A számítógépek, a programok,a rendszerek ellen intézett támadások gyakorlatilag egyidősek az informatikával. A kibertérben mindig is rabló-pandúr harc folyt. A jó és a rossz, a sötét és világos oldal itt ugyanúgy megjelenik, mint az élet számtalan területén, de nem mindegy, hogy a hekkert milyen szándék vezérli – mondta lapunknak Szöllősi Péter, a Black Cell Magyarország Kft. offenzív biztonság üzletágának vezetője.
A rend őrei
A hekker leegyszerűsítve nem tesz mást, mint arra törekszik, hogy hozzáférjen olyan számítógépekhez vagy más IT eszközökhöz, azokon tárolt adatokhoz, amelyekhez nem rendelkezik jogosultsággal, illetve ezeket jogszerűtlenül manipulálja. Ha valaki mindezt anyagi haszonszerzésért, esetleg haragból vagy bosszúvágyból teszi, az egyértelműen bűncselekmény. Az etikus hekkereket akár a jedi lovagokhoz is hasonlíthatnánk: a kibertér galaxisában ők a rend őrei. Sosem támadnak, hanem a vállalatok megbízásából próbálják feltörni a cégek internetes biztonsági rendszerét annak érdekében, hogy felderítsék a problémás területeket, ezzel megelőzve egy esetleges valóban rossz szándékú akciót.
Az igény egyre nő erre a szolgáltatásra, és nemcsak a nagyvállalatok, állami szereplők (legutóbb a NAV írt ki pályázatot), hanem a kkv-k körében is – mondta a szakember. Szerencsére egyre tudatosabbak a cégek ebben a tekintetben. Régebben, amíg nem ért támadás valakit, addig eszébe sem jutott, hogy foglalkozni kell a kiberbiztonsággal. Ma már egyre nagyobb a szerepe a megelőzésnek. Saját szakembergárdát kiépíteni erre a funkcióra azonban csak a legnagyobbaknak érdemes, a vállalatok többsége egy külső szolgáltatót vesz igénybe, hogy feltérképezze a rendszerei sérülékenységét, esetleges gyenge pontjait.
A felderítés a cél
Többféle módon kerülnek a pályára a szakemberek, azonban az közös bennük, hogy jellemzően egészen fiatal koruktól érdekli őket a számítástechnika, gyakran már kamaszkorban komoly ismeretekkel rendelkeznek ezen a területen. Ebben a korban a még formálódó személyiségjegyek között szerepel a kihíváskeresés is, gyakori, hogy a fiatalok azzal próbálnak bizonyítani – akár maguknak is –, hogy honlapokat törnek fel. Később közülük sokan „kabátot váltanak”, és jó útra térnek – akár azért, mert felismerik, hogy fontosabb segíteni az embereknek, akár azért, mert lebuknak, és a vádalku része, hogy lehetőséget kapnak. Én például humán diplomát szereztem, de kisgyerek koromtól érdekelt a számítástechnika is. Mérföldkő volt az 1995-ös, Adatrablók című film, akkor döntöttem el, hogy ezzel akarok foglalkozni. Elvégeztem a CEH (Certified Ethical Hacker – minősített etikus hekker) képzést, ez nagyon jó alapot adott, de azóta is folyamatosan képzem magam. Ezen a területen nincs megállás, a rossz oldal sem pihen, mindig újabb módszerek jelennek meg, csak úgy tudjuk felvenni velük a harcot, ha mi is folyamatosan tanulunk - mondja Szöllősi Péter. A szakterülete a social engineering, ahogy ő fogalmaz: az embereket hekkeli meg. Tulajdonképpen az emberek segítőkészségét, empátiáját használja ki, hogy bejusson a vizsgálandó céghez – például begipszelt karral jelenik meg, így nem tudja kinyitni az ajtót, és természetesen azonnal segítenek neki bejutni az épületbe –, majd eléri, hogy az általa hozott pendrive-ot bedugják valamelyik számítógépbe. Innen már könnyű a dolga, hogy hozzáférjen a cég érzékeny adataihoz. A szakember azonban hangsúlyozza: a munkavállalóknak soha nem lehet bajuk ezekből a helyzetekből, nem az a cél, hogy bárkit is felelősségre vonjanak. A támadási kísérlet célja kizárólag az, hogy felderítsék a biztonsági réseket, majd tanácsot adjanak ezek kiküszöbölésére. „Az is eredmény, ha nem járunk sikerrel, ez ugyanis azt jelzi, hogy a cég mindent megtett a kiberbiztonság érdekében.”
Élethosszig tanulás
Kiből lehet etikus hekker, és kinek való ez a munka? Jó hír, hogy – a jedi lovagokkal ellentétben – semmiféle paranormális képességre nincs szükség, nők is bátran beléphetnek ebbe a világba. Az informatikai területek egyébként is vonzóak lehetnek számukra, hiszen a legtöbb munkakör részben vagy egészében home office-ban végezhető, illetve rugalmas munkaidőben, ez pedig a családosok számára nem elhanyagolható szempont. A számítógép ismerete, az informatika szeretete természetesen megkerülhetetlen, mint ahogy az angolnyelv-tudás is. Ezután speciális képzésen lehet elsajátítani az alapokat, majd be kell rendezkedni az élethosszig tartó tanulásra. A témával foglalkozó izgalmas filmek hatására fellángolhat a hekkerromantika, azonban ez a szakma komoly elköteleződést igényel, hogy az érdeklődés éveken, évtizedeken keresztül fennmaradjon. Akkor is, ha napokig, hetekig ül valaki a gép előtt, és nem ér el semmilyen látható eredményt. „Ha egy vállalatot védünk, azzal a dolgozóit is védjük. Ezeknek az embereknek megmarad a munkájuk, így el tudják tartani a családjukat. Ez a mi hozzáadott értékünk, ezért érdemes ezt csinálni” - összegezte lapunknak Szöllősi Péter.
