HARD CORE SECURITY LAB

Etyczny hacking polega przede wszystkim na praktycznym, ofensywnym sprawdzaniu bieżącego stanu bezpieczeństwa wybranego systemu teleinformatycznego. Praktycznym do tego stopnia, że wykorzystuje w swych testach narzędzia oraz metody stosowane przez... komputerowych włamywaczy. Testy takie (zwane testami penetracyjnymi) polegają więc na przełamywaniu zabezpieczeń docelowej sieci, serwerów lub stacji roboczych w sposób praktycznie identyczny do tego, w jaki próbowałby tego dokonać komputerowy przestępca. Jedyną różnicą jest to, że testy penetracyjne (w odróżnieniu od włamań) wykonywane są za pełną wiedzą i zgodą (a najczęściej nawet na zlecenie) właściciela testowanego systemu informatycznego. Celem takich testów jest oczywiście odnalezienie w testowanym systemie ewentualnych luk, które mogliby wykorzystać prawdziwi przestępcy i w konsekwencji ich zamknięcie. Skoro więc etyczny haker musi posiąść niebanalną przecież wiedzę równą tej posiadanej przez swych przestępczych odpowiedników, czy może liczyć na to, że jej legalne wykorzystanie będzie równie opłacalne?

Przede wszystkim etyczny haker może ze swej specjalności uczynić podstawowe źródło dochodu. Praca przy audytach bezpieczeństwa teleinformatycznego oraz komercyjnych usługach przeprowadzania testów penetracyjnych może więc stać się naszą pracą. Możliwe jest również zarabianie na odkrywanych przez siebie lukach w systemach informatycznych oraz oprogramowaniu. Coraz więcej firm wręcz zachęca do poszukiwania błędów we własnych produktach, oferując odkrywcom całkiem pokaźne sumki. W ostatnim czasie dość głośno było przykładowo o firmie Google, która to postanowiła płacić (nawet 1337 USD) za błędy odnalezione w przeglądarce Chrome. Jednak najwięcej jednorazowo można zarobić na konkurach hakerskich, takich jak słynny już PWN2OWN.

Tegoroczny konkurs PWN2OWN odbędzie się 24 marca w kanadyjskim Vancouver, w ramach konferencji CanSecWest. Zadaniem uczestników będzie przełamanie zabezpieczeń najnowszych przeglądarek internetowych oraz smartfonów. Pula nagród wynosi 100 tys. USD. Możliwe będzie również zdobycie punktów w systemie premiowania zgłoszeń o nowych lukach w oprogramowaniu Zero Day Initiative.

Okazuje się więc, że nie tylko przestępczy hacking przynosi dochody. Etyczni hakerzy mogą zarabiać na swej pasji zarówno na co dzień, jak i okazjonalnie, biorąc udział w konkursach oraz programach zgłaszania informacji o nowoodkrytych lukach. Co najważniejsze, tego rodzaju działalność jest zupełnie legalna, a nawet można by rzec szlachetna. Jednocześnie pozwala na odczuwanie ekscytacji towarzyszącej udanemu przełamywaniu zabezpieczeń informatycznych. Nikt zastanawiający się nad wyborem jednej (przestępczej) lub drugiej (etycznej) drogi nie powinien wiec mieć już żadnych wątpliwości. Etyczny hacking ma same zalety!