Chcesz wiedzieć kim jest „Etyczny haker”? Zaraz wszystko wyjaśnię. Zanim jednak do tego przejdziemy chciałbym byś wiedział, iż ten artykuł jest częścią cyklu „Oszukać przeznaczenie„. Materiały w nim zebrane mają na celu pomóc Ci przewidzieć oraz zabezpieczyć firmę przed komplikacjami i ogromnymi stratami finansowymi. Poprzednie znajdziesz w tym miejscu:
Kolejne materiały już niedługo! Zachęcam do lektury całości. Na koniec znajdziesz specjalną niespodziankę!
Zachęcam również do odwiedzenia mojego kanału na Youtube:
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Etyczny hacker
Nazwa „hacker” kojarzy się jednoznacznie. Jest to osoba, która łamie zabezpieczenia sieci, serwerów oraz aplikacji. Następnie wykorzystuje je na własne potrzeby. Niszcząc, wyciągając dane, zmieniając je. Generalnie, jest to ktoś kto łamie prawo. Taki wirtualny włamywacz.
Oczywiście, nie wszyscy specjaliści łamiący zabezpieczenia robią coś złego. Istnieją jeszcze tzw. etyczni hakerzy. Czasami zwie się ich jeszcze jako Specjaliści od Zabezpieczeń IT lub White Hat Hackers.
Czym się zajmuje etyczny haker?
Bez względu na nazwę, kluczowa jest tu ich rola. Są to ludzie, których pracą jest łamanie zabezpieczeń. Robią to na zlecenia osób i firm, które chcą się upewnić, że ich firma jest odpowiednio zabezpieczone pod względem IT.
A nawet jeżeli nie są na tyle świadomi zagrożeń, iż wolą otrzymać konkretny raport podatności i ryzyk, na które są narażenie. Taki etyczny haker przeprowadza serię testów penetracyjnych , które po kolei weryfikują jakie dziury znajdują się w sieci klienta oraz co należy poprawić, by firma była bezpieczna.
Kim są prawdziwi atakujący?
Zajmując się testami penetracyjnymi, warto poznać przeciwnika. Czyli tych, którzy faktycznie mogą chcieć dostać się do sieci informatycznej.
Istnieją oczywiście rozbudowane organizacje. Opłacane przez ogromne korporacje oraz rządy. Nie jest tajemnicą, iż rządy krajów posiadają swoje własne zespoły hackerów gotowe do ataku na sieci innych państw. Są to tzw zespoły APT czyli Advanced Persistent Threat. Te grupy zrzeszają wysokiej klasy specjalistów i niezwykle ciężko się przed nimi bronić.
Inną grupę stanowią tzw. Haktywiści. Są to grupy aktywistów, które specjalizując się łamaniu zabezpieczeń w celu zmiany porządku i poprawy świata według ich zasad.
Hakerem może być pracownik
Kolejna grupa to pojedynczy atakujący, którzy korzystają z dostępnych na rynku rozwiązań i aplikacji umożliwiających atak na sieć.
Oczywiście, są także ludzie, którzy zostali zatrudnieniu przez firmę. Często są to pracownicy, których opłaciła konkurencja w celu pozyskania konkretnych danych. Jest to o tyle niebezpieczne, iż osoby te już mają dostęp do danych firmie. Wystarczy, ze wyciągną dysk i zabiorą go ze sobą.
Kiedyś współpracowałem z firmą, która przechowywała w ukrytym sejfie receptury dotyczące ich produktów. Konkurencja niejednokrotnie próbowała przekupić pracowników tej firmy, by im udostępnili te mikstury. Tymczasem, mogli spróbować innego podejścia i spróbować „podrzucić” swojego człowieka wewnątrz tej organizacji, by wykradł odpowiednie dane. Z pewnością by to zajęło mniej i również taniej niż kwoty, które oferowali.
Oczywiście, nikomu nie chcę tu nic podpowiadać. Chciałbym jednak zwrócić uwagę na to, że takie zagrożenie istnieją. I niestety, również są często stosowane. Dlatego też etyczny haker powinien zająć się nie tylko sprawdzeniem zabezpieczeń IT, lecz także… a przede wszystkim, sprawdzeniem procedur i schematów działania w firmie.
Ataki i włamania hakerskie następują przeważnie w wyniku błędu ludzkiego. Nie dzięki dziurom w zabezpieczeniach. Mimo iż te drugie również mają ogromne znaczenie to jednak w głównej mierze powinno się postawić na poprawienie świadomości. I tym samym na szkolenie personelu. Profesjonalny „Etyczny haker” powinien się o to zatroszczyć.
Narzędzia do ataku
Warto wiedzieć, iż z latami gdy pojawiło się coraz więcej darmowych aplikacji umożliwiających atakowanie, tzw hackerzy potrzebowali coraz mniejszych umiejętności. Obecnie wystarczy otwarte oprogramowanie i już można próbować włamać się do cudzej sieci.
Niezwykle popularny jest choćby system Kali, który oferuje za darmo cały pakiet gotowych narzędzi do atakowania sieci.
A pokus, by przyłączyć się do tego niecnego procederu może być sporo. Choćby chęć sprzedania pozyskanych danych czy możliwości szantażu. Inne pobudki to oczywiście zemsta lub chęć zaszkodzenia konkurencji
Umowa
Wykonując testy penetracyjne należy zawsze pamiętać o przepisach i umowie jaką się podpisało. Warto tu zwrócić uwagę na to, iż etyczny haker mimo wszystko w dalszym ciągu wykonuje ataku hakrskiego. Mimo iż jest to za zgodą i wiedzą atakowanych to jednak warto pamiętać o przepisach. Szczególnie gdy zadanie jedna ze stron pochodzi z zagranicy. A w tym przypadku nie tylko przepisy mogą się znacząco różnić. Również przyzwyczajenia kulturowe, które znacząco mogą wpłynąć na wykonywane czynności.
Kluczowe tu jest, by podpisać umowę. I to taka, która omówi każdą wykonywaną czynność. Zachęcam do lektury artykułu Umowa na test penetracyjny. Tam się dowiesz więcej na temat tego jak przygotować taką umowę i co powinna zawierać.
Ile zarabia etyczny haker?
Przejdźmy teraz do tego co pewnie Was mocno interesuje… Pieniążki. Ile zarabia etyczny haker i jaka kreuje się przyszłość przed takim zawodem?
Ci którzy śledzą mój blog wiedzą, że lubię obalać mity dotyczące zarobków w IT. Daruję sobie zatem popularne obecnie motywowanie wszystkich standardowym „15 tysi na rękę dla każdego”. Zignoruję również to ile zarabia się za granicą. Zajmiemy się naszym podwórkiem.
A jak wiadomo, w Polsce zarobki to w dalszym ciągu temat tabu. Coraz częściej podaje się stawki przy ofertach pracy, jednak nie jest to jeszcze standard.
Zrobiłem aktualny research (stan na 25 października 2019 roku) i cóż.. nie znalazłem ani jednej oferty na stanowisko pentestera z podanym wprost wynagrodzeniem. Czyli wszystko i tak wyjdzie w czasie negocjacji. Znalazłem za to informację na portalu Infoludek, iż…
Etyczny haker nie może narzekać
Według tej informacji początkujący etyczny haker może zarobić nawet 7000 zł na miesiąc. Jeżeli ktoś się jednak napalił, iż to niezły start to chciałbym zwrócić uwagę na jedną rzecz. Chodzi o słowo „Specjalista”. Tyle zarobi początkujący specjalista, a nie ktoś kto dopiero zaczyna w IT i postanawia nagle zostać pentesterem.
Mimo wszystko, zawsze jakoś zaczepić się można. Obecnie informatyków brakuje, więc nie wykluczone, że jak zgłosicie się na staż lub zaproponujecie swoją pracę w zamian za niższą kwotę to macie szansę bardzo szybko się rozwinąć. A jest to branża w którą zdecydowanie warto inwestować.
Zarobki, przyszłość, kariera
Liczba zagrożeń informatycznych ciągle się zwiększa. Atakujący znajdują coraz ciekawsze sposoby na ataki hakerskie. Co oznacza, że firmy wykładają coraz większe pieniądze na bezpieczeństwo IT. Trend jest jasny. Środki te będą stale rosnąć.
Zresztą, akurat w tym tygodniu miałem okazję uczestniczyć w konferencji poświęconej cyber-zagrożeniom. Była to doskonała okazja, by upewnić się jak rośnie świadomość firm na temat niebezpieczeństw.
Można mieć pewność, że firmy będą inwestować w bezpieczeństwo IT coraz większe kwoty. Tym samym na 100% etyczny haker będzie miał w przyszłości pełne ręce roboty.
To dopiero początek
Tyle na dzisiaj. Zdaję sobie sprawę, iż nie wyczerpaliśmy tematu. Ale spokojnie. Jeżeli jesteście głodni wiedzy to zachęcam do wymienionych we wstępie artykułów. Jednocześnie zachęcam do powrotu w przyszłości. Przygotowuję obecnie całą masę materiałów na temat testów penetracyjnych, audytów oraz pracy etycznego hakera.
