Egy etikus hacker, tud, ért az illegális hackeléshez is? mennyire szokványos ez általánosságban? vagy egyik vonza a másikat olyan természetes nekik ez a világ is, hogy elkerülhetetlen mindkét végletből való tapasztalás?

Az etikus hacker attól etikus hacker, hogy egy-egy adott cég szerződés alapján kéri fel a saját rendszereinek biztonsági ellenőrzésére, az esetleges biztonsági hiányosságok felderítésére, javítására, a rendszereik biztonságosságának növelésére.

Ámbár az etikus hacker is ismeri - szakmából kifolyólag - az "illegális" fekete kalapos hackerek eszközkészleteit, de azt nem használják mások elleni károkozásra (mert azzal a saját renoméjukat csorbítanák).

Az etikus hacker attól etikus, hogy a tudását jótékony célokra használja fel. Pl. biztonság fejlesztése, ellenőrzése, tesztelése, etikátlan hackerek elleni támadás kivédésére.

Ugyan olyan tudás birtokában van, mint a nem etikus hacker, csak nem ártó és illegális szándékkal használja fel. Ha éppen azt akarná, természetesen arra is képes lenne.

Ugyan azt tudja, mint egy "gonosz" hacker, mivel konkrétan az a feladata, hogy egy valódi támadást szimulálva betörjön valahova. A szakmában a legtöbb ilyen hacker a red teaming nevezetű területen van, ők azok akik támadnak, a blue teaming pedig akik védekeznek (pl blue teamhez tartozik a SOC analyst). Van purple teaming is, ez azt takarja, hogy a blue teamel együttműködve zajlik a támadás, itt folyamatosan kommunikál a két csapat egymással.

De azért ennél jóval nagyobb ez a terület, a hacker rengeteg mindent takarhat, egy programozó is foglalkozhat ezer féle dologgal. Két nagy és sokak által szeretett terület az a red team operator és a malware developer. Ők általában együtt dolgoznak red teamnél, mert a malware developer írja meg a malware-t amivel bejutnak a gépre és ezután a red team operator "mászkál a céges gépeken".

Ezen kívül van rengeteg olyan személy van aki research-el foglalkozik nagyobb cyber security cégeknél, ők pl reverse engineeringelnek malware-eket, APT-ket (Advanced Persisten Threat) analizálnak és ilyesmik.

Ami még valamennyire nagyobb terület az a zero day-ek keresése, ezek kijavítatlan hibák a kódban amivel mindent is kijátszva tudsz bejutni rendszerekbe. Ezekért rengeteget fizetnek nyílvánvaló okok miatt a cégek és vannak versenyek is hírdetve ahol nagy pénzdíjakért lehet ezt csinálni, pl Pwn2Own az egyik legnagyobb. Ha kiváncsi vagy mi mennyit ér, akkor itt egy broker akik zero dayeket vesznek: [link] kicsit tekerj lejjebb és ott lesz két táblázat (egyik teló, másik pc-re). A zero click amikért milliókat fizetnek azt jelenti, hogy a usernek nem kell semmit letöltenie, hanem elég pl egy emailt megnyitnia és már a gépeden azt csinál a hacker amit csak szeretne.

A legtöbb etikus hacker csinál nem éppen legális dolgokat pl tiniként vagy egyetem alatt, de később nagyon ritka az ilyesmi, mert már egy kegyetlen jól fizetett területről beszélünk és nem éri meg a kockázatot. Mondjuk ezt leszámítva feljárunk black hat fórumokra szinte mindenki feljár, mert sokat lehet tanulni, meg néha csak ott lehet megtalálni valamiről dokumentációt amit elloptak valahonnan:D de ez nem annyira veszélyes dolog, meg nyílván az opsec-re (operation security) minden szakmabeli figyel.

Gyakorolni ilyen tevékenységet pedig nem muszáj illegális keretek közt végezni, a szakmában lab-nek hívják azt, mikor virtual machine-okat futtatsz és itt támadásokat szimulálsz. Nyílván ez nem annyira élethű, mert nincs blue team ami folyamatosan monitoroz mindent is, de ettől még ez egy teljesen bevett szokás támadásoknál is, hogy szerzel információt a cég gépeiről és biztonságáról, majd próbálod modellezni és malware-t írni.

Tanulni sem illegális ezt, millió blog post van róla, kurzusok, kutatások és ilyesmik. Ameddig nem támadsz meg valakit, addig azt tanulsz amit csak szeretnél, ez nem olyan, mint a bomba készítés, hogy ha elkezded gyakorolni akkor kopogtat a tek, ez egy teljesen legális terület. Sőt, malware-t vagy támadáshoz toolokat írni se illegális, githubon is találsz milliót, csak rossz dolgokra nem szabad használni őket. Leghíresebb példa szerintem a mimikatz erre, amit arra írt a megalkotója, hogy bebizonyítsa a Microsoftnak mennyire sebezhető az authentication protocol, azóta pedig minden hacker használja:D sőt, te is tudod, tessék itt van githubon: [link]

Ha van esetleg kérdésed akkor írj bátran, én programozóként kezdtem, de véletlen események és találkozások folyamán a cyber security fele sodort az élet és most 2 éve R&D-vel foglalkozok egy red teaminges cégnél. Részt veszek támadásokon, fejlesztem a saját tooljainkat és malware-eket szoktam még írni, meg elég erősen a reverse engineering irányába tanulok, mert nagyon érdekelnek a zero day-ek, ugye hatalmas szakmai kihívás ezeket megtalálni. Gyakorira meg már 10+ éve járok fel, egyszerűen nem tudok leszokni róla, szóval ezért válaszolgatok itt néha:)

@08:27

Nem feltétlen. Ha sérülékenységet közöl az adott szoftver/rendszer készítőjével a nélkül, hogy felkérte volna az is etikus hackelésnek számít. Pl ha sérülékenységet találsz a firefox forráskódjában és ezt közlöd az ezt fejlesztő Mozilla Alapítvánnyal akkor az etikus hackelés. A Google gyakran talál és jelent be sérülékenységet a windows-ra és ezt jelenti a Microsoft-nak, bevett szokás hogy ad egy időkorlátot a javításra, ha az idő alatt nem javítanák ki akkor közzétenné a Google hogy ilyen sérülékenység van, de utólag értesülünk róla amikor már kijavították. Egyébként még pénzjutalom is reális, ha találsz valami olyan sérülékenységet és jelented, vagy akár még fel is ajánlhatják hogy felvesznek. Persze nem magyar kis KKV-knél vagy nem magyar állami intézményeknél, ezeknél csak húzzák a szájukat, még téged gyanúsítanak meg, még meg se köszönik. Lásd például a Kréta rendszer amit többször is feltörtek, ahol olyan az egész hozzáállás is hogy nincs abban semmi köszönet ... . Ott is az volt, mint bevett szokás hogy valami tétet ad, ha nem javítják ill. nem kezdenek el valamit csinálni a biztonság érdekében, mivel nem tették közzétették a rendszer forráskódjának egy részét, így tudtuk meg mire költenek el milliárdokat az adófizetők pénzéből, nincs azaz IT cég amelyik jóváhagyta volna azt a forráskódot.

@12:12

Nem jutott eszembe, még a BKV-s esetet is akartam írni példának ami annak idején nagy port kavart. Talált egy srác sérülékenységet a BKV rendszerébe, tudott 1 forintért vagy amennyiért akart jegyet venni benne ezt jelentette és még őt jelentették fel. A sajtó nyomására nem kapott büntetést. Szóval attól, hogy etikus hackelés attól még a az adott magyar állami cégben a vezetőség ehhez még lehet gyenge elmélyű, nem annak gondolja. Ettől még etikus hackelés. Az lenne a minimum, hogy megköszönjék, mint írtam is jobb helyeken még pénzjutalmat is kapsz, vagy akár fel is ajálhatják hogy felvesznek.

#8: "Ha sérülékenységet közöl az adott szoftver/rendszer készítőjével a nélkül, hogy felkérte volna az is etikus hackelésnek számít."

Nem. Az "szürke kalapos hackelés" ( [link] ), aminek indítéka bár lehet, hogy nem rossz, de a "támadó" laikus fél kommunikációjából lehetnek problémák (a BKK-s, Krétás fiaskónál, de a világban sok más közüzemi rendszernél is ez volt a helyzet).

"Pl ha sérülékenységet találsz a firefox forráskódjában és ezt közlöd az ezt fejlesztő Mozilla Alapítvánnyal akkor az etikus hackelés. "

Az egy publikus, közösségi fejlesztésű, nyílt forráskódú szoftver, nem egy publikusan elérhető, de zárt forráskódú, profitorientált (gyakran nem IT-orientált) vállalat szolgáltatása.

"A Google gyakran talál és jelent be sérülékenységet a windows-ra és ezt jelenti a Microsoft-nak, bevett szokás hogy ad egy időkorlátot a javításra, ha az idő alatt nem javítanák ki akkor közzétenné a Google hogy ilyen sérülékenység van, de utólag értesülünk róla amikor már kijavították"

Ott meg nem szimpla laikusok végzik a hibák feltárását, hanem szakemberek.