A hackereket a közvélemény általában informatikai bűnözőkkel azonosítja, pedig sokan közülük kifejezetten a biztonságért dolgoznak. Őket nevezi a szakma etikus hackereknek. A tudásuk elengedhetetlen ahhoz, hogy a védelem egy lépéssel mindig az ártó szándékú támadók előtt álljon.
[Vendégszerzőnk Steinle Szandra IT biztonsági szakértő és az EC Council által minősített etikus hacker. Kisiskolás gyermeke mellett a digitális világ kihívásait nem csak szakemberként, de szülőként is tapasztalja.]
Az etikus hackerek birtokában vannak mindazon eszközöknek és ismereteknek, amelyekkel az informatikai bűnözők is rendelkeznek, céljuk azonban nem a kártékony tevékenység. Ők azért kompromittálnak rendszereket vagy alkalmazásokat, hogy az adott szervezet a felfedezett sérülékenységek javításával magasabb szintű biztonságot érhessen el és megakadályozza a rosszindulatú támadások sikerét.
A média által félreértett, általános tévedés, hogy egy hackert pusztán a jóindulat és az ártó szándék hiánya tesz etikussá. Az egyetlen ismérv, ami alapján etikusnak jellemezhető egy támadó, az a rendszer vagy alkalmazás tulajdonosának előzetes írásbeli engedélye. Az engedély nélkül végzett tevékenység törvénybe ütközik és nem nevezhető etikusnak.
Az etikus hacker - a behatolás tesztelések mellett - a biztonsági kérdésekkel összefüggéseiben is foglalkozik, ismeri az informatikai biztonságra vonatkozó jogszabályokat, tisztában van az incidensekre adható válaszlépésekkel, a védelmi oldalt proaktívan képes támogatni és akár auditálhat is. Ezzel szemben a behatolás tesztelő csak sérülékenységeket keres, illetve azok kihasználhatóságát vizsgálja. A bogár-rovar analógiára utalva elmondható, hogy minden etikus hacker penteszter, de nem minden penteszter etikus hacker.
Ugyanakkor a gyakorlatban egymás szinonimájaként vannak jelen ezek a kifejezések még a szakmai fórumokon is. A jelenlegi összemosás oka, hogy leggyakrabban az etikus hackereket is pusztán behatolás-vizsgálatok elvégzésére kérik fel, így egyéb területeken jellemzően kihasználatlan marad a tudásuk. Valószínűleg a jövőben, az információbiztonság fejlődésével ez változni fog.
A két legnépszerűbb minősítés a szakmában a CEH (Certified Ethical Hacker) és az OSCP (Offensive Security Certified Professional). Gyakran éles vita alakul ki, hogy melyik minősítés jobb vagy hasznosabb, pedig egész egyszerűen más szinten nyújtanak ismereteket. Az OSCP kifejezetten a behatolás-vizsgálat gyakorlati ismereteit biztosítja, a CEH pedig több szakma (köztük a behatolás tesztelés) alapjaival ismertet meg.
A megfelelő minősítés kiválasztása tehát inkább célfüggő: Ha valakit az információbiztonság informatikai oldala, azon belül is a sérülékenységvizsgálat és a penetrációs teszt vonz, akkor az OSCP hasznosabb ismereteket nyújt. Ezzel szemben általánosabb érdeklődés esetén, ha valaki az információbiztonságot teljes egészében át szeretné látni a jogi szabályozástól az informatikai támadásokra történő ellenlépések lehetőségéig, akkor a CEH tud releváns tudást biztosítani.
A minősítés, mint a legtöbb területen itt is fontos ugyan, de nem elég a sikerhez. A valódi tanulás és fejlődés a minősítés megszerzése után következik. Az informatika fejlődésével együtt alkalmazásaink, eszközeink és rendszereink fenyegetettsége folyamatosan növekszik. A védelem szakembereinek pedig lépést kell tartaniuk ezekkel a fenyegetettségekkel és ezt csak úgy érhetik el, ha képesek a számítógépes bűnözők fejével gondolkodva hiányosságokat találni a saját biztonságukon. A folyamatos fejlődés állandó tanulást és naprakész tudást igényel, ezért egy hacker sikerét nem a minősítés típusa határozza meg, hanem a kiolthatatlan tudásszomj és a dolgok működése iránti szüntelen érdeklődés.