségek jelentik.

5 népszerű film, amit látnod kell!

Ha elsőként szeretnél értesülni legfrissebb blogbejegyzéseinkről, kövesd LinkedIn és Facebook oldalunkat!


Ehhez kapcsolódó témák

Success message!
Warning message!
Error message!