Zamów magazyn

Reklamy

Pentester potrzebny od zaraz

 

Proceder związany z włamywaniem się do systemów informatycznych to biznes, w którym  w grę wchodzą duże pieniądze. Szacuje się, że cyberprzestępstwa kosztują globalną gospodarkę ponad 600 miliardów dolarów rocznie. Hakerzy najczęściej próbują wykorzystać naszą nieuwagę, zdenerwowanie i działanie instynktowne. Jeśli widzimy niepokojącą wiadomość, mamy ochotę szybko zareagować i klikamy w podany nam przez hakera link – link pułapkę.

W przypadku cyberprzestępczości zagrożenie tkwi także w innej kwestii. Tego, że nie znamy tożsamości hakera. Po drugiej stronie może siedzieć zarówno członek zorganizowanej grupy przestępczej, jak i mający informatyczne umiejętności nastolatek, który swoje zdolności wykorzystuje na przykład w celu rzucenia wyzwania administratorom stron internetowych. Spektrum cyberataków jest bardzo szerokie, a grupy hakerów mogą doprowadzić nawet do sparaliżowania działania ogromnych korporacji.

Chociaż w powszechnym mniemaniu za nośnik wirusa uważa się najczęściej pliki przesyłane za pośrednictwem poczty elektronicznej, to jednak hakerzy cały czas prześcigają się                          w wykorzystywaniu nowych możliwości włamywania się do systemów informatycznych.       Cyberprzestępcy są już na tyle rozwinięci, że potrafią włamać się nawet do cyfrowych zamków zainstalowanych w hotelach i sparaliżować w ten sposób funkcjonowanie obiektów, a w zamian za przywrócenie normalności żądają pieniędzy. Za przykłady tego, jak wyglądają i na jaką skalę są prowadzone ataki hakerskie, mogą posłużyć między innymi akcje, które miały miejsce wiele lat temu.

Jeden ze słynnych ataków cyberprzestępców dotyczył sieci PlayStation Network firmy Sony. Wtedy hakerom udało się przechwycić dane personalne sporej grupy użytkowników. Grupa hakerów zdołała też sforsować zabezpieczenia amerykańskiej agencji zajmującej się gromadzeniem danych o wszystkich ludziach zatrudnionych przez rząd USA. Cyberprzestępcy poradzili sobie również z zabezpieczeniami przedsiębiorstwa Microsoft. Ofiarą cyberataku padł również Facebook. W wyniku działań hakerów wykradziono dane wielu użytkowników popularnego portalu społecznościowego., a wtyczką, która umożliwiła wyciek, były quizy cieszące się wówczas dużą popularnością.

Pentester sprawdza

Choć w Polsce tematyka związana z cyberbezpieczeństwem cały czas się rozwija, ciągle jednak brakuje ekspertów, którzy mogliby mocno działać w tym obszarze i dbać o cyfrowe bezpieczeństwo przedsiębiorstw. W środowisku informatycznym można spotkać się        z podziałem na tak zwane czarne, białe, szare i niebieskie kapelusze.

„Czarnym kapeluszem” nazywa się hakera przestępcę, którego działania nastawione są głównie na te związane z włamywaniem się do konkretnego systemu w celu zaszkodzenia na przykład danej firmie, natomiast „biały kapelusz” to haker, który nie wyrządza szkód, lecz stara się wskazać administratorom systemów nieszczelności, które w danym systemie istnieją. Do grupy „szarych kapeluszy” zalicza się tych hakerów, którzy przyjmują po części metody działania obu wymienionych wyżej grup, a „niebieskie kapelusze” to ci, którzy poszukują ewentualnych błędów w oprogramowaniu (zanim zostanie ono wypuszczone na rynek).

Hakera określanego jako „biały kapelusz” można nazwać również pentesterem. Pentester to osoba, która w zakresie informatyki musi wiedzieć minimum tyle, ile haker przestępca, lecz  w przeciwieństwie do hakera przestępcy działa w sposób etyczny, a nie na szkodę danej osoby czy instytucji. Jest to w pewnym sensie audytor bezpieczeństwa, którego główny cel to wskazanie luk znajdujących się w danym systemie informatycznym.

Do działań etycznego hakera należą: włamywanie się do systemów firm w celu sprawdzenia zabezpieczeń, poszukiwanie luk w systemach, lokalizacja słabych punktów systemu, a także tworzenie oprogramowania, które ma zapobiec ewentualnemu cyberatakowi. Ponadto pentester może też wymyślać przykładowe próby ataku i w ten sposób weryfikować działanie systemu. Specjalista w tym zakresie może przeprowadzać pentest wąski, czyli testować tylko konkretną aplikację albo wycinek systemu, albo pentest pełny, czyli ten polegający na działaniach bardziej zaawansowanych, gdzie podatności szuka się nie tylko zdalnie, ale także fizycznie.

Osoba, która chce związać swoją przyszłość zawodową z działaniem jako pentester, karierę powinna rozpocząć od pracy jako programista albo administrator systemów, a dopiero po tym, jak zdobędzie wiedzę w wymienionych branżach, zacząć zagłębiać się w tematy związane typowo z cyberbezpieczeństwem.

Aby sprawnie piąć się po szczeblach kariery jako pentester, na pewno trzeba być mocno zainteresowanym tematem i dążyć do zgłębiania kolejnych informatycznych tajników. Jest to bowiem zawód, którego trudno nauczyć się w teorii. Aby stać się pentesterem, przede wszystkim potrzebna jest praktyka, należy dążyć do zrozumienia tego, jak działają poszczególne technologie i rozbudzić w sobie żyłkę odkrywcy. Pentesterowi potrzebna jest nie tylko bardzo duża wiedza techniczna. Musi on być także dociekliwy i systematyczny. Ponadto powinien wykazywać się umiejętnością pracy w zespole i cierpliwością. Często zdarza się bowiem, że pentester napotyka problem, który jest nie lada wyzwaniem, i aby ten problem rozwiązać trzeba spędzić wiele godzin przed monitorem.

Powszechnie uważa się, że osoba chcąca zostać pentesterem musi posiadać mocny kręgosłup moralny, aby w miarę rozwoju swoich hakerskich umiejętności nie zdecydowała się zmienić  z etycznego w nieetycznego hakera. Jeśli ktoś na rynku związanym z cyberbezpieczeństwem działa już dłużej, przy zatrudnianiu go w konkretnej firmie można zasięgnąć też opinii o tym, jakim szacunkiem w branży się cieszy.

Co ciekawe, teorii mówiącej o tym, że w branżach związanych z cyberbezpieczeństwem mogą pracować tylko ludzie o nieposzlakowanej opinii może przeczyć fakt, że niektóre z firm decydują się na zatrudnienie hakerów z udokumentowaną działalnością przestępczą, ponieważ cenią u takich ludzi posiadane przez nich umiejętności. Osoba zatrudniająca ekscyberprzestępcę powinna jednak pamiętać o ryzyku związanym z takim działaniem         i z całych sił dążyć do tego, aby to ryzyko jak najbardziej zminimalizować.

Jak zostać pentesterem?

Wydawać by się mogło, że aby zostać pentesterem konieczne jest ukończenie studiów. Nie jest to jednak prawda. Aby sprawdzać, czy w systemach nie ma błędów, nie tyle liczy się dyplom uzyskany na uczelni, ile wzbogacone o teorię umiejętności praktyczne, które można zdobyć na wiele sposobów. Osoby, które zdecydują się jednak na to, aby swoje kwalifikacje w dziedzinie szeroko pojętego bezpieczeństwa systemów informatycznych potwierdzić oficjalnie, mogą wybrać na przykład studia na kierunku kryptologia i cyberbezpieczeństwo.

Jednym ze sposobów wypracowania dobrej reputacji w branży jest zaangażowanie się w program, w którym biorą udział między innymi Facebook i Allegro, a gdzie nagrody pieniężne można otrzymać za zgłaszanie błędów – luk, które wykryje się w zabezpieczeniach systemów.

Osoba, która ma ochotę nauczyć się etycznego hakowania, może skorzystać z następujących narzędzi. Oto one:

Hacker House, który oferuje praktyczny kurs hakowania,

– IT SANS, który jest dostawcą szkoleń z zakresu bezpieczeństwa i oferuje kurs dla etycznych hakerów,

– certyfikowany program etycznego hakowania oferowany przez radę zajmującą się tematami związanymi z handlem elektronicznym (link do programu jest najczęściej dostępny                      na stronach internetowych, na których porusza się temat nauki etycznego hakowania),

– Cybrary, czyli internetowy dostawca szkoleń z zakresu bezpieczeństwa cyfrowego,

– InfoSec oferujący kursy etycznego hakowania,

– program stworzony dla Offensive Security (studenci, korzystając z tegoż programu, mogą nauczyć się między innymi rozpoznawania luk w systemach).

Etyczni hakerzy mogą zdobyć też odpowiednie, potwierdzające ich umiejętności w zawodzie, certyfikaty, między innymi: CEH, CISM, CISSP, a także przystąpić do organizacji działających na rzecz cyberbezpieczeństwa.

Na rynku będzie popyt

Prognozy rynkowe wskazują na to, że zainteresowanie hakerów przestępców atakami typu BPC, czyli tymi polegającymi na manipulowaniu różnymi procesami biznesowymi, będzie cieszyło się niesłabnącą popularnością, a wszystko ze względu na wysoką opłacalność tego typu działań. Tu właśnie otwiera się rynek dla pentesterów, których w niedalekiej przyszłości, ze względu na ciągle postępującą cyfryzację, na pewno będzie potrzeba dużo więcej.

Do tego, aby zostać pentesterem, mogą zachęcić przede wszystkim kwestie finansowe. Eksperci twierdzą bowiem, że zarobki etycznych hakerów będą sukcesywnie rosły, bo osób potrafiących sprawdzać, czy system informatyczny danej firmy zapewnia przedsiębiorstwu                (a tym samym jego klientom) bezpieczeństwo, jest na rynku dużo mniej, niż specjalistów zajmujących się stricte informatyką czy programowaniem.

Pamiętajmy, że nigdy nie powinniśmy lekceważyć bezpieczeństwa informatycznego. Biorąc pod uwagę wszystkie opisane kwestie, w przypadku, gdy podejrzewamy, że padliśmy ofiarą cyberataku, należy poinformować o tym zdarzeniu instytucje odpowiedzialne za bezpieczeństwo, na przykład policję albo Centralne Biuro Śledcze. Tylko takie działanie sprawi, że hakerzy nie będą czuli się anonimowi. Wprost przeciwnie – będą mieli świadomość, że za swoje czyny mogą ponieść konsekwencje.

 

Miłosz Magrzyk

 

Data publikacji: 05 sierpnia 2020

Tagi:

Show Buttons
Hide Buttons