Etikus hackerek - mit érdemes tudni róluk?

18/02/05 hétfő
ujnemzedek.hu
Például hogy lehet egy hacker etikus? És ha már az, akkor hogy lehet egy földi halandó etikus hacker?

Azt, hogy mi a hacker, pláne az etikus hacker, nyilván mindenki vágja: az a csávó a filmekben, aki viszafordítja a rosszfelé hasító ballisztikus rakétát, vagy feltöri a bank széfjének szoftverét, hogy a többi laza srác bejuthasson a Faberge-tojásokért. Vagy valami ilyesmi. Persze még szerencse, hogy a világ nem Hollywood, szóval azért

a hacker ennél komolyabb figura.

A meghatározások szerint - micsoda meglepetés - a hacker kifejezés alatt olyan számítástechnikai szakembert értünk, aki bizonyos informatikai rendszerek működését a publikus vagy a mindenki számára elérhető szint fölött ismeri. (Olyan archetípus lett ő az évek során, mint anno volt a varázsló, vagy a harcos - az, hogy az ő mágiája bites-varázs, és kard helyett klaviatúrája van, ez esetben részletkérdés.) Egyszerűbben: a hacker a pro, ha számtech ügyekről van szó. A pixelkirakatrendező - illetve inkább az az arc, aki kijavítja, ha a pixelkirakatba légy repült piszkot rakni, vagy összedőlt a műanyag baba. Negatív felhang csak az utóbbi években tapadt a nevéhez - a hacker alapvetően épít, de nyilván van neki reciproka is: ez pedig a cracker, akit a rombolás "élvezet" vezérel.

Etikus hacker - eszik-e vagy isszák?
Na pont erre megy rá az etikus hacker.

Az etikus hacker ezzel szemben már tőrölmetszett jófiú - ő az a Johnny Mnemonic, akit a cégek/hálózatok azért bérelnek fel, hogy kiszúrja, ha lukas a háló, és lecsekkolja, van-e hiba a rendszerben. Ahogy azt itt írják: "az Ethical Hacking tanfolyam során megszerezhető tudás és új biztonsági szemlélet ma már szinte minden cég és biztonsági szakember számára elengedhetetlen. Az üzleti titkok elveszítése, kiszivárgása, egy informatikai rendszer leállása, vagy az ügyfelek bizalmának elveszítése a kis- és nagyvállalatokat egyaránt megrendíti. A tanfolyam hallgatói szinte az összes ismert támadási módszert részletesen megismerik, kipróbálnak ehhez felhasználható eszközöket, valamint megismerik a hackertámadások lehetséges forgatókönyveit. A megismert eszközök és módszerek segítségével tesztelni tudják majd saját rendszerük biztonságosságát, hamarabb észreveszik az ellenük irányuló támadásokat, és hatékonyan tudnak ellenük védekezni."

Mert az etikus hackerség tanulható

És a dolgot láthatóan egy csomóan tanulnák is - annak ellenére, hogy milyen baromi sok sztereotípia él az emberek fejében a benőtt körmű, pizzát zabáló bérbitelőtől kezdve addig, hogy aki elvégzi a hacker képzőt, úgy jön ki a suliból, mintha ő lenne Q a James Bond filmekből. "Gazdasági szakra járok de egyre jobban tetszik az etikus hacker pálya. Hogyan tudnék pályát váltani?" "Kiből lehet etikus hacker?" Ilyen kérdésekkel van tele a Gyakori Kérdések - ebből is látszik, hogy a pálya igenis komoly érdeklődésre tart számot. 

És ahol kereslet van, ott megjelenik nyilván a kínálat is - ha ezrével nem is, de tucatjával tuti találsz magadnak megfelelő képzést. Az Óbudai Egyetem például már jóideje nyomja az oktatást (bréking: egy itt tanuló diák "nulladik napi sérülékenységet talált a népszerű RealPlayer médiaalkalmazásban"). Sokan dícsérik a Kürt akadémia etikus hacker képzését - az idei kört ugyan már buktátok, de érdemes vissza- és visszamenni a weboldalukra, csekkolni, hátha van üresedés. Etikus hacker képzést hirdet továbbá a Euzert uniós továbbképző kft., de érdemes csekkolni ezt is, meg ezt is, meg ezt is.

És mi a helyzet a jogi oldallal?

Hát ez:
Információs rendszer felhasználásával elkövetett csalás

375. § (1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. 
(2) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha a) az információs rendszer felhasználásával elkövetett csalás jelentős kárt okoz, vagy b) a nagyobb kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el. 
(...)

XLIII. FEJEZET - TILTOTT ADATSZERZÉS ÉS AZ INFORMÁCIÓS RENDSZER ELLENI BŰNCSELEKMÉNYEK

Információs rendszer vagy adat megsértéses

423. § (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. 
(2) Aki 
a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy 
b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, 
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. 

További ijesztgetés ITT.

Ha pedig még mindig nem kaptál kedvet az etikus hacker szakmához

akkor épp itt az ideje, hogy a jól ismert módszert kövesd: azaz lessél baromi sok sorozatot. A melósok szerint az igazán bejövős alkotások pont azért bejövősek, mert kb. TÉNYLEG közelebb állnak a valósághoz - ilyen a Mr. Robot  például, ahol a fital hacker nappal biztonsági szakemberként dolgozik, az éjszakáit viszont hackerkedéssel tölti, ami annyit tesz, hogy igazán durva arcoknak próbál rálépni a tyúkszemére (de ki a jó? és ki a rossz? Ez itt a kérdés.) Ott van még a Social Network - A közösségi háló, ami a Facebook alapítása körüli mindenféle dolgokat (lásd még: "bonyodalom") tárgyalja ki, vagy érdemes még csekkolni a A tetovált lány-t (nem, a hackerkedéshez nem jár automatikusan egy Honda cbr-350-es), illetve a Páncélba zárt szellem-et akár: jó az élőszereplős is, de mégiscsak az anime az igazi.

Az Új Nemzedék Központ azért indította el a Digitális Immunerősítő Programot, hogy az ilyen helyzetekre - márhogy ha valami kevésbé etikus hacker talál be - felkészülhess, és védettebbé válj a neten fenyegető támadásokkal szemben. Csekkolj mindent ITT!