Kevin Mitnick neve talán csak az IT berkekben járatosak számára csenghet ismerősen, pedig ő tekinthető (legalábbis a pályája vége felé) a történelem első etikus hekkerének. Az 1990-es években unatkozó tinédzserként különböző hálózatok feltörésével szórakoztatta magát és bosszantotta áldozatait, egészen addig, míg felkerült az FBI legkeresettebb bűnözőinek listájára. Aztán, csavart egyet a történetén és a “rablóból lesz a legjobb pandúr” alapon végül kiberbiztonsági céget alapított. A CertUnion Tudásközpont 2025 szeptemberében induló képzése ugyan nem garantál ennyire kalandos életutat, biztos etikus hekker tudást viszont annál inkább. Most Dr. Répás Sándorral, a tréning egyik oktatójával beszélgettünk arról, mire számíthatnak a jelentkezők.
A digitális világ “fehér kalaposai” az etikus hekkerek. Ők azok, akik az adott rendszer tulajdondonosának megbízására felderítik a biztonsági réseket. Ha pedig már felderítették, hol lehet viszonylag könnyedén behatolni egy cég hálózatába, a megelőzésben is számíthatunk a segítségükre. Dr. Répás Sándor az etikus hekkerek feladatai közül éppen ezért a behatolási és a sebezhetőségi tesztelést emeli ki. Mint mondja, a behatolás tesztelés egy rendszer feltörhetőségére irányul. Ha egy hekker megtalálja a hálózat gyenge pontját, az megmutatja, hol kell a védelmet fokozni. Ha viszont nem tud vele megbirkózni, az utalhat arra, hogy a rendszer viszonylag jól védett a támadókkal szemben, de arra is, hogy az etikus hekker-jelölt tudása még nem elegendő a feladathoz.
Nem átverés!
A megkérdezett szakértő azt mindenképpen fontosnak tartotta kiemelni, hogy az AI-nak köszönhetően az etikus hekkerek feladatkörével kapcsolatban elterjedt fogalom lett a “szociális tesztelés”, amit a szakmabeliek egy mosoly kíséretében nyugtáznak. Mint mondja: a social engineering-et helyesebb pszichológiai manipulációnak vagy egyszerűen átverésnek fordítani. (Ebben szintén kiemelkedően teljesített a fent emlegetett Kevin Mitnick.) Erről is, pontosabban az ez elleni védekezésről is szó esik majd a képzésen.
Értelemszerűen a szóban forgó IT tematikájú képzés feltételez valamiféle informatikai előképzettséget. Az oktató szerint azonban a jelentkezéshez nem szükséges szakirányú diploma. Az affinitás és a megbízhatóság – mivel mégiscsak digitális pajzsnak szegődik az illető – viszont igen!
A titkosítástól a feltörhetetlen programon át a jogszabályokig
A négy hónapos etikus hekker képzés valamennyi, a témát érintő kérdéssel foglalkozni fog – állítja a tréning tematikát összeállító oktató. Eszerint egy laza, számítógép ismereti bemelegítő után a résztvevők betekintést nyernek a titkosítás világába, és megtanulnak “feltörhetetlen” programot írni, valamint az IT biztonsághoz tartozó alapvető tudnivalókat is elsajátítják. De ízelítőt kapnak a vonatkozó szabványokról és jogszabályokról is. (Például nem hátrány, ha a szakember tisztában van azzal: meddig jogszerű egy etikus hekker ténykedése és a munkaszerződése milyen mozgásteret biztosít neki.) A tréning talán legizgalmasabb részének mégis az ígérkezik, amikor a jelentkezőknek rendszereket kell majd felügyelet mellett feltörniük.
Az etikus hekker szakma sava-borsa
Arra a kérdésre, hogy nem fél-e attól, hogy aztán az ő gépét is feltöri egyik-másik tehetséges résztvevő, Dr. Répás Sándor nevetve azt válaszolja: “az már egy haladó szintet jelentene, de mi ETIKUS hekkereket képzünk, nem egymásnak akarunk keresztbe tenni.”
És persze, ezzel megint csak visszakanyarodunk az etikus hekker szakma sava-borsát jelentő megbízhatóság és becsület kérdéséhez, amiről dr. Répás Sándor így foglalja össze a véleményét.:
„Nekünk az ügyfél érdekeit kell szem előtt tartanunk. Aki visszaél a bizalommal, annak nemcsak börtönbüntetéssel kell számolnia, de azzal is, hogy hosszú évekig majd “megelőzi a híre”, azaz nem lesz megbízása.”
Tanulni, tanulni, tanulni!
A négy hónapos, remek ár-érték arányú, online képzés igyekszik a lehető legátfogóbb képet adni a témáról. Ennek ellenére Dr. Répás Sándor azt állítja, annyira szerteágazó a terület, hogy szinte képtelenség mindenhez érteni. Mint mondja: a különféle rendszerek különféle szakértőket igényelnek. Éppen ezért az IT biztonsággal foglalkozó nagy cégek komplett csapatokat tartanak fenn, ahol mindenki egy-egy részterület szakértője.
Ha létezik szakma, ami folyamatos fejlődést és tanulást követel, hát ez az – emeli ki a szakértő.
Csak így érhető el, hogy idővel a kezdeti felügyelettel végzett munka után önállóan is dolgozhasson egy megbízáson az etikus hekker.
A kiberbiztonság grundja
Ennek jegyében a képzés is bőven ellátja majd a résztvevőket feladattal. Így például egy gép feltörését követően az IT szlengben capture the flag-ként (a kiberbiztonság világában egyfajta versengést jelölő kifejezés, nagyjából úgy kell elképzelni, mint a Pál utcai fiúk című regényben, ahol a grund elfoglalását az ellenfél zászlajának megszerzése jelképezte) emlegetett számsort kell feltölteni a rendszerbe, igazolva, hogy a hekker sikeres behatolást hajtott végre.
Folyt. köv.!
Hihetnénk, hogy az ilyesfajta tudás csak a kifejezetten nagy, multinacionális vagy állami cégek számára elengedhetetlen, a megkérdezett szakértő szerint azonban ez nem így van. Véleménye szerint minden olyan gazdasági szereplőnek fontos a hozzáértés, amelyik egy kicsit is függ az informatikától, például ilyenek a saját szerverrel rendelkező vagy a webáruházat üzemeltető vállalkozások. És persze azon magánszemélyek is csak profitálhatnak belőle – teszi hozzá dr. Répás Sándor – akik egy jövedelmező állást szeretnének maguknak.
A téma időszerűségét jól mutatja, hogy ugyan még el sem kezdődött az etikus hekker tréning, a szervezők már most azon gondolkodnak, hogy a folytatásban specializációs (adatbázis-feltörés, hálózatbiztonság stb.) továbbképzést is meghirdetnek az alapozó tanfolyamot sikerrel teljesítőknek.
