W dzisiejszym świecie nowoczesnych technologii swoboda wyboru przyczynia się do zwiększenia produktywności pracowników. Jeszcze kilka lat temu, praca w biurze wiązała się ze spędzeniem określonej ilości godzin w danej przestrzeni. Teraz coraz częściej liczą się przede wszystkim efekty.
Aby rekrutować i zatrzymać najlepsze talenty, pracodawcy muszą przyjąć podejście oparte na wolności. Coraz więcej firm rozumie, że zapewnienie pracownikom odpowiedniej technologii i pozostawienie wolnej ręki w osiągnięciu założonych celów, zamiast nacisku na konkretny model pracy, jest najlepszym sposobem na zwiększenie produktywności i w efekcie rozwój przedsiębiorstwa. Jednym z zawodów przyszłości jest profesja pentestera, czyli hakera, który działając we własnym zakresie wykorzystuje swoje umiejętności dla korzyści, a nie strat, danego podmiotu.
Kim jest pentester?
Dziś hakerzy to nie tylko nieetyczni przestępcy, którzy chcą wykraść i udostępnić nasze prywatne dane. Są to również osoby, które wykorzystują swoją wiedzę techniczną na rzecz społeczności lub przedsiębiorstwa w celu zwiększenia cyberbezpieczeństwa.Dziś hakerzy to nie tylko nieetyczni przestępcy, którzy chcą wykraść i udostępnić nasze prywatne dane. Są to również osoby, które wykorzystują swoją wiedzę techniczną na rzecz społeczności lub przedsiębiorstwa w celu zwiększenia cyberbezpieczeństwa.
Zadaniem pentestera jest symulacja złośliwych ataków hakerów, aby najpierw znaleźć luki w systemach, a następnie rozwiązać napotkane problemy. Rosnąca liczba i złożoność cyberataków przeprowadzanych na firmy i rządy zwiększa zapotrzebowanie na etycznych hakerów, dlatego też dla ekspertów IT, posiadających wiedzę i reputację w branży, kariera pentestera staje się coraz bardziej atrakcyjnym wyborem zawodowym.
Jak zostać pentesterem?
Pracodawcy często wymagają nie tyle ukończenia studiów wyższych, choć jest to oczywiście pomocne, co raczej praktycznej wiedzy i umiejętności, które często ambitny apecjalista może zdobyć samodzielnie. Najważniejsze jest zainteresowanie poszukiwaniem i zdobywaniem informacji o rozwiązaniach oraz wytrwałość, kreatywność i cierpliwość. W Internecie dostępne są nawet specjalne aplikacje, które pozwalają przetestować swoje umiejętności (rozwal.to, vulnhub.com).
Zdarza się jednak, że dana firma oczekuje od przyszłych pracowników uzyskania certyfikatu etycznego hakera, aby uzyskać gwarancję, że dany kandydat nie tylko posiada wymagane kwalifikacje techniczne, ale także rozumie etyczne obowiązki związane z pracą.
Certified Ethical Hacker (CEH) to certyfikat promowany przez Międzynarodową Radę Konsultantów Handlu Elektronicznego, organizację założoną po atakach na World Trade Center. Celem było przeszkolenie specjalistów i zapewnienie im odpowiednich narzędzi, aby byli w stanie uniknąć albo nawet stawić czoła cyberwojnie. Organizacja ustanowiła międzynarodowe standardy, certyfikując umiejętności techniczne w dziedzinie handlu elektronicznego i bezpieczeństwo komputerowe, w tym właśnie CEH. Test składa się ze 125 pytań wielokrotnego wyboru, które należy wypełnić w ciągu 4 godzin i obejmuje rónież kodeks etyki organizacji.
Co to są testy penetracyjne?
Legalny haker przeprowadza na system danej firmy kontrolowany atak, zwany właśnie testem penetracyjnym. Do systemu może dostać się przebywając w biurze przedsiębiorstwa lub zdalnie, na przykład poprzez wykorzystanie sieci VPN. Co to takiego? Wirtualna sieć prywatna, która działa jako tunel bezpieczeństwa między urządzeniami. VPN używana jest jako dodatkowa warstwa bezpieczeństwa oraz jako serwer proxy, który umożliwia anonimowe przeglądanie treści z dowolnego miejsca.
Testy penetracyjne pozwalają na sprawdzenie rzeczywistego poziomu bezpieczeństwa identyfikację konkretnych zagrożeń systemu lub poszczególnych aplikacji. Część testów może zostać wykonana również automatycznie. Następnie legalny haker wykonuje raport dla firmy, na który najczęściej składa się podsumowanie do wglądu dla zarządu oraz szczegółowe wytyczne dla pracowników działu technicznego, zawierające rekomendacje naprawy istniejących luk bezpieczeństwa.
Istnieje kilka sposobów przeprowadzania testów. „White Box” jest najbardziej szczegółowy, opiera się na kompleksowej analizie, która ocenia całość infrastruktury sieci. Etyczny haker posiada już wstępną wiedzę na temat wszystkich istotnych informacji firmy, takich jak hasła, adresy IP, loginy i dane odnoszące się do serwerów, możliwych środków bezpieczeństwa, zapór ogniowych.
Z kolei test „Black Box” opiera się na założeniu, że haker nie ma wielu informacji o systemie przedsiębiorstwa. Pentester musi zatem działać podobnie do cyberprzestępców. Metoda służy rozpoznawaniu najsłabszych punktów w strukturze sieci. Istnieje również rozwiązanie pośrednie, czyli „Grey Box”, najbardziej zalecany typ testów penetracyjnych gdy sprawdzeniu ma ulec konkretny zakres zabezpieczeń. Legalny haker otrzymuje niektóre dane na temat systemu, oszczędza się zatem czas jego pracy, którego potrzebowałby na odkrycie danych informacji, a jednocześnie pozwala skupić się na najbardziej pożądanym problemie.
Program Bug Bounty
Bug Bounty to program premiowy, który oferuje nagrody pieniężne każdemu, kto wykryje błędy i luki w systemie zabezpieczeń danego przedsiębiorstwa, dzięki czemu firmy mogą naprawić te zaniedbania na długo, zanim spowodują jakiekolwiek szkody. Żaden system nie jest idealny i właściwie w każdym da się znaleźć niedopatrzenia. Im większy błąd zostanie wykryty, tym większa jest gratyfikacja, a także większe oczywiście uznanie w branży.
Udział w Bug Bounty jest dla przedsiębiorstw bardzo opłacalny, gdyż zmniejszają w ten sposób ryzyko utraty danych generujących wielomilionowe straty oraz oczywiście wizerunku, nawet w przypadku włamania się do ich systemów. Do programu należy wiele ogromnych korporacji światowych, takich jak Facebook, Google, Apple czy Android.
Photo by freestocks on Unsplash