Hacker. A mindenki számára ismerős kapucnis zseni, aki a sötét szobában emberek munkáját teszi tönkre.
Valóban csak ennyi lenne?
Bizonyos értelemben igen, azonban létezik a hackerek egy másik csoportja is, akik a védelemért felelősek.
Ők az etikus hackerek. Valóban zsenik (jó értelemben), de nem a sötét szobában gubbasztanak és rombolás helyett inkább építenek. Kiváló szaktudással rendelkeznek, és megbízások alapján sérülékenységek után kutatnak.
A mai bejegyzésünkben a klasszikus etikus hacker tulajdonságait, képességeit, legfőbb ismérveit szeretnénk bemutatni.
Milyen tulajdonságokkal jellemezhető a jó etikus hacker szakmai képességek alapján?
Nehéz megfogni, kit lehet jó etikus hackernek nevezni, hiszen ennek a témakörnek is sok aspektusa van. Különböző irányokba lehet specializálódni, így nem lehet azt mondani, hogy egy hacker mindenhez is ért. Valaki a mobil applikációkra specializálódik, valaki egy bizonyos iparágra és annak a területnek a jeles képviselője. Ezek alapján tehát azt a személyt nevezhetjük jónak, aki vette a fáradtságot és egy adott témakörnek megtanulta minden részletét.
Ha a webes felületekre gondolunk, akkor előny, ha rendelkezik kód ismerettel, illetve egy script nyelvet is ismer, mely segítségével saját toolokat írhat.
Ha bug bounty szempontjából nézzük, akkor a mi szemünkben az a jó etikus hacker, aki elsőként találja meg a hibát és elsőként is jelenti be. Mindezt olyan minőségben teszi, olyan precíz adminisztrációval, hogy azzal nekünk már nincs több teendőnk, nem kell visszaküldenünk hiánypótlásra. Persze ehhez elkél egy adat szerencse is, hogy első lehessen ebben a kiélezett versenyben.
Előny lehet, ha rendelkezik tanúsítványokkal, azonban nem feltétlenül ettől lesz valaki jó etikus hacker, papír nélkül is lehet valaki zseni.
Milyen tulajdonságokkal jellemezhető soft skillek alapján?
A kommunikáció létfontosságú számára, főleg, ha nem egy adott platformnál vagy cégnél dolgozik. Amikor egyedül kell elmennie az ügyfélhez, szükséges egy kapcsolatteremtő készség, hiszen sok esetben olyan személyekkel kell megértetnie magát, akiknek nem ez a fő területük.
A sérülékenységek bejelentésének a dokumentáció egy elengedhetetlen része, ehhez szükséges egy kiváló adminisztrációs tevékenység. Ha a riport hanyag, összeszedetlen, akkor előfordulhat, hogy az ügyfélnek nem fog megfelelni.
Egy ehhez hasonló munka nem végezhető szívvel-lélekkel, ha az illetőben nincsen kíváncsiság. A hozzánk beküldött önéletrajzokban gyakran olvassuk, hogy már kisgyerekként foglalkoztatták őket a dolgok működése; valaki például egy TV-t tanulmányozott, mert érdekelte, hogyan működik. A sérülékenységek megtalálása sokszor aprólékos munka, a rendszert, a felületet, az alkalmazás működését kell megérteni, amihez nem árt egy kis kíváncsiság.
A kíváncsiság mellett becsületesnek és megbízhatónak kell lennie, mert csak a szerződés aláírása után, a meghatározott keretek betartásával végezheti a tesztelést. A talált sérülékenységet pedig csak velünk oszthatja meg.
Egy jó etikus hackert a kitartás is jellemez, hiszen ahogy fentebb is említettük, a tesztelés nagy része aprólékos, időigényes feladat. Ezek nem egyszerű munkák, sokszor napokig, hetekig kell böngészni, hogy sérülékenységet találjanak.
A kíváncsi és kihívást szerető hacker, valamint a pontosan adminisztráló hacker mennyire konfliktusos skillset?
Ezek valóban ellentmondó tulajdonságok, azonban a sikerhez mindkettőre szüksége van egy sikeres hackernek. Adminisztrálni ugyan senki sem szeret, de a munkájukhoz elengedhetetlen.
Mennyire fontos a hitelessége az adott hackernek? Milyen lehetőségek vannak a hitelesség bizonyítására?
A hitelesség mindenki számára fontos az életben, ezért egy etikus hacker számára is jó, ha megszerez különböző tanúsítványokat. Nagyon sok nemzetközi lehetőség közül választhatnak, és nagyobb cégek már el is várják a tanúsítványok megjelenítését az önéletrajzokban. Ha valaki rendelkezik már hasonlóval, a mi platformunkon lehetőség van arra, hogy a profilján ezt beállítsuk. Így tudni fogjuk, hogy ő már valamilyen végzettséggel rendelkezik, ami előnyt jelenthet például egy privát programnál.
Ha nem rendelkezik semmilyen képesítéssel, azzal is bizonyíthatja rátermettségét, hogy bejelent sérülékenységeket, melyeket az ügyfél el is fogad. A jóváhagyott sérülékenységekért pontokat kap, ezáltal feljebb kerülhet a ranglistánkon.
A legnagyobb hitelességmérő nálunk a reprodukálhatóság, ugyanis ha egy bejelentett hibát senki nem talál meg a leírása alapján, akkor előfordulhat, hogy csak egy anomáliát írt le. Azonban, ha mindent jól dokumentált a folyamat során, és van rá bizonyíték, akkor az hiteles. Nálunk a szolgáltatás része, hogy validáljuk a riportokat, így, ha hiányosságot találunk visszaküldjük a hackernek.
Egy jó hacker által benyújtott bugok hány százaléka valós?
Tapasztalataink alapján azt mondanánk, hogy 100%-os, ugyanis eddig még nem találkoztunk olyan bejelentéssel, ami ne lett volna valós. Jelenleg 140 benyújtott riportnál járunk, ebből 3x kellett visszaküldeni hiánypótlásra, de nem azért, mert ne lett volna valós, csak történt benne elírás.
A hackereknek a hardverhez is kell érteniük?
Minden informatikai tanfolyam a hardverekkel kezdődik, tehát jó, ha egy alaptudással rendelkeznek, de nem kell mélyre ásnia magát, ha nem ilyen területre specializálódik. Ahol szoftvert kell vizsgálni, ott nem kell ismernie minden elemét.
Igaz, hogy a szoftverek biztonságának növekedésével egyre nehezebb őket meghackelni? Ezáltal pedig egyre nehezebb azt is felfedezni, ha meghackelték?
A szoftverek valóban egyre biztonságosabbak, minden nap új sérülékenységeket tárnak fel, a kritikus sérülékenységeket pedig azonnal ki is javítják a cégek. Az, hogy mennyire nehéz észrevenni, hogy meghackelték őket a cégtől függ. Például attól, hogy mennyire monitorozzák a rendszereiket. Léteznek már különböző kiberbiztonsági csoportok, akik be tudnak olvadni a cégbe, vagy folyamatos támadássorozatok által bejutnak a céges rendszerekbe. Ezt nehéz kiszűrni, de egyre jobb megoldások léteznek már arra, hogy a saját cégünk is biztonságban legyen.
Van a bug bounty program hackereinek bevált módszertana, ami alapján dolgoznak?
Mindenkinek van saját, bevált módszere. Ez lehet akár egy eszköz, amit használ és amit teljesen ismer, így a gondolataiban összeállított elvek mentén tudja milyen sorrendben fog haladni. Ezenkívül pedig, ha valaki felkészül a tanúsítványok megszerzésére, ott a tananyag is úgy van strukturálva, hogy végigviszi a folyamatokon az etikus hackert. Valaki ez alapján szeret dolgozni, míg más kicsit átalakítja és személyre szabja. Nincs kőbe vésett szabály, mindenki saját magának alakítja ki.
Lehet főmunkaidős állás mellett is bug bounty hacker valaki? Mi jellemző a jelenlegi hacker közösségre?
Nagyon vegyes, de elsősorban főmunkaidős állás mellett csinálják – saját vállalkozás vagy akár alkalmazotti státusz mellett. Illetve sokan tanulók és mellette hobbiként foglalkoznak ezzel a témakörrel.
A teljes munkaidős etikus hacker nem igazán jellemző a magyar közösségre, inkább külföldi hackerek dolgoznak főállásban, azonban a magyar munkaerőpiacon is egyre több ilyen pozícióval találkozni.
Hogyan végzi a HACKTIFY a minőségbiztosítást, a náluk dolgozó hackerek felkészültségével kapcsolatban?
Az első követelmény, amit meghúztunk a regisztráció során, az a 16 éves korhatár. Emellett pedig a regisztrációnál a tesztelési irányelvünkben és a szerződési feltételekben határoztuk meg az alapvető szabályokat. A rendszer addig nem is engedi továbblépni a felhasználüt, míg legalább le nem görgetett a dokumentum aljára. Nem érdemes elsiklani felette, előbb-utóbb kiderül, ha nem olvasta el, hiszen a tesztelések ezen szabályok mentén történhetnek csak.
A következő ellenőrző pont a riportok validálása. Nálunk nem kerül úgy az ügyfélhez riport, hogy mi ne néztük volna át. Ilyenkor ellenőrizzük azt is, hogy a tesztelési irányelveinket betartották-e, illetve, hogy az ügyfél által meghatározott egyedi kérések teljesültek-e. Jutalom azonban csak akkor jár érte, ha az ügyfél is jóváhagyta.
Az ügyfeleink sokszor kérdezik, hogy bug bountyt nyitni biztonságos-e. A válaszunk erre mindig az, hogy van benne kockázat, de jóval kisebb, mintha egyáltalán nem indítana bug bounty programot. Túl sok a világhálón lévő rosszakaró hacker, így számunkra csak előny lehet, ha valaki a mi oldalunkon is erősíti a védelmünket.