┼╗ycie etycznego hakera [Q&A]

┼╗ycie etycznego hakera [Q&A]

Cz─Östo s┼éyszymy termin ÔÇ×etyczny hakerÔÇŁ, ale na czym to dok┼éadnie polega i czy mo┼╝na na tym zrobi─ç karier─Ö?

Rozmawiali┼Ťmy z Jimem O’Gormanem, prezesem firmy Offensive Security, zajmuj─ůcej si─Ö szkoleniami z zakresu test├│w penetracyjnych, aby dowiedzie─ç si─Ö, na czym polega bycie etycznym hakerem i jakich umiej─Ötno┼Ťci potrzebujesz, je┼Ťli chcesz nim zosta─ç.

BN: Jak zdefiniowa┼éby┼Ť etycznego hakera?

JO: My┼Ťl─Ö, ┼╝e najlepsz─ů definicj─ů by┼éby kto┼Ť, kto nie wyrz─ůdzi ┼╝adnej szkody na podstawie swoich dzia┼éa┼ä hakerskich i podejmuje dzia┼éania za zgod─ů wszystkich odpowiednich stron. Z technicznego punktu widzenia mo┼╝e to by─ç tester penetracji, kto┼Ť ┼Ťcigaj─ůcy nagrody za b┼é─Ödy, audytor lub inny tytu┼é. Ale wszystko to nosi nazw─Ö ÔÇ×etycznego hakowaniaÔÇŁ. Pozwolenie jest kluczem. Je┼Ťli nie uzyska┼ée┼Ť pozwolenia przed podj─Öciem dzia┼éania, nie jest to tak naprawd─Ö etyczne hakowanie.

BN: Jakie s─ů najwi─Öksze nieporozumienia dotycz─ůce etycznych haker├│w?

JO: Kiedy ludzie m├│wi─ů o pracy, kt├│r─ů wykonuj─ů hakerzy, zwykle koncentruj─ů si─Ö na zabawnych cz─Ö┼Ťciach. Mimo ┼╝e zabawne cz─Ö┼Ťci s─ů fajne, to tylko jeden bardzo ma┼éy element pracy. Kszta┼écenie si─Ö, czytanie wynik├│w narz─Ödzi, wdra┼╝anie, automatyzacja i pisanie raport├│w zajmuje wi─Ökszo┼Ť─ç czasu etycznego hakera. Dla por├│wnania, faktyczne ÔÇ×hakowanieÔÇŁ jest bardzo ma┼é─ů cz─Ö┼Ťci─ů r├│wnania. Chocia┼╝ ka┼╝da z tych faz mo┼╝e by─ç satysfakcjonuj─ůca, nie jest to rodzaj czynno┼Ťci, o kt├│rej ludzie zwykle my┼Ťl─ů, omawiaj─ůc etyczne hakowanie. Jest pow├│d, dla kt├│rego to nadal dzia┼éa, a nie tylko gra.

BN: Powiedz, ┼╝e haker znajduje luk─Ö – jak g┼é─Öboko powinien przenikn─ů─ç do ┼Ťrodowiska, zanim zaalarmuje firm─Ö?

JO: To wszystko nale┼╝y zdefiniowa─ç przed rozpocz─Öciem pracy – i nigdy nie powinno by─ç kwestionowane. W przypadku programu do usuwania b┼é─Öd├│w jest to krytyczna koncepcja, kt├│r─ů nale┼╝y przedstawi─ç przed wykonaniem jakiejkolwiek pracy. W przypadku oceny jest to okre┼Ťlone w o┼Ťwiadczeniu o pracy.

To, co powinno znale┼║─ç si─Ö w zestawieniu prac, zale┼╝y tak naprawd─Ö od cel├│w oceny i ch─Öci interesariuszy. Czy celem oceny jest identyfikacja luk w zabezpieczeniach, aby mo┼╝na by┼éo je naprawi─ç? A mo┼╝e po to, by zademonstrowa─ç najgorszy scenariusz, je┼Ťli organizacja padnie ofiar─ů ataku ukierunkowanego? Albo co┼Ť innego? Spos├│b, w jaki organizacja odpowiada na te pytania, okre┼Ťla poziom i ilo┼Ť─ç pracy do wykonania.

BN: Jak─ů rad─Ö da┼éby┼Ť ka┼╝demu, kto chcia┼éby rozpocz─ů─ç karier─Ö etycznego hakera?

JO: Zdob─ůd┼║ praktyczne do┼Ťwiadczenie. Samo zdobycie dyplomu nie wystarczy. Aby udowodni─ç, ┼╝e mo┼╝esz co┼Ť zaoferowa─ç organizacji, musisz wykaza─ç, ┼╝e potrafisz wykona─ç w┼éa┼Ťciw─ů prac─Ö. Zaanga┼╝uj si─Ö w projekt open source i zacznij budowa─ç portfolio. Musisz pokaza─ç, ┼╝e wiesz wi─Öcej ni┼╝ tylko teori─Ö, aby by─ç traktowanym powa┼╝nie.

BN: Jakie s─ů najwa┼╝niejsze umiej─Ötno┼Ťci, kt├│re powinien rozwin─ů─ç etyczny haker?

JO: Najwa┼╝niejsza umiej─Ötno┼Ť─ç, kt├│rej nale┼╝y si─Ö nauczy─ç, nie jest tak naprawd─Ö umiej─Ötno┼Ťci─ů, to po prostu wytrwa┼éo┼Ť─ç. Etyczni hakerzy musz─ů by─ç zawzi─Öci, nie poddawa─ç si─Ö i wiedzie─ç, jak pracowa─ç poza posiadanymi narz─Ödziami.

Natura hakowania polega na robieniu rzeczy, kt├│rych nie powiniene┼Ť robi─ç. Celem jest sprawienie, by sta┼éo si─Ö co┼Ť, co nie powinno si─Ö wydarzy─ç. Z definicji oznacza to, ┼╝e wszystko jest skierowane przeciwko tobie. Osi─ůgni─Öcie czegokolwiek jest trudne; To powinno by─ç.

Na przyk┼éad pomy┼Ťl o aplikacji. Zesp├│┼é programist├│w, specjalist├│w ds. Kontroli jako┼Ťci, beta tester├│w, zabezpieczenia kompilator├│w itp. S─ů po to, aby aplikacja dzia┼éa┼éa zgodnie z jej przeznaczeniem. Jako haker, Twoim zadaniem jest zmusi─ç go do zrobienia czego┼Ť innego. Twoim zadaniem jest sprawienie, aby wszyscy inni, kt├│rzy pracowali nad t─ů aplikacj─ů, byli nieistotni. Celem jest, aby robi┼é to, co chcesz, a nie to, do czego zosta┼é zaprojektowany.

Pomimo niezbyt idealnego stanu dzisiejszego cyberbezpiecze┼ästwa, jest to nadal bardzo trudne. Je┼Ťli my┼Ťlisz, ┼╝e to b─Ödzie ┼éatwe, to nie jest to pole dla ciebie. Silniejsze staranie si─Ö, gdy masz ochot─Ö si─Ö podda─ç, ma kluczowe znaczenie dla znalezienia jakiegokolwiek sukcesu.

BN: Jakiego zatrudnienia może oczekiwać przyszły etyczny haker?

JO: Istnieje szeroki wachlarz ofert pracy dla os├│b o odpowiednich umiej─Ötno┼Ťciach i podej┼Ťciu. Oczywistym jest test penetracyjny. Je┼Ťli wiesz, jak w┼éama─ç si─Ö do system├│w, r├│wnie dobrze mo┼╝esz rozpocz─ů─ç ┼Ťcie┼╝k─Ö kariery, kt├│ra pozwoli Ci wykorzysta─ç te umiej─Ötno┼Ťci w praktyce. Pami─Ötaj tylko, ┼╝e jest to solidna opcja kariery – ale nie jedyna.

Je┼Ťli wiesz, jak w┼éama─ç si─Ö do system├│w, teoretycznie powiniene┼Ť mie─ç r├│wnie┼╝ lepszy pomys┼é, jak chroni─ç je przed w┼éamaniem. Wielu administrator├│w system├│w i sieci wk┼éada sw├│j czas i wysi┼éek w nauk─Ö etycznych umiej─Ötno┼Ťci hakerskich z powodu tego pomys┼éu – wiedza, jak co┼Ť zepsu─ç, oznacza r├│wnie┼╝, ┼╝e zyskujesz unikaln─ů perspektyw─Ö, jak to ulepszy─ç.

BN: Jakie s─ů wady pracy jako etyczny haker?

JO: Przede wszystkim etyczna praca hakera jest z natury frustruj─ůca. Wi─Ökszo┼Ť─ç ludzi nie rozumie, co robi─ů etyczni hakerzy – a czasami w┼éa┼Ťciwe wykonywanie swojej pracy oznacza zrujnowanie komu┼Ť dnia. To nigdy nie jest zabawne.

Istotnym problemem w bran┼╝y jest nastawienie wielu os├│b do wielu prac zwi─ůzanych z ocen─ů. Celem jest dostarczenie warto┼Ťci organizacji, kt├│ra otrzymuje ocen─Ö. Jednak dla praktykuj─ůcych cz─Östo mo┼╝e to doprowadzi─ç do haker├│w, kt├│rzy chc─ů ÔÇ×wygra─çÔÇŁ, w┼éamuj─ůc si─Ö, i obro┼äcy, kt├│ry chce ÔÇ×wygra─çÔÇŁ, trzymaj─ůc ich z daleka. Zbyt cz─Östo widzimy, jak pracownicy broni─ů swojego ego, zamiast skupia─ç si─Ö na dodaniu warto┼Ťci dla organizacji.

Zamiast tego chcesz, aby obie strony wsp├│┼épracowa┼éy ze sob─ů, aby naprawd─Ö zrozumie─ç mechanizmy obronne i zrozumie─ç, w jaki spos├│b niekt├│re ataki je omijaj─ů (lub nie). Wsp├│┼épraca mo┼╝e uczyni─ç testowanie i ochron─Ö skuteczniejszymi, prowadz─ůc do tego, ┼╝e przeciwnicy nie b─Öd─ů zawraca─ç sobie g┼éowy systemami Twojej organizacji, poniewa┼╝ po prostu ÔÇ×wykonuj─ů za du┼╝o pracyÔÇŁ.

Zdj─Öcie kredytowe: ra2studio / Shutterstock