Mennyit keres egy etikus hacker? Ki kicsoda ebben a világban, mit csinál és kivel van? Rakjunk egy kis rendet a fejünkben! Tudj meg többet!
More...
Kapucnis pulcsi, feliratos póló, farmer, sötét színek, hátizsák, egyedül a pincében a számítógép előtt. A legtöbbször így ábrázolják a filmekben a hackereket, gondoljunk akár a Mr. Robot programozójára, A tetovált lány címszereplőjére, vagy a Hacktion című magyar sorozatra.
Számtalan filmben találkozhatunk hackerekkel (black hat hacker). De vajon mitől lesz valaki etikus (fehér kalapos, azaz white hat) hacker?
Kezdjük az elején: mi a hackelés?
A hackelés nem más, mint törekvés arra, hogy hozzáférj olyan számítógépekhez vagy más IT eszközökhöz, azon tárolt adatokhoz, amelyekhez jogosultsággal nem rendelkezel. Továbbá a hackelésbe természetesen beletartozik eszközök jogszerűtlen manipulálása is.
A legtöbben azt gondolják, hogy a hackeléshez óriási tudás szükséges. Valójában azonban léteznek felhasználó szintű hackerek is és olyanok is, akik tényleges, valódi és mély tudással rendelkeznek.
Nézzünk egy egyszerű példát: felhasználói szinten bárki (őket hívjuk script kiddie-nek) képes lehet futtatni olyan scripteket vagy programokat, amelyek pl. wifi hálózatokba tudnak authentikálni, így képesek lehetünk jelszóval védett, nem saját wifi hálózatot használni, illetve bejutni egy olyan hálózatba, amelynek nem vagyunk legális felhasználói.
Ha viszont mi írjuk a programot, ami képes feltörni idegen wifi jelszót, akkor egész más tudásszintről beszélünk. Aki pedig tud programozni annyira, hogy írjon egy wifi kódot feltörő programot (amit még mindig nem nevezhetünk bonyolult programnak), az valószínűleg nem fog idegen kódot futtatni, mert tudja, bármi lehet benne (például telepíthetünk egy jó kis jelszó lopó programot önszántunkból).
Mikor lehet, és nem lehet hacker tevékenységet végezni? Ez különbözteti meg az etikus hackert a többi hackertől. Ha felhatalmazással futtatjuk a fentiek szerinti programot, akkor nevezhetjük magunkat etikus hackernek. (A további szükséges feltételeket kifejtjük az alábbiakban.) Ha viszont anélkül futtatjuk, akkor egyértelműen bűncselekményt követünk el. Kérünk minden kedves olvasót, maradjon az etikus oldalon!
Mik a legfőbb különbségek az etikus és nem etikus hackerek között?
Egyéb hacker „típusok”
Grey hat hackernek azokat a hackereket nevezzük, akik hackerként felhatalmazás nélkül biztonsági réseket keresnek, majd találat esetén értesítik a megtámadott rendszer üzemeltetőit. Az értesítést követően felajánlják segítségüket, persze többnyire pénzért cserébe.
További hacker típusok:
Magyarországon az elmúlt években számos grey hat hacking történt, melynek következménye rendszerint büntetőeljárás megindítása volt a „megtámadott” vállalat részéről.
Az etikus hacker
Egyre jobban tisztul a kép a hackerekkel kapcsolatban, amióta bekerült a köztudatba az etikus hacker kifejezés. Ők azok a szakemberek, akik hivatalosan dolgoznak cégeknek, és a biztonságos rendszerek kialakításában segítenek. Pontosabban olyan hackerek, aki a biztonsági réseket nem kihasználni, hanem megszüntetni szeretnék. Céljuk, hogy az adott rendszer minél inkább védett legyen a támadásokkal szemben. Megpróbálnak betörni az adott vállalat rendszereibe, azaz megnézik a rendszer sebezhetőségeit, és probléma esetén megoldási javaslattal állnak elő. Így a biztonsági rések javítása ideális esetben még azelőtt megtörténik, mielőtt – hackerek vagy crackerek által – valódi támadás éri a céget.
Folyamatos tanulással bárki lehet etikus hacker. Valószínűleg abból válik ilyen szakember, akit érdekel, hogyan lehet rendszerekbe bejutni, biztonsági réseket megtalálni, emellett nincs ártó szándéka. Inkább a kihívás az, ami érdekes neki a hackelési munkában. A 2018-as Hacker Reportból kiderül, hogy 58%-uk nem iskolában sajátította el a hackelést, jóllehet legtöbbjük informatikai képzésben részesült.
Az egyik legkeresettebb és legnépszerűbb minősítés világszerte a CEH (Certified Ethical Hacker). Általánosságban elmondhatjuk a legkeresettebb etikus hackernek betörési tesztelésben, sérülékenységelemzésben, mobil applikációk fejlesztésében, kódfejtésben, reverse engineeringben kell tapasztalatot szerezniük. Ezek mellett incidensreagálási folyamatokban kell részt venniük, és mindig nyitottnak kell lenniük az új megoldásokra is.
Az etikus hacker egy átfogó kifejezés, többféle pozíciót is takar: közéjük tartozhatnak többek között a penetrációs tesztelők, biztonsági elemzők, információbiztonsági tanácsadók és a hálózatbiztonsági szakemberek is. Számos olyan cég van, amely kétféle biztonsági csapatot is toboroz. A „kék csapat” (blue team) feladata az üzleti rendszerek biztonságának biztosítása, míg a „piros csapat” (red team) támadja meg a belső hálózati rendszert.
Etikus hackerek alkalmazásának okai
Megelőző intézkedések a biztonsági szabálysértések elkerülése érdekében.
Állások IT biztonság területén
IT biztonság területén belül az etikus hacker szerepkör mellett számos egyéb munkakör található.
Fontos tisztázni, hogy az "etikus hacker" is gyűjtőfogalomként használatos. Bár a legtöbb embernek azonnal egy deviáns fejlesztő képe formálódik az etikus hacker kifejezés kapcsán, valójában sokféle állás és feladat létezik ezen a besoroláson belül is.
Nézzük, mire érdemes rákeresned, ha IT biztonság területen állást keresel!
Vezetői állások
Cyber security manager vagy IT security manager
Kiberbiztonsági vezető feladata, hogy kialakítsa a biztonsági irányelveket és eljárásokat, gondoskodjon ezek működtetéséről. Feladata továbbá, hogy biztosítsa, hogy a rendszerekhez csak azok férhessenek hozzá, akik erre vonatkozó jogosultsággal rendelkeznek, biztonsági rések ne lehessenek.
Koordinálja a kockázatok szisztematikus feltárását, továbbá az adatok biztonsági osztályuknak megfelelő védelmét.
Fenti feladatai mellett hozzá tartozik, mint vezetőhöz, a csapat képzése, vezetése, koordinálása és motiválása.
Architekt állások
Corporate IT security architect vagy Infrastructure security architect
Hozzá tartozik a vállalat vagy infrastruktúra biztonsági szabványainak, konvencióinak kialakítása, vállalati biztonsági rendszerek tervezése és ellenőrzése. Feladata az IT-biztonsággal kapcsolatos szabványos működési eljárások kidolgozása, felülvizsgálata és karbantartása, sebezhetőségek feltérképezése és elhárítására architektúra elemek tervezése.
Szintén feladata az új technológiák és megoldások kockázatértékelése.
Tanácsadó / analyst állások
Információbiztonsági tanácsadó, -szakértő vagy Cyber security analyst
Feladata az IT security alkalmazások tervezése, bevezetése és üzemeltetésében való részvétel, biztonsági incidensek kezelése, biztonsági előírások végrehajtása, eltérések kezelése, megszüntetése.
Továbbá hozzá tartozik incidensek esetén az utólagos vizsgálatok elvégzése, szükséges módosítások, beavatkozási pontok definiálása és megtervezése.
Szintén feladata az adatszivárgások megelőzésében való részvétel, illetve jelentések készítése a feltárt problémákról.
Etikus hacker állások
Etikus hacker, Application security engineer vagy Security engineer
Feladata a sebezhetőségek felmérése, kockázatok feltárása és értékelése, továbbá penetrációs tesztek elvégzése és kiértékelése, ellenintézkedésekre történő javaslattétel.
Szintén feladata lehet rootolás, jailbreak, továbbá hálózati-, informatikai eszközökbe, alkalmazásokba történő behatolás, továbbá alkalmazások-, rendszerek védelmének kiépítésében való részvétel.
Tesztelő állások
Security testing engineer vagy Penetration tester
Alkalmazások, rendszerek, hálózatok behatolás- és sebezhetőségének tesztelése, teszteredmények dokumentálása. Feladata továbbá biztonsági rések felfedése, aktív és passzív információgyűjtés, hálózati infrastruktúrák és végpontok tesztelése.
Üzemeltetői állások
Security administrator vagy Security solution administrator
Behatolás elleni védelem és antimalware megoldások kezelése, víruskezelő megoldások üzemeltetése, vállalati protokoll-, házirend szerinti üzemeltetési feladatok ellátása.
Feladata továbbá a hálózat-, rendszer-, alkalmazás monitorig feladatok elvégzése, részvétel az incidens menedzsment feladatok elvégzésében.
Frissítések, javítások és verzióváltások végrehajtása.
Legfontosabb tanúsítványok
Certified Ethical Hacker (CEH)
A CEH vizsga az egyik legelterjedtebb és legelfogadottabb etikus hacker minősítés. A vizsga megszerzése előtt elméleti és gyakorlati képzéseken vesznek részt a hallgatók. Megtanulják, milyen támadások érhetnek egy IT rendszert (beleértve az alkalmazást, rendszert, infrastuktúrát, stb.), milyen behatolási módok léteznek és mit kell tudni azok elhárításáról.
A tematika része a felderítés, a jelszó elleni támadások, kémprogramok, backdoor technikák, DOS, DDOS, hijacking, webszerverek elleni támadások, buffer overflow, penetration tesztek.
A minősítésre történő felkészítés és a vizsgázási lehetőség a felsőoktatásban és céges képzéseken is elérhetőek.
További tanúsítványok
Global Information Assurance Certification (GIAC)
Certified Security Analyst (ECSA)
Certified Information System Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Encryption Specialist (ECES)
Licenced Penetration Tester (EPT)
GIAC Penetration Tester (GPEN)
Offensive Security Certified Professional (OSCP)
Etikus hacker fizetések Magyarországon
Aktualitás: 2023.07.11.
A különböző IT security munkaköröket nagyon sokféleképpen nevezik Magyarországon. Érdemes a feladatokat elolvasni a munkakör megnevezése mellett. Többnyire a konkrét feladatok azok, amelyek segítenek a munkakör mögötti tényleges tennivalók megértésében.
Manager és architekt fizetések
A managerek és architektek 1.5M és 2.3M Ft közötti bruttó bérsávval találnak állást mostanság. Azt gondoljuk, hogy egyre inkább nőni fog az igény irántuk.
Ide tartozik: IT Development Manager, IT Operation Manager, Test Manager, Project Manager, IT Security Manager, Software Architect, Solution Architect, Infrastructure Architect
Mérnök és tanácsadó
Az ebbe a munkakörbe tartozó szakemberek bruttó 1.2M és 1.9M Ft közötti összeget kereshetnek.
Ide tartozik: IT Security Consultant, Security Engineer
Elemző, tesztelő
Az elemzők, és testerek bruttó 800.000 és 1.8M Ft közötti összegért tudnak elhelyezkedni.
Ide tartozik: System Analyst, Automation Tester, Manual Tester
Kitekintés a világra - USA
Etikus hacker fizetésekről szóló felmérések közül a Payscale.com oldalon lévőt találjuk a legjobban rendszerezettnek. Fontos, hogy a lenti fizetések éves bérek, USD-ben és az USA vonatkozásában értendők. (USA-n belül is akár +9% -24% eltérés lehet).
Átlagos fizetés (USA)
Nézd meg az összes IT fizetési sávot!
Ethical Hacker Network
Bár az etikus hackerek nagy része szeret egyedül dolgozni, saját online közösséget és ingyenes online magazint is alapítottak The Ethical Hacker Network néven. Saját hashtaget is létrehoztak: #TogetherWeHitHarder. A 2018-as Hacker Report felmérése alapján a legtöbbet kereső etikus hackerek 2,7-szer több pénzt keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök. A legújabb kihívást pedig a felhőben rejlő biztonsági lehetőségek jelentik.