Zawód: pentester – kim jest legalny haker?

Pentester, zwany również etycznym lub legalnym hakerem wykrywa słabości zabezpieczeń w systemach informatycznych, sieciach i aplikacjach internetowych na prośbę danego przedsiębiorstwa.

Co robi pentester?

Legalny haker testuje całość lub wybrany fragment danych, przeprowadza i dokumentuje symulacje cyberataków. W odróżnieniu od zwykłych hakerów identyfikuje słabości, ale następnie nie wykorzystuje zdobytych w ten sposób danych na szkodę firmy. Często samodzielnie projektuje narzędzia hakerskie do uzyskiwania dostępu do systemu.

Pentester może zostać zatrudniony w wielu instytucjach, w tym w służbie zdrowia, administracji i finansach. Zawód cieszy się dużym uznaniem w branży informatycznej, a najlepsi osiągają ogromne zarobki. Przedsiębiorstwa zatrudniają legalnych hakerów w celu poprawy bezpieczeństwa informacji poprzez wykrywanie i naprawę luk w zabezpieczeniach, zanim przestępcy będą mogli je wykorzystać, co zmniejsza ryzyko prawdziwych cyberataków firm, które mogą zaszkodzić finansom firmy i zaufaniu klientów.

Czym są testy penetracyjne?

Jest to symulowany atak hakerski na sieci i aplikacje firmy, przeprowadzany w celu weryfikacji efektywności procesów i narzędzi bezpieczeństwa, oceny jakości nowych aplikacji, zgodności z wymogami firmy oraz wykazania zarządowi potrzeb rozwiązania określonych problemów związanych z bezpieczeństwem IT. Istnieją trzy rodzaje testów penetracyjnych: czarnej skrzynki, białej skrzynki i szarej skrzynki.

Testy penetracyjne białej skrzynki – to testowanie najbardziej kompleksowe, ponieważ pentester zostaje wyposażony w pełen zakres informacji o systemach lub sieci, takich jak kod źródłowy, szczegóły systemu operacyjnego, adres IP itp. W testach penetracyjnych czarnej skrzynki tester nie ma dotępu do wiedzy firmy o systemach, które ma przetestować – musi samodzielnie zebrać informacje o sieci lub systemie. Może przeprowadzać atak również spoza siedziby firmy, na przykład poprzez wykorzystanie sieci VPN i zmianę adresu IP. Istnieją również testy penetracyjne szarej skrzynki, gdy pentester posiada częściowe lub ograniczone informacje o wewnętrznych szczegółach systemu. Rozwiązanie to jest wykorzystywane głównie w celu sprawdzenia konkretnego obszaru zabezpieczeń.

Jak zostać pentesterem?

Młodsze stanowiska w zakresie testów penetracyjnych wymagają zwykle 1-4 lat doświadczenia w zakresie bezpieczeństwa informacji, podczas gdy na stanowisko wyższego szczebla oczekuje się 3-10 lat doświadczenia związanego z oceną podatności lub testami penetracji.  Absolwenci kierunków informatycznych często korzystają z możliwości odbycia stażu lub przyjmują stanowiska wsparcia technologii informatycznych w celu zdobycia pierwszego doświadczenia. Również w sieci dostępne są liczne samouczki.

Pracodawcy zwracają jednak uwagę nie tylko na umiejętności kandydata, ale również na motywację i nienaganną moralność. Dobry pentester jest przede wszystkim wytrwały i kreatywny, musi po prostu lubić to, co robi.

Świetnym sposobem na zdobycie reputacji w branży jest udział w programie Bug Bounty. Jest to program premiowy za błędy, w którym udział bierze wiele stron internetowych i twórców oprogramowania. Każda osoba może otrzymywać nagrody pieniężne za zgłaszanie błędów, zwłaszcza tych związanych z exploitami i podatnościami systemu. Program pozwalaja korporacjom i instytucjom odkryć i naprawić błędy, zanim znajdą się w domenie publicznej, zapobiegając ogromnym stratom dla firm. W Bug Bounty udział biorą na przykład Facebook, Yahoo, Google, Allegro, Oracle Corporation, czy Pentagon.

Polub nas na:
error

1 komentarz

  1. Ciekawie przedstawiony opis zawodu pen testera. Dodam że warto przeczytać książki Kevina Mitnicka “Sztuka Infiltracji” oraz “Sztuka Podstępu”.

    Myślę że w zawodzie pen testera także ma znaczenie posiadanie umiejętności socjotechnicznych. Najsłabszym punktem każdej firmy nie są sprzęt i oprogramowanie ale ludzie. Ludzie niekompetentni w kwestiach bezpieczeństwa.

    Pozdrawiam :-).

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *