Hogyan legyek etikus hacker?

Lehet már korábban is gondolkodtál rajta, hogy egy izgalmas és jól fizető pályára lépj az IT- vagy információbiztonság területén. Meglehet, hogy csak ez a cikk keltette fel az érdeklődésedet. Lehet már vannak alapvető ismereteid a területen amelyeket mélyíteni szeretnél, de lehetséges, hogy most akarsz az elejétől belevágni. Nem csodálkozunk rajta, mint látni fogod ez a terület hatalmas perspektívát kínál napjainkban. Emellett, itt a DevOps Akadémián több mint 200 képzés áll rendelkezésedre, amelyek kapcsán az egyik leggyakrabban ismétlődő kérdés, hogy “oké, de ha az elején szeretném kezdeni és megfelelő irányba haladni, akkor hol kezdjem el?”

Akárhogy is van, szükséges lehet egy vezérfonal. Ezért hoztuk létre ezt az útmutatót, hogy lásd miről szól a biztonsági szakma, ki az az etikus hekker, milyen más munkakörök keresettek a területen, és mivel foglalkoznak az IT security szakemberek. De méginkább, hogy képet kapj arról, hogy milyen útvonalon haladj a képzéseinkkel a belépő szinttől az első “szekus” állásinterjúdig vezető úton.

Ki az az etikus hacker és mivel foglalkozik?

Az etikus hacker olyan szakember, aki a megbízó infrastruktúrájának, hardware, software és hálózati eszközeinek biztonságát teszteli úgy, hogy igyekszik megtalálni azok gyenge pontjait és megpróbál bejutni a rendszerekbe. Ugyanazokat az eszközöket, trükköket és technikákat használja, mint a rosszindulatú hekkerek, de a megbízó írásbeli engedélyével és előre egyeztetett keretek között. A célja nem kárt okozni vagy adatokat lopni, hanem feltárni a gyenge pontokat, a sérülékenységeket, és javaslatokat tenni a kijavításukra. A vizsgálat végeztével jelentést készít a megbízónak, amelyben összefoglalja a talált sebezhetőségeket és a javaslatokat tesz azok megoldására. Az etikus hacker leggyakrabban IT Security Advisor (biztonsági tanácsadó) és Security Analyst (biztonsági elemző) szerepet is betölt. Napjainkban ezek a területek nem választhatóak szét élesen egymástól.

Két fő különbség van az etikus “white hat” és a nem etikus, tehát törvényt sértő “black hat” hacker között.

  • Az etikus hekkernek írásbeli engedélye van arra, hogy feltörje a megbízó rendszereit, amely megállapodás megszabja a tesztelés kereteit is. Például – de a teljesség igénye nélkül – bizonyos hálózati szegmensek tiltva lehetnek, vagy adott típusú támadásokat kizárnak, amelyek károsíthatják a cég rendelkezésre állását, illetve több feladatra is időablakok kerülnek meghatározásra.
  • A második nagy különbség az, hogy a black hat leggyakrabban valamilyen a célpontra nézve romboló erejű tevékenységet végez. Például értékes információkat akar ellopni, mint amilyen a szellemi tulajdon, adatbázisok, jelszavak. Kártékony programokat, zsaroló vírusokat terjeszthet. Leállíthat, megbéníthat, használhatatlanná tehet rendszereket. Az etikus hekker idáig már nem megy. Megfelelő validálás után megvilágítja ezek lehetőségét a megbízónak.

Milyen perspektívát kínál az IT biztonsági terület?

Elmondható, hogy világszinten több millió (egyes elemzések szerint 3-5+ millió) biztonsági szakember hiányzik a szektorból. A leggyakrabban keresett szerepkörök: Ethical Hacker, Penetration Tester, illetve IT Security és Information Security területeken az Advisor, Analyst, Specialist, Professional. Igen, ez mind! Számukra az elmúlt években számos pozíció és karrierlehetőség vált elérhetővé, hiszen a kiberbiztonság egyre fontosabb és keresettebb területté vált. De fontos, hogy más szakmákkal ellentétben, ezen a területen a lokális és világ szintű válságok idején is sok lehetőség nyílik a munkaerőpiacon. A nemzetek és nagyvállalatok közötti konfliktusoknak a kibertérben történő eszkalációja, az emberek életminőségének romlásával magasabb szintre szökő internetes bűnözés, a radikalizálódás, a konfliktusvállalás, és egyéb az online térben megjelenő veszélyforrások napról-napra generálják a keresletet a képzett munkaerő iránt. Emellett a technológia fejlődésével folyamatosan megjelenő új, még kiforrott jógyakorlatokkal nem rendelkező területek (metaverzum, mesterséges intelligencia, kvantum technológia, OT, IoT, stb.) jelenleg is folyamatosan új kihívásokat állítanak, ami a jövőben is így lesz. – Security területen a kezdő fizetések megfeleltethetőek az informatikában szokásosnak mondhatóval, azonban nem csak egy sokkal érdekesebb és sokkal kevésbé monoton területen dolgozhatsz, hanem a tapasztalatok gyűjtésével az itt munkát vállalók gyorsabban és magasabb bérsávokat érhetnek el a hagyományos munkakörökben dolgozó kollégáiknál.

A szervezetek és infrastruktúrák biztonságának megvalósításában jellemzően két “csapatot”, pontosabban két munkakör típust különböztetünk meg.

  • A Blue Team a rendszerek védelméért, a támadások időben történő detektálásáért és elhárításáért, az esetlegesen okozott károk helyreállításáért felelős munkaköröket fedi le. Elsődleges feladatuk az infrastruktúra védelme, azaz a “defensive” folyamatok és feladatok megvalósítása.
  • A Red Team a rendszerek, eszközök, alkalmazások, infrastruktúrák biztonsági teszteléséért és a sebezhetőségek feltárásáért felelős munkaköröket fedi. Az ethical hacking és a penetration test is sok szempontból itt áll hadrendbe, azonban itt gondolnod kell az információbiztonság olyan területeinek vizsgálatára is mint a fizikai biztonság, vagy a humán irányú támadási vektorok és sérülékenységek, azaz a Social Engineering. Ez az amit “offensive security”-nak nevezünk.

Nyilván van lehetőséged egyből a mélyvízbe ugrani, de kezdőként ettől óvva intünk, mivel az alapok megismerése nélkül sokkal nehezebben fogsz eligazodni és boldogulni, sikerélmények nélkül pedig hamarabb fenyeget a kiégés veszélye mint ahogyan célba érnél.. Ha egyből a sűrűjébe akarsz belátni az IT- és Információbiztonság kihívásainak szélsőségeiben megvilágított kontextusaiba, egyedülálló képet kaphatsz a Black Hat Project: hírszerzés, manipuláció és árnyékinformatika című tananyagunkból, amely bár speciális területeket emel ki, számos fontos aspektust világít meg a támadó és a biztonsági szakember szükségszerű gondolkodásmódjával és a szervezetekre leselkedő veszélyekkel kapcsolatban.

Milyen alapvető ismeretekkel kell rendelkeznem?

Biztonsági területen alapvetően kétféle háttérrel és megközelítésben tudsz elkezdeni dolgozni. Ha már mélyebb szakmai ismereteid vannak az informatika egy ágában, (pl. webalkalmazások, hálózatok, DevOps, stb.) akkor viszonylag egyszerűen képes vagy annak biztonsági megoldásai felé orientálódni. Ekkor elsősorban a security aspektusok, az elméleti keretrendszerek, valamint az audit világával kell behatóbban megismerkedned. Ez az egyszerűbb út, de jellegénél fogva nem feltétlenül elérhető a pályakezdők vagy juniorok számára.

A másik lehetőség, hogy eredendően a biztonsági területre készülsz fel. Ez sokkal szélesebb körben kíván meg ismereteket. Ugyanúgy, vagy méginkább “mindenhez is” érteni kell mint egy jó rendszergazdának, Míg egy rég a szakmában lévő programozó, fejlesztő, hálózati vagy DevOps mérnök 10, 15, 20, vagy még több éven keresztül képes a szakterületén elmélyíteni a tudását és onnan váltani, a biztonsági területen kezdők számára ez nyilvánvalóan lehetetlen küldetés. Mindenre rálátásod kell hogy legyen, de evidens, hogy képtelenség egy vagy több területről ezt a mélységet hozni a pályád elején. A megoldás, hogy már a kezdetektől minél több informatikai alapismeretet, majd a security core területeihez kapcsolódó tudást szedj össze, és magadévá tedd a biztonsági központú gondolkodásmódot. Az utóbbi talán a legfontosabb. Specializálódásra később is lesz lehetőséged.

Az általános és alapismeretek megszerzéséhez javasolt képzéseink, (a javasolt sorrendben) amelyeken keresztül közel a nulláról felépítheted az IT biztonsági karriered elkezdéséhez szükséges skill-készletedet.

Ne feledd, bármikor visszatérhetsz egy korábbi tananyaghoz, vagy beiktathatsz más képzéseket is, hogy tudásodat egy adott területen tovább mélyítsd! Az oldalaink fejlécében található nagyító ikonra kattintva szabadon kereshetsz a már elérhető tananyagok között.

Milyen készségek szükségesek az IT Security világában?

Egy etikus hekker dolgozhat szabadúszóként vagy bug-hunterként (bug bounty programokban) is, de a többi security terület szakembereihez hasonlóan egy biztonsági vagy tanácsadó cégnél, egy nagyvállalatnál, állami, hírszerző, nemzetbiztonsági vagy nem kormányzati szervezetnél (NGO) is. Ahhoz, hogy az IT-biztonság bármely területén elhelyezkedj, rendelkezned kell azokkal az alapvető képességekkel mint amivel egy etikus hekkernek minimálisan bírnia kell, de etikus hekkerként is ismerned kell olyan területeket, amelyek biztosítják számodra, hogy megfelelően működj együtt a szektor többi szereplőjével és a felmerülő igényeivel. A “hard skillek” (technikai és technológiai ismeretek) mellett, szükséged lesz bizonyos “soft skillekre” (egyéb humán készségekre) is. Ez azt jelenti, hogy a programozási, hálózati, operációs rendszer szintű és parancssori (stb) ismereteken túl, fontosak lesznek az audit és metodológiai keretrendszerek ismerete, az analitikus gondolkodás, a problémamegoldás, a kommunikáció, az önfegyelem és az élethosszig tartó tanulás is.

Akár az etikus hekkelés, akár más biztonsági terület érdekel, javasoljuk, hogy az alapoknál kezd el. Ezt el lehet rontani és felesleges köröket fogsz futni. Kiemelten ajánljuk figyelmedbe Etikus hacker kezdő tanfolyamunkat. Itt gyakorlatorientáltan, feladatok önálló és közös megoldásán keresztül sajátíthatod el azokat az alapokat amelyek minden security területen elengedhetetlenek. Ezek mellett oktatónk bevezet a szükséges gondolkodásmódba és a szakma azon aspektusaiba, amelyeket nagyon fontos ismerned már az első állásinterjúd előtt (megkönnyítve azt) és a terepen is sokkal könnyebben fogsz boldogulni ezek birtokában. Nem beszélve a számos auditból származó példáról és sztoriról…

Hogyan tanulhatom ki a szakmát?

A legjobb módja annak, hogy megtanuld ezeket a készségeket, ha részt veszel valamilyen képzésen vagy tanfolyamon. Léteznek online és offline lehetőségek is. A hagyományos megközelítésben az online képzés előnye, hogy rugalmasabb és olcsóbb, de kevesebb támogatást és gyakorlati tapasztalatot nyújt. Ugyanitt az offline képzés előnye, hogy több interakciót és visszajelzést kapsz, de sokkal drágább, időigényesebb és rugalmatlanabb. Bármelyik mellett is döntesz, fontos, hogy olyan képzést válassz, amely naprakész és gyakorlatorientált.

Már a tanulmányaid kezdeti szakaszában fontos, hogy gyakorlott, a terepmunkában is sokat látott szakemberektől tanulj, de az effektív tudásátadás szempontjából legalább ennyire lényeges, hogy a mentorod rendelkezzen az ismeret befogadható átadásához szükséges, a jó tréner ismérveit felvonultató képességekkel.

Amikor a szakma alapjait már elsajátítottad a folyamatos fejlődésedhez (de sok esetben a rohanó technikai fejlődés mellett a szintentartáshoz is) elengedhetetlen, hogy továbbképzéseken, szakmai rendezvényeken, konferenciákon, illetve közösségi eseményeken vegyél részt, még több tudást megszerezve és minél több nézőpontot megismerve.

A DevOps Akademia képzésein és tanfolyamain azon dolgozunk, hogy mindkettőből magadénak tudhasd az előnyöket. Tananyagaink gyakorlatorientáltak, tanfolyamainkon lehetőséget biztosítunk az oktatókkal történő interakcióra, miközben választ kaphatsz minden felmerülő kérdésedre. Egy tanfolyami anyagot utólag visszanézve találkozni fogsz a mások által már feltett kérdésekkel és természetesen a rájuk adott válaszokkal is. – Oktatóink között mind a szakmában, mind előadóként és trénerként is bizonyított szakembereket találsz.

  • Czakó Krisztián előbb a Linux, majd a DevOps kezdeteinél is ott volt az elmúlt 30 évben: elsősorban tőle szerezheted meg a modern rendszerek üzemeltetéséhez a biztonsági területen is elengedhetetlen alapokat.
  • Kósa Ádám a világ egyik legnagyobb médiavállalatának vezető biztonsági és rendszermérnöke: a hálózatok és hálózati eszközök biztonsági beállításának és a biztonsági eszközök implementálásának és konfigurálásának területén, azaz a “defensive” oldalról tudni fog neked segíteni. (Mert hát ha ő nem, akkor ki?)
  • Pfeiffer Szilárd a biztonsági technológiák, (ezek között a titkosítás és a kriptográfiai megoldások) elismert kutatója és előadója. Az egyik legnagyobb magyar alapítású biztonsági cég vezető munkatársa.
  • Kiss Sándor pályáját internetes csalások kivizsgálásával kezdte és etikus hekkerként dolgozott, később információbiztonsági auditorként kezdte kamatoztatni tudását. Az offensive security és az információbiztonság világában nemcsak technológiai oldalról, de a szükséges gondolkodásmódban és az elméleti alapavetésekben is irányt tud neked mutatni.

És nem mellesleg, találkozhatsz velünk számos hazai szakmai rendezvényen, a havi DevOps sörözéseken és online brainstormingon is!

Megvannak az alapok, hogyan tovább?

Léteznek olyan témakörök amelyek már nem belépő szintűek, viszont az összes biztonsági területen elengedhetetlenek ahhoz, hogy megfelelően tudd végezni a munkádat. Ezek közül hármat mindenképp ki kell emelni, amelyek elsajátítása fontos lesz.

  • Hálózati forgalom figyelése – Teljesen mindegy hogy a “blue” vagy a “red” a te oldalad, a hálózati forgalom figyelésének és a begyűjtött információk elemzésének módszereivel márpedig képben kell lenned. Erre nagyban építhetsz a hálózatos ismereteid elsajátításakor is.
  • Titkosítás és kapcsolódó megoldások – Ismét mindegy, hogy a kék vagy a vörös oldalt fogod a későbbiekben erősíteni, a titkosítások és a kriptográfia alapvetéseivel márpedig tisztában kell lenned éppúgy, mint az alkalmazások által leggyakrabban használt HTTP protokoll titkosított kiszolgálására szánt HTTPS szerver üzemeltetésével. Kékben üzemeltetned, pirosban tesztelned kell azokat.
  • Hálózatok és infrastruktúrák felderítése – Az etikus hekkernek éppúgy fontos feladata lesz egy infrastruktúra részletes feltérképezése, mint ahogyan azt egy támadó tenné. Az ehhez kapcsolódó feladatok elvégzésére ad nagyszerű eszközt a kezünkbe az nmap. A védelem oldalán meg kell tanulnod már a támadás ezen korai szakaszában felismerni a támadó próbálkozásait, azonosítva azokat a tűzfalaid logjaiban, és meggátolva azokat a tűzfalaidon, az IDS és IPS rendszereid segítségével. A témához szorosan kapcsolódva feltétlenül végezd el az Infrastruktúra feltérképezése publikus DNS használatával című képzést is!

Ha ezekkel megvagy, itt az ideje elmélyülnöd valamely, az érdeklődésed, vagy a célul kitűzött pozíció / szervezet / munkaterület szempontjából fontos témakörben. Vagy akár mindegyikben, ami nem pusztán egy magasabb tudásszintet, de egy állásinterjún nagy halom plusszpontot jelent majd számodra. Emeljünk ki itt is három fontos területet, amelyek tudásanyagának birtoklása több mint ajánlott.

  • Webalkalmazások biztonsági vizsgálata – A legszélesebb felhasználói körhöz elérő alkalmazástípus vizsgálatának ismerete az etikus hacker alapvető tudásanyagának része. Nagyon fontos, hogy az itt tárgyalt sérülékenységek esetében ne ragadj le ott, hogy az weboldalakra, vagy csak a böngésző alapú szolgáltatásokra vonatkozik! Gyakorlatilag minden olyan alkalmazásról szó van, amelyek hálózati megoldásokat és kliens-szerver kapcsolatot használnak! Az egyszerű weblaptól, a mobilalkalmazásokon át a vállalatirányítási rendszerekig!
  • Hálózatbiztonság, hálózatvédelem – A hálózati eszközök biztonságos konfigurálása és a hálózatbiztonsági eszközök implementálása. Ha a hálózat biztonságának szavatolásában szeretnél dolgozni, feltétlenül ismerned kell a rejtelmeit. Ha etikus hekkerként tevékenykedsz, tesztelned kell a megfelelő beállítások meglétét.
  • Vezeték nélküli infrastruktúrák biztonsága – Mind a hálózatbiztonság, mind a hálózatok tesztelése szempontjából fontos, de sok szempontból eltérő technológiai megvalósításokat, specifikus ismereteket, valamint üzemeltetési és tesztelési feladatokat megkívánó terület. Ha épp nem tesztelned kell őket, akkor is tudnod kell a WiFi gyenge pontjairól.

Na és a ráadás, ahol a korábbi ismereteidet projektbe szervezve tudod próbára tenni és összefüggéseket keresve tovább fejleszteni.

  • Hogyan töri fel a hacker a vállalati rendszert – A képzésben egy black hat munkájának lehetséges forgatókönyvét modelleztük le amikor a lokális hálózat gyengeségeit kihasználva, ipari eszközökön keresztül is képes lehet hozzáférni egy vállalat rendszereihez és adatbázisaihoz.

Lényeges, hogy a fenti linkeken több tanmenetnél a tananyagok olyan módon kerülnek sorolásra, hogy a legfrissebb szerepel a lista elején, azaz praktikusan a lista végéről visszafelé (a korábbiakkal kezdve) lesz célszerű haladnod. Az annál is inkább igaz, mivel az oktatók gyakran hivatkozhatják meg a korábbi képzésekben már elérhető tudásanyagot, ami nem kerül újra tárgyalásra, így jó ha tisztában vagy velük.

Mi lesz a dolgom az IT biztonsági munkakörömben?

Ha etikus hekkerként dolgozol, akkor az egyik legfontosabb feladatod az lesz, hogy megvizsgáld, hogy egy adott szoftver, hardver, hálózati megoldás vagy biztonsági eszköz az iparági elvárásoknak, a felügyeleti szervek előírásainak (pl. pénzügyi szektor, autóipari biztonsági előírások, stb.) és a jó gyakorlatoknak megfelelően került-e implementálásra, megírásra, beállításra, használatbavételre és alkalmazásra. Lényeges kérdés lesz feléd, hogy ezek létrehozásakor maradt-e (vagy létre jött-e) a támadó által kihasználható sérülékenység az infrastruktúrán. – Ha a te dolgod a védelem felépítése, akkor gondoskodnod kell róla, hogy ugyanezek a dolgok mind a helyükön legyenek. A te ellenfeled nem az auditor, a pentester vagy az etikus hekker, hanem a szervezetre leselkedő támadó.

A másik oldalról megközelítve, a gyakorlatban ez azt is jelenti, hogy a “blue team” legfontosabb feladata egy megfelelő biztonsági architektúra megtervezése és megvalósítása a szervezet infrastruktúrájában, amely figyelembe veszi mind a követelményeket (iparági, felügyeleti, törvényi, tulajdonosi, stb.), mind a lehetséges veszélyforrásokat amelyek egy adott helyzetben vagy környezetben előfordulhatnak, és ezek ellen a kockázatokkal arányos módon felhasznált erőforrások birtokában épít védelmet. A tervezésnek magába kell foglalnia és részleteznie kell azt is, hogy annak ellenőrzésére és tesztelésére hol, mikor és milyen formában kell erőforrásokat csoportosítani. – A “red team” feladata a megvalósítás minőségének ellenőrzése lesz a megállapított, és/vagy megállapodott keretek között.

Fontos tudnod, hogy az IT biztonság témaköréhez hatalmas elméleti tudásanyag is kötődik, amelyek pont az itt felsoroltak megvalósítását, rendszerbe szervezését, a keretrendszerben történő munkavégzést írják le és segítik elő. Az alapelvektől, a metodológiákon át, például egy riport elkészítéséig. Igen, korábban már említettük, de most újra elő kell citálnunk az Etikus hacker kezdő tanfolyamunkat, mivel ezeknek az elvi és elméleti alapvetéseknek egy jó részével is abban ismerkedhetsz meg. Ezzel talán számodra is nyilvánvalóvá válik, hogy ez egy hatalmas tananyag, hiszen a számtalan gyakorlati példa mellett még ez is elfért benne. Ha csak 45 percenkét tartasz egy kis szünetet az elvégzésében, akkor több mint 50 tanórára lesz szükséged csak arra, hogy végignézd a videókat. …és akkor még egyetlen feladatot sem reprodukáltál amit az oktató bemutatott, egyetlen önállóan megoldandó feladatot, vagy a tudáspróbák egyikét sem teljesítetted. – Hajrá!

Nagyszerű, készen állok?

Nyilván mindig van hová tovább fejlődni. A gyakorlásnak és a tanulásnak nem lehet vége. Ez az amit az informatikában általában is, de a biztonsági területen méginkább hangsúlyosan “élethosszig tartó tanulásnak” hívunk. Ezek után is célszerű a tudásodat tovább mélyítened, de az ebben a cikkben felsorolt képzések és tanfolyamok elvégzésével, és a témakörök gyakorlásával már biztosan megugrottad az első állásinterjújára készülő etikus hekker, vagy biztonsági szakember szintjét.

Másrészről ez a cikk azt az utat mutatta meg, hogyan kezdhetsz el építkezni. Nem volt cél, hogy minden egyes képzésünket beépítsük. Számos kapcsolódó tananyagot fogsz találni az oldalunk 200+ képzése között, amelyek specifikus területekre kalauzolnak el. Itt említhetem az ethical hacking témakörében már rendelkezésedre álló és folyamatosan megjelenő, de fel nem sorolt anyagokat. Viszont legalább ennyire fontos, hogy ha a security pályán a választott, vagy elnyert pozíciódban új igények merülnek fel, akkor a képzéstárunkból azonnal meg tudod alapozni a tudásodat az adott irányba. Ezzel gyorsan képes leszel alkalmazkodni az elvárásokhoz. – El kell menned DevSecOps irányba? Nem nagyon fog menni a vonatkozó alapok nélkül. Parancsolj!

Subscribe
Visszajelzés
guest
0 Hozzászólás
Inline Feedbacks
View all comments

·

5,0
5,0 csillag az 5-ből (2 értékelés alapján)
Tökéletes100%
Nagyon jó0%
Átlagos0%
Gyenge0%
Rossz0%
Iratkozz fel a hírlevélre!
Subscription Form