Etikus hacker – ezt a kifejezést biztos mindenki hallotta már, de nem biztos, hogy mindenki tudja is, valójában mit jelent. Szerencsére Csordás Szilárd kiberbiztonsági szakember rendelkezésünkre állt, hogy rendet tegyen a fejekben.

Tulajdonképpen mivel foglalkozik egy kiberbiztonsági szakember vagy egy etikus hacker?

Először is fontos két részre osztani ezt a szakmát: van az úgynevezett „blue team”, vagyis kék csapat, mely tagjai a hagyományos értelemben vett kibervédelemre specializálódnak, valamint a „red team”, vagyis piros csapat, ami pedig az etikus hackerekből tevődik össze. És itt még nem ér véget a dolog, a blue team például lebontható reaktív vagy proaktív védekezésre, incidenskezelésre is. A red team feladata szintúgy a védelem tökéletesítése, a megközelítés viszont teljesen más: inkább egy offenzív szempontból vizsgálják a rendszereket, védelmi réseket, támadható felületeket keresnek. Annak ellenére, hogy ez közös megegyezés alapján, legálisan történik, ezek az eszközök megegyeznek azokkal, amit a „valódi” hackerek használnak. Vagyis letesztelik azokat a védelmi rendszereket, amiket a blue team akár évek alatt épített fel, ezáltal is bebiztosítva, még jobbá téve azokat. Manapság pedig egyre népszerűbbé válik ez a szemlélet, a fiatalok számára vonzóbb és izgalmasabb is lehet, hogy így is meg lehet közelíteni a kibervédelmet.

Feltételezem, egy jó védelmi rendszer kiépítéséhez mindkét csapat munkájára szükség van.

Ez így igaz. Alapvetően ugyanazzal foglalkoznak, csak a megközelítés más. A blue team építhet akármilyen jó védelmet, a red team az esetek szinte száz százalékában talál valamilyen gyenge pontot, amin keresztül bejuthat. Ideális esetben ez a két csapat nem külön, hanem nagyon is szoros együttműködésben dolgozik. Általánosságban elmondható, hogy minél komplexebb egy rendszer, minél több funkcióval rendelkezik, annál bonyolultabb az infrastruktúrája, magyarul annál több szoftverkódból áll. Ez pedig azt eredményezi, hogy folyamatosan új területeken válhatnak támadóvá, új kiskapuk nyílnak, melyek aztán tárva-nyitva állnak az esetlegesen valóban rosszindulatú behatolás előtt. Éppen ezért nagyon fontos, hogy az etikus hackereket ne csak úgy hébe-hóba, évente egyszer-kétszer engedjék rá a rendszerre, a folyamatos, közös munka az, ami a jó eredmények elérése érdekében igazán célravezető:

ez olyan, mint egy folyamatos körforgás.

A két csapat harmonikus együttműködését pedig – találó módon – purple team-nek, vagyis lila csapatnak hívjuk.

Létezik olyan, hogy tökéletes védelmi rendszer?

Fontos tisztázni, mit értünk pontosan ez alatt. Mert ha a száz százalékosan biztonságos rendszert, olyan nem létezik. De természetesen nagyon is fontos, hogy ehhez minél közelebb kerüljünk, néha olyan irányból, amelyre nem is gondolnánk. Vegyük például figyelembe, hogy a legtöbb (10-ből 8) betörés anyagi okokból történik: magyarul a hacker pénzt akar. Egy ilyen rendszer feltörése persze időbe és erőforrásokba kerül a hacker oldaláról is. Tehát ha minél jobban megnehezítjük a támadó dolgát és a végén kijön a matek, hogy nagyobb a bejutás költsége, mint a várható profit, akkor máris nem éri meg neki és kereshet másik célpontot.

Fotó: ITBN

Hol lehet ezt megtanulni?

Egyre több az ezirányú képzés a felsőoktatásban, és egyre szélesebb körben lehet elérni tananyagokat az interneten is. Ha valakit érdekel a dolog, akár autodidakta módon kitanulhatja a szakmát. Akár a YouTube-on is el lehet érni ilyen anyagokat, de vannak fizetősök is, melyek viszonylag alacsony áron, havonta 20–30 dollárért hozzáférhetők különféle weboldalakon. Szerintem, ha valaki hajlandó rá, pár 100 ezer forint befektetésével online is ki lehet tanulni a szakmát, mindegy hogy a blue vagy a red team áll hozzánk közelebb.

Te melyik „oldalon” állsz?

Közel 20 éve állok a blue team oldalán, de mostanában elkezdtem kacérkodni a red team-el is. Messze állok még attól, hogy etikus hackernek nevezhetném magamat, de szeretném megérteni az ő gondolkodásmódjukat is. Szerintem így a saját magam által épített rendszereket is jobbá tudom tenni majd.

Vannak olyan szakemberek, akik a szakma mindkét oldalát jól ismerik?

Biztos vannak ilyen polihisztorok! De hogy egy hasonlattal éljek: vannak már nagyon jó négy évszakos gumik, de az ember azért mégis biztonságosabban érzi magát, ha télen a téli gumi van fent az autóján. Lehet mindkettőhöz érteni, de ha a dolog komplexitását és mélységét nézem, jobb, ha az ember specializálódik. Sőt, a teameken belül is érdemes tovább specializálódni.

Szerinted volt a közelmúltban olyan kibertámadás itthon, amely megelőzhető lett volna, ha megfelelően bevonják a szakembereket?

Ennek van egy érdekes aspektusa – az, hogy nagyon keveset tudunk ezekről az esetekről! Ha egy céget kibertámadás ér, azt általában próbálják minél jobban eltitkolni, mert hiszen sérülne a brand, vagy a fogyasztók bizalma. Ezért aztán a szakmán belül minimális az információáramlás, nem osztják meg a tapasztalatokat, így nem tanulunk egymás hibáiból. Az igazság az, hogy ha egy hacker nagyon rá van állva egy célpontra, akkor előbb vagy utóbb, de be fog törni oda: egy kattintás is elég, hogy kompromittálódjon egy rendszer. Egy jó védelmi szakember ebben az esetben a legjobb amit tehet, az az, hogy a legjobban felhasználja a rendelkezésére álló eszközöket, minél hamarabb (ideális esetben perceken, vagy akár másodperceken belül) észleli a betörést és aztán minimalizálja az okozott károkat. Ha az nem történik meg, napok vagy hetek telnek el a behatolás észleléséig, akkor pedig jó eséllyel címlapra is kerülhet az adott cég, a kár pedig több tíz- vagy százmilliós is lehet.

Nagy a szakemberhiány? Jók a lehetőségei annak, aki ebbe az irányba menne el?

Globálisan több millió ember hiányzik az IT-szakmából.

Csapattól vagy szakiránytól függetlenül ki lehet jelenteni, hogy ha van benned kitartás és hajlandó vagy tanulni, lépést tartani a fejlődő technológiával valamint képes vagy gyakorlati tapasztalatot szerezni, akkor lesz munkád, és nem is rossz munkád: az átlaghoz képest biztos többet fogsz keresni.