Etyczny haker – kim naprawdę jest?

16 września 2021

Zastanawiasz się nad karierą w bezpieczeństwie IT? Stanowisko etycznego hakera na pewno Cię zainteresuje. Przeczytaj artykuł i dowiedz się więcej!

W tym artykule dowiesz się:

  • Kim jest etyczny haker i kto może nim zostać;
  • Czy etycznym hakera można nazwać pentesterem i vice versa;
  • Jak wygląda przykładowe zlecenie na test penetracyjny etycznego hakera;
  • Czy etyczny hacking to dobry pomysł na pracę;

Etyczny haker - kim jest?

Etyczny haker, często określany mianem „white hat’a”, to ekspert bezpieczeństwa sieci i komputerów, który specjalizuje się w testach penetracyjnych, zabezpieczeniu systemów informatycznych i wykorzystywaniu wielu metodologii do zapewniania cyberbezpieczeństwa. Cechą definiującą etycznego hakera to działania zgodnie z prawem, zupełnie odwrotnie to tak zwanego hakera „black hat”, który przełamuje zabezpieczenia informatyczne dla własnego zysku lub po prostu złośliwości. Można się też również spotkać z pojęciem „grey hat”. To haker, który operuje w szarej strefie prawnej i etycznej, osoba ta czasami będzie łamała prawo, być może przez własną niewiedzę lub świadomie. Szarymi kapeluszami mogą być również badacze bezpieczeństwa systemów, którzy naruszają prawo w trakcie swoich badań. Metody działania wszystkich „kapeluszy” są takie same, różni ich tylko jak operują w świetle prawa.

Kto może zostać etycznym hakerem?

Czy żeby rozpocząć karierę w cyberbezpieczeństwie muszę mieć wykształcenie wyższe? Absolutnie nie! Ukończone studia kierunku informatyka czy cyberbezpieczeństwo same w sobie nie dadzą nam odpowiednich kompetencji do pracy etycznego hakera. Podstawową właściwością jest po prostu chęć majsterkowania, bawienia się komputerem i siecią, chęć rozwoju osobistego, umiejętność logicznego myślenia oraz oczywiście znajomość języka angielskiego na poziomie średniozaawansowanym.

Czy etyczny haker to pentester?

Etyczny haker ma bardzo szeroki zakres obowiązków, ale również dysponuje wieloma umiejętnościami. Profesjonaliści z tego zakresu budują i zabezpieczają ogromne infrastruktury sieciowe, sami konstruują narzędzia do ochrony i ataków cybernetycznych, analizują malware czy mają status badaczy naukowych w dziedzinie cyberbezpieczeństwa. Wiele z etycznych hakerów zajmuje się również analizą ryzyka w mniejszych i większych organizacjach, organizacją kampanii fake-phishingowych czy edukacją kadr. Etyczny haker może również oferować usługi konsultacji z zakresu cyberbezpieczeństwa lub audytów bezpieczeństwa. Wymagana będzie również znajomość prawa międzynarodowego, które reguluje kwestie związane z nieuprawnionym dostępem do systemów i aplikacji.

Jak te obowiązki porównują się do zakresu pracy pentestera? Otóż pentester — jak sama nazwa wskazuje - wykonuje tylko testy penetracyjne. Owszem, jest to jedna z usług oferowana przez etycznych hackerów, ale poza nią jest wiele wyżej wymienionych świadczeń.

Praca etycznego hakera - umowa na test penetracyjny

Gdy klient, czyli organizacja lub firma zatrudnia etycznego hakera do wykonania testów penetracyjnych, jego pracę można podzielić na 5 etapów:

  1. Planowanie i rekonesans

W pierwszym etapie wykonawca definiuje wraz ze zleceniodawcą zakres działań, które haker ma wykonać. Mogą to być testy penetracyjne aplikacji webowej, hakowanie serwera, hakowanie Wi-Fi, uzyskiwanie nieuprzywilejowanego dostępu komputerów i systemów czy nawet socjotechnika. Ustalane są metody testów bezpieczeństwa i ich cel, jest też istotne, z jakiego poziomu dostępu mają zostać przeprowadzone testy. Nazwy testów są analogiczne do nazw kapeluszy w definicji hakera. Test „black-box” to taki w którym atakujący nie ma żadnej wiedzy na temat atakowanego systemu, jest to symulacja ataku z zewnątrz. „Grey-box” to test, w którym mamy dostęp do pewnych funkcjonalności systemu na przykład wyższe uprawniania, często udostępniana jest również dokumentacja projektu czy systemu i kod aplikacji. Testy „white-box” to metoda, w której sprawdza się funkcjonowanie wewnętrznej struktury aplikacji. Również w tym etapie haker wykorzystuje narzędzia Shodan czy Maltego, aby zebrać jak najwięcej informacji o swoim celu i wyszukać możliwe wektory ataków.

  1. Skanowanie

W kolejnym etapie wykorzystuje się oprogramowanie do skanowania systemów czy aplikacji webowych w poszukiwania podatności, które potencjalnie możemy wykorzystać. Aplikację możemy testować dynamicznie, czyli w trakcie jej działania lub statycznie, czyli analizę jej kodu, teoretyzację działania i wyłapywanie wad projektowych i konstrukcyjnych. Do testowania dynamicznego wykorzystuje się tak zwany DAST, czyli Dynamic Application Security Testing, który jest standardem w branży cyberbezpieczeństwa, jest on między innymi przydatny w znajdowaniu podatności w warstwie front-end’owej. Analogicznie do testów dynamicznych jest też standard SAST. Połączenie ich obu pozwala na wyłapanie największej ilości podatności bezpieczeństwa. Przykładowe narzędzia DAST to Burp Suite, Nessus, Nikto.

  1. Uzyskiwanie dostępu

Kluczowy etap testu penetracyjnego, gdzie serwer lub system jest atakowany. Jest to również prawna i etyczna granica - to co odróżnia white-hat’a od black-hat’a. Najczęściej w tej fazie testów, używa się odgórnej metodyki działań na przykład sprawdzania poszczególnych wektorów ataków, czyli otwartych lub niezabezpieczonych furtek w głąb aplikacji. Jedną z najpopularniejszych takich metodyk jest OWASP Top Ten, który jest konsensusem członków ten organizacji o najbardziej krytycznych obszarach podatności.

  1. Utrzymywanie dostępu

Ten etap również jest ważny, ponieważ sprawdza, czy dostęp, który mamy nie jest tylko chwilowy, a może być utrzymany przez dłuższy okres. Gdy haker uzyskał dostęp, może próbować kraść dane albo przechwytywać ruch sieciowy. Kolejnym podejściem może być również próba infekcji większej ilości systemów z wykorzystaniem tej samej lub innej podatności i uzyskanie jak najwyższych uprawnień.

  1. Analiza

Ostatnią częścią testu penetracyjnego jest analiza, czyli całą wiedzę, którą zdobyliśmy i wszystkie podatności, które odkryliśmy, należy skatalogować i opisać. W takim raporcie etyczny haker zawrze również swoje profesjonalne rekomendacje, jak te wcześniej wspomniane „furtki” zabezpieczyć. Dokument taki to coś, co najbardziej przyda się klientowi, szczególnie jeżeli będzie napisany szczegółowo i zgodnie z dobrymi praktykami.

Etyczny hacking - pasja czy sposób na pracę?

Zarobki etycznego hakera w Polsce to średnio 15 000 złotych na miesiąc. Trzeba jednak zauważyć, że do takiej pracy potrzeba ogromu wiedzy z szeroko pojętego IT oraz oczywiście z zakresu cyberbezpieczeństwa i hakowania. Jedno jest pewne: pasja i satysfakcja z wykonywanego zadania musi być na pierwszym miejscu, potem przyjdzie wynagrodzenie.

Nie oznacza to jednak, że nie da się też zacząć swojej kariery w bezpieczeństwie IT od pozycji etycznego hakera. Jeżeli szukasz aktualnej i praktycznej wiedzy z cyberbezpieczeństwa, takiej która pomoże Ci zacząć pracę jako etyczny haker, sprawdź nasz kurs cyberbezpieczeństwa Red Team i dołącz do HackerU Polska. Nie jest Ci straszne nabywanie nowej wiedzy? Serdecznie zapraszamy!

Przesłuchaj podcast "Jak zostać etycznym hakerem?"