Mennyit érnek az etikus hackerek?

#TogetherWeHitHarder

Réfi Balázs

2021. március 4.


Mennyit keres egy etikus hacker? Ki kicsoda ebben a világban, mit csinál és kivel van? Rakjunk egy kis rendet a fejünkben! Tudj meg többet!

More...

Kapucnis pulcsi, feliratos póló, farmer, sötét színek, hátizsák, egyedül a pincében a számítógép előtt. A legtöbbször így ábrázolják a filmekben a hackereket, gondoljunk akár a Mr. Robot programozójára, A tetovált lány címszereplőjére, vagy a Hacktion című magyar sorozatra.

Számtalan filmben találkozhatunk hackerekkel (black hat hacker). De vajon mitől lesz valaki etikus (fehér kalapos, azaz white hat) hacker?

Etikus hacker - Bluebird

Kezdjük az elején: mi a hackelés?

A hackelés nem más, mint törekvés arra, hogy hozzáférj olyan számítógépekhez vagy más IT eszközökhöz, azon tárolt adatokhoz, melyekhez jogosultsággal nem rendelkezel. Továbbá a hackelésbe természetesen beletartozik eszközök jogszerűtlen manipulálása is.

A legtöbben azt gondolják, hogy a hackeléshez óriási tudás szükséges. Valójában azonban léteznek felhasználó szintű hackerek is és olyanok is, akik tényleges, valódi és mély tudással rendelkeznek.

Nézzünk egy egyszerű példát: felhasználói szinten bárki (őket hívjuk script kiddie-nek) képes lehet futtatni olyan scripteket vagy programokat, melyek pl. wifi hálózatokba tudnak authentikálni, így képesek lehetünk jelszóval védett, nem saját wifi hálózatot használni, illetve bejutni egy olyan hálózatba, melynek nem vagyunk legális felhasználói.

Ha viszont mi írjuk a programot, ami képes feltörni idegen wifi jelszót, akkor egész más tudásszintről beszélünk. Aki pedig tud programozni annyira, hogy írjon egy wifi kódot feltörő programot (amit még mindig nem nevezhetünk bonyolult programnak), az valószínűleg nem fog idegen kódot futtatni, mert tudja, bármi lehet benne (például telepíthetünk egy jó kis jelszó lopó programot önszántunkból).

Mikor lehet, és nem lehet hacker tevékenységet végezni? Ez különbözteti meg az etikus hackert a többi hackertől. Ha felhatalmazással futtatjuk a fentiek szerinti programot, akkor nevezhetjük magunkat etikus hackernek. (A további szükséges feltételeket kifejtjük az alábbiakban.) Ha viszont anélkül futtatjuk, akkor egyértelműen bűncselekményt követünk el. Kérünk minden kedves olvasót, maradjon az etikus oldalon!

Mik a legfőbb különbségek az etikus és nem etikus hackerek között?

Etikus hacker

(white hat hacker)

  • Felhatalmazással rendelkezik
  • Tevékenységét szerződések szabályozzák
  • Célja a biztonsági rések javítás miatti felfedése
  • Munkaszerűen végzi tevékenységét
  • Tevékenysége szabályozott

Nem etikus hacker

(black hat hacker)

  • Nincs felhatalmazása
  • Tevékenysége illegális
  • Célja a biztonsági rések kijátszása, haszonszerzés
  • Hobbiként vagy anyagi érdek alapján végzi tevékenységét
  • Tevékenysége szabályozatlan

Egyéb hacker „típusok”

Grey hat hackernek azokat a hackereket nevezzük, akik hackerként felhatalmazás nélkül biztonsági réseket keresnek, majd találat esetén értesítik a megtámadott rendszer üzemeltetőit. Az értesítést követően felajánlják segítségüket, persze többnyire pénzért cserébe.

További hacker típusok:

  • Blue hat hacker: Főbb feladatuk az új rendszerek megjelenés előtti tesztelése, támadása.
  • Green hat hacker: Zöldfülű, kezdő hacker.
  • Script kiddie: Mások által megírt programokat használnak hackelés céljára.

Magyarországon az elmúlt években számos grey hat hacking történt, melynek következménye rendszerint büntető eljárás megindítása volt a „megtámadott” vállalat részéről.

Etikus hacker - Bluebird

Az etikus hacker

Egyre jobban tisztul a kép a hackerekkel kapcsolatban, amióta bekerült a köztudatba az etikus hacker kifejezés. Ők azok a szakemberek, akik hivatalosan dolgoznak cégeknek, és a biztonságos rendszerek kialakításában segítenek. Pontosabban olyan hackerek, aki a biztonsági réseket nem kihasználni, hanem megszüntetni szeretnék. Céljuk, hogy az adott rendszer minél inkább védett legyen a támadásokkal szemben. Megpróbálnak betörni az adott vállalat rendszereibe, azaz megnézik a rendszer sebezhetőségeit, és probléma esetén megoldási javaslattal állnak elő. Így a biztonsági rések javítása ideális esetben még azelőtt megtörténik, mielőtt – hackerek vagy crackerek által – valódi támadás éri a céget.

Folyamatos tanulással bárki lehet etikus hacker. Valószínűleg abból válik ilyen szakember, akit érdekel, hogyan lehet rendszerekbe bejutni, biztonsági réseket megtalálni, emellett nincs ártó szándéka. Inkább a kihívás az, ami érdekes neki a hackelési munkában. A 2018-as Hacker Reportból kiderül, hogy 58%-uk nem iskolában sajátította el a hackelést, jóllehet legtöbbjük informatikai képzésben részesült.

Az egyik legkeresettebb és legnépszerűbb minősítés világszerte a CEH (Certified Ethical Hacker). Általánosságban elmondhatjuk a legkeresettebb etikus hackernek betörési tesztelésben, sérülékenységelemzésben, mobil applikációk fejlesztésében, kódfejtésben, reverse engineeringben kell tapasztalatot szerezniük. Ezek mellett incidensreagálási folyamatokban kell részt venniük, és mindig nyitottnak kell lenniük az új megoldásokra is.

Az etikus hacker egy átfogó kifejezés, többféle pozíciót is takar: közéjük tartozhatnak többek között a penetrációs tesztelők, biztonsági elemzők, információbiztonsági tanácsadók és a hálózatbiztonsági szakemberek is. Számos olyan cég van, amely kétféle biztonsági csapatot is toboroz. A „kék csapat” (blue team) feladata az üzleti rendszerek biztonságának biztosítása, míg a „piros csapat” (red team) támadja meg a belső hálózati rendszert.

Etikus hackerek alkalmazásának okai

Megelőző intézkedések a biztonsági szabálysértések elkerülése érdekében.

  • Ügyfél információk védelme.
  • Biztonsági tudatosság létrehozása a vállalkozás minden szintjén.
  • A hálózatok rendszeres időközönként történő tesztelése.
  • A tanúsított etikus hackereknek kötelezettségük jelenteni a felmerült (biztonsági) problémákat.
  • Képben vannak a legújabb technológiákkal és módszerekkel.
  • A veszteségek csökkentése.

Állások IT biztonság területén

IT biztonság területén belül az etikus hacker szerepkör mellett számos egyéb munkakör található.

Fontos tisztázni, hogy az "etikus hacker" is gyűjtőfogalomként használatos. Bár a legtöbb embernek azonnal egy deviáns fejlesztő képe formálódik az etikus hacker kifejezés kapcsán, valójában sokféle állás és feladat létezik ezen a besoroláson belül is.


Nézzük, mire érdemes rákeresned, ha IT biztonság területen állást keresel!

Vezetői állások

Etikus hacker állás - cyber security manager

Cyber security manager vagy IT security manager

Kiberbiztonsági vezető feladata, hogy kialakítsa a biztonsági irányelveket és eljárásokat, gondoskodjon ezek működtetéséről. Feladata továbbá, hogy biztosítsa, hogy a rendszerekhez csak azok férhessenek hozzá, akik erre vonatkozó jogosultsággal rendelkeznek, biztonsági rések ne lehessenek. 

Koordinálja a kockázatok szisztematikus feltárását, továbbá az adatok biztonsági osztályuknak megfelelő védelmét.

Fenti feladatai mellett hozzá tartozik, mint vezetőhöz, a csapat képzése, vezetése, koordinálása és motiválása. 

Architekt állások

Etikus hacker állás - IT security architect - Bluebird

Corporate IT security architect vagy Infrastructure security architect

Hozzá tartozik a vállalat vagy infrastruktúra biztonsági szabványainak, konvencióinak kialakítása, vállalati biztonsági rendszerek tervezése és ellenőrzése. Feladata az IT-biztonsággal kapcsolatos szabványos működési eljárások kidolgozása, felülvizsgálata és karbantartása, sebezhetőségek feltérképezése és elhárítására architektúra elemek tervezése.

Szintén feladata az új technológiák és megoldások kockázatértékelése.

Tanácsadó / analyst állások

Etikus hacker állás - Információbiztonsági szakértő - Bluebird

Információbiztonsági tanácsadó, Information security analyst, Információbiztonsági szakértő vagy Cyber security analyst

Feladata az IT security alkalmazások tervezése, bevezetése és üzemeltetésében való részvétel, biztonsági incidensek kezelése, biztonsági előírások végrehajtása, eltérések kezelése, megszüntetése.

Továbbá hozzá tartozik incidensek esetén az utólagos vizsgálatok elvégzése, szükséges módosítások, beavatkozási pontok definiálása és megtervezése.

Szintén feladata az adatszivárgások megelőzésében való részvétel, illetve jelentések készítése a feltárt problémákról.

Etikus hacker állások

Etikus hacker állás - Ethical hacking specialist - Bluebird

Etikus hacker, Application security engineer, Ethical hacking specialist vagy Security engineer

Feladata a sebezhetőségek felmérése, kockázatok feltárása és értékelése, továbbá penetrációs tesztek elvégzése és kiértékelése, ellenintézkedésekre történő javaslattétel.

Szintén feladata lehet rootolás, jailbreak, továbbá hálózati-, informatikai eszközökbe, alkalmazásokba történő behatolás, továbbá alkalmazások-, rendszerek védelmének kiépítésében való részvétel.

Tesztelő állások

Etikus hacker állás - Penetration tester - Bluebird

Security testing engineer vagy Penetration tester

Alkalmazások, rendszerek, hálózatok behatolás- és sebezhetőségének tesztelése, teszteredmények dokumentálása. Feladata továbbá biztonsági rések felfedése, aktív és passzív információgyűjtés, hálózati infrastruktúrák és végpontok  tesztelése.

Üzemeltetői állások

Etikus hacker állás - Security administrator - Bluebird

Security administrator vagy Security solution administrator

Behatolás elleni védelem és antimalware megoldások kezelése, víruskezelő megoldások üzemeltetése, vállalati protokoll-, házirend szerinti üzemeltetési feladatok ellátása.

Feladata továbbá a hálózat-, rendszer-, alkalmazás monitorig feladatok elvégzése, részvétel az incidens menedzsment feladatok elvégzésében.

Frissítések, javítások és verzióváltások végrehajtása.


Legfontosabb etikus hacker tanusítványok

Certified Ethical Hacker tanusítvány - Bluebird

Certified Ethical Hacker (CEH)

A CEH vizsga az egyik legelterjedtebb és legelfogadottabb etikus hacker minősítés. A vizsga megszerzése előtt elméleti és gyakorlati képzéseken vesznek részt a hallgatók. Megtanulják, milyen támadások érhetnek egy IT rendszert (beleértve az alkalmazást, rendszert, infrastuktúrát, stb.), milyen behatolási módok léteznek és mit kell tudni azok elhárításáról. 

A tematika része a felderítés, a jelszó elleni támadások, kémprogramok, backdoor technikák, DOS, DDOS, hijacking, webszerverek elleni támadások, buffer overflow, penetration tesztek. 

A minősítésre történő felkészítés és a vizsgázási lehetőség a felsőoktatásban és céges képzéseken is elérhetőek.

Certified Ethical Hacker tanusítvány - Bluebird

További etikus hacker tanusítványok

Global Information Assurance Certification (GIAC)

Certified Security Analyst (ECSA)
Certified Information System Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Encryption Specialist (ECES)

Licenced Penetration Tester (EPT)

GIAC Penetration Tester (GPEN)

Offensive Security Certified Professional (OSCP) 

Etikus hacker fizetések Magyarországon

Aktualitás: 2021.04.06

A különböző IT security munkaköröket nagyon sokféleképpen nevezik Magyarországon. Érdemes a feladatokat elolvasni a munkakör megnevezése mellett. Többnyire a konkrét feladatok azok, amelyek segítenek a munkakör mögötti tényleges tennivalók megértésében.

Manager és architekt fizetések

A managerek és architektek 1.2M és 2M Ft közötti bruttó bérsávval találnak állást mostanság. Azt gondoljuk, hogy egyre inkább nőni fog az igény irántuk.

Ide tartozik: Information Security Architekt, Information Security Manager

Mérnök és tanácsadó

Az ebbe a munkakörbe tartozó szakemberek bruttó 800.000 és 1.5M Ft közötti összeget kereshetnek.

Ide tartozik: Cyber Security Engineer, Information Security Engineer, Security Consultant

Elemző, tesztelő

Az elemzők, és penetration testerek bruttó 600.000 és 1M Ft közötti összegért tudnak elhelyezkedni.

Ide tartozik: Information Security Analyst, Cyber Security Analyst, Penetration Tester

Kitekintés a világra - Etikus hackerek az USA-ban

Etikus hacker fizetésekről szóló felmérések közül a Payscale.com oldalon lévőt találjuk a legjobban rendszerezettnek. Fontos, hogy a lenti fizetések éves bérek, USD-ben és az USA vonatkozásában értendők. (USA-n belül is akár +9% -24% eltérés lehet).

Átlagos etikus hacker fizetés

Etikus hacker fizetés - Bluebird blog

Source: Payscale.com

Munkakörönkénti fizetési sávok (juniortól seniorig)

Azaz mennyit érnek az etikus hackerek a munkáltatók számára

Etikus hacker munkakörök - Bluebird blog

Source: Payscale.com

Ethical Hacker Network

Bár az etikus hackerek nagy része szeret egyedül dolgozni, saját online közösséget és ingyenes online magazint is alapítottak The Ethical Hacker Network néven. Saját hashtaget is létrehoztak: #TogetherWeHitHarder. A 2018-as Hacker Report felmérése alapján a legtöbbet kereső etikus hackerek 2,7-szer több pénzt keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök. A legújabb kihívást pedig a felhőben rejlő biztonsági lehetőségek jelentik.


Ha megjött a kedved a fejlesztéshez, keress IT állást a Bluebird oldalán!

Ha elsőként szeretnél értesülni legfrissebb blogbejegyzéseinkről, kövesd LinkedIn és Facebook oldalunkat!


Források:

https://blog.crosssec.com/mi-az-az-etikus-hackeles-es-miert-fontos

https://etikushacker.info

https://www.techopedia.com/definition/16089/ethical-hacker

https://www.itpro.co.uk/641470/so-you-want-to-be-an-ethical-hacker

https://www.simplilearn.com/ethical-hackers-for-businesses-article

https://www.hackerone.com/sites/default/files/2018-01/2018_Hacker_Report.pdf

https://www.origo.hu/gazdasag/20181213-akar-felmillio-dollart-is-kereshet-egy-etikus-hacker.html

http://www.itsecure.hu/etikus_hack?gclid=CjwKCAjw8-LnBRAyEiwA6eUMGgWRIh72Gsc1s0B9Y8BCPIPPbMCMrrwTM2swGU4TfU6XE2rdSAL9FhoCS54QAvD_BwE

https://www.payscale.com/research/US/Job=Ethical_Hacker/Salary