Az álhírek, a vírusok vagy éppen az Anonymous hekkercsoport ténykedései folyamatosan szerepelnek a hírekben, és Hollywood hatására a nagyközönség lassan kezd modern Robin Hoodként tekinteni az adatlopókra. Amikor pedig találkoznak az etikus hekker kifejezéssel, egyfajta jó szándékú hekkert képzelnek el.

– Az „etikus” nem jelző, hanem az „etikus hekker” önálló kifejezés – magyarázza Makay József kiberbiztonsági szakértő. – Olyan nagy tudású, informatikai biztonsági szakembereket jelöl, akik céges megbízás alapján, pontosan szabályozott körülmények között és felhatalmazás alapján dolgoznak.

A nagy cégek és szervezetek régóta üzemeltetnek házon belüli biztonsági csapatot, a kisebb vállalkozások általában évente bíznak meg etikus hekkeléssel foglalkozó cégeket, hogy nézzék át, mennyire biztonságos a rendszerük. Magyarország a vírusok és az egyéb kártevők szempontjából ugyan nem kifejezett célpont, de a hazai vállalkozások is jól ismerik a világhálón végigfutó fertőzéseket. Makay József szerint nincsenek országhatárok a kártevők szempontjából.

Világszerte keringenek a közösségi médiából vagy az egyéb helyekről kikerült e-mail listák, amelyek folyamatosan kapják a kártékony kódokat tartalmazó leveleket, ám a hekkerek nem válogatják ki, hogy a listán szereplő mely ország e-mail címeit támadják elsősorban. A sebezhető kiszolgálókat pedig automatikusan keresik, országtól függetlenül. A támadások ellen a kisebb cégek az elmúlt években kezdtek el védekezni, az európai adatvédelmi rendelet (GDPR) bevezetése pedig újabb lökést adott a fejlődésnek.

Kulcsár Zoltán, a PPOS adatvédelmi szakértője szerint számos hazai szolgáltató cég korábban csak az informatikai alaprendszereket tudta használni. Egy külsős számítástechnikai céget bíztak meg a havi karbantartással, de folyamatos kontroll híján gyakran jelentek meg veszélyforrások. Makay József úgy véli, hogy most a GDPR emelt büntetési tétele nyomán a kisebb cégek is kezdenek észbe kapni, hogy korábban nem tettek meg mindent a biztonságért, amikor megkapják az első zsarolóvírusokat.

Ilyenkor megbíznak egy etikus hekkeléssel foglalkozó céget, hogy derítse ki, a rendszert hol kell megjavítani. A legtisztább és a szakértők szerint leginkább ajánlott módszer, amikor a vizsgálat elvégzése előtt a tesztelők megismerik a teljes infrastruktúrát, hálózati diagramokat, forráskódot, IP-címeket kapnak. A megbízó pontosan meghatározza, a szakember milyen adatokhoz férhet hozzá, milyen időintervallumban teheti ezt meg, és mit csinálhat az adott rendszeren belül. Így például milyen jelszavakhoz férhet hozzá, mit tölthet le vagy fel, milyen kártevőként léphet be a rendszerbe, vagy készíthet-e képernyőmentést valamelyik távoli gépről.

Szakértői szemmel előfordulhatnak olyan esetek, amikor a törvény nem fogalmaz elég pontosan, így az etikus hekker legkomolyabb védelme az esetleges büntetőeljárás ellen, ha mindenre kiterjedő megbízással rendelkezik. A Btk. pontatlanságából adódhat például, hogy a tesztelő önhibáján kívül kihasznál egy olyan sebezhetőséget, amelyre a rendszer különösen érzékeny, ezért a rendszer leáll. Ha ez történetesen közüzemi rendszer, akkor a Btk. több pontja is felmerül, hiszen elérhetetlenné tett egy közszolgáltatást, amivel a lakosság érdekeit veszélyezteti. Ha a megállapodásban nem rendezi a megbízó, hogy ebben az esetben mi a teendő, az etikus hekker akár börtönbüntetést is kaphat.

Kovács V. Gábor informatikus szakjogász úgy látja, a hazai szabályozás megfelelően lefedi az etikus hekkerek és hekkerek megkülönböztetését, hiszen például a társadalomra való veszélyesség mindig tényállási elem. Érdekes kérdés, hogy a hekkeréletérzés nem feltétlenül az anyagi haszonszerzésről szól, sok hekkert inkább a sikerélmény hajt. Ám hiába nem kap pénzt, csak akkor nem követ el bűncselekményt, ha nem okoz kárt annak a cégnek vagy szolgáltatónak, amelynek a rendszerébe betört.

Számos vállalat (köztük a Google, a Facebook, a Microsoft, a Vibe, a Mozilla vagy a United Air­lines) is üzemeltet sérülékenységkereső programokat. Erre bármelyik hekker – névvel vagy anélkül – elküldheti eredményeit, és ezekért a cég fizet. Számos indiai hekker dollártízezreket, sőt akár -milliókat is keresett a sérülékenységek feltárásával.

Szakértők szerint itthon a hasonló kezdeményezésekre még nincs lehetőség, mivel a hazai etikushekker-szakmában még 10-15 évre van szükség, hogy kiderüljön, mennyit ér egy ilyen szakember tudása. Magyarországon az Óbudai Egyetemen, a KÜRT Akadémián, a NetAcademián és több kisebb cégnél is folynak etikushekker-képzések, amelyek több millió forintra rúgnak, ám a tanárok szerint ez az összeg néhány hónap alatt bejön, ha valaki elkezd dolgozni. A legtöbb diák ráadásul már a tanfolyamok alatt munkát talál.

Régebben elterjedt, hogy ők korábban bizonyára maguk is a rossz oldalon álltak, és lelkiismeretük miatt lettek végül pandúrok. Azonban ma már az interneten számos olyan teszt és játék lelhető fel, amelyek segítségével az etikus hekkerré váláshoz szükséges üzemeltetői és programozói készségeket is gyakorolni lehet.

Erdődi László rendszerbiztonsági szakértő és az Óbudai Egyetem képzésének felelőse szerint a hallgatók már a legelső órán megtanulják, milyen feltételek és körülmények mellett tesztelhetnek a gyakorlatban, és hogy hol van az etikusság határa. Összességében az etikus hekkereknek nehezebb dolguk van rosszindulatú társaiknál, mivel sokkal szélesebb körű tudással kell rendelkezniük, hogy egy rendszer vizsgálatakor az összes sérülékenységet felismerjék. Ezt a tudást jelenleg a piac még nehezen árazza be.

Ötszázezer és másfél millió forint közötti fizetésekről hallani, külföldön pedig 25 ezer és 90 ezer dollár közötti összegekről. Ennek ellenére világszerte hiány van informatikai szakemberekből, és az egyik leggyorsabban növekvő terület épp az etikus hekkereké. Az amerikai biztonsági szervezet, az ISC felmérése szerint további másfél millió etikus hekkerre lesz szükség 2020-ig. Magyarországon sem véletlenül egyre népszerűbb a szakma, igaz, vannak, akiknek fenntartásaik vannak ezzel kapcsolatban. Sokan félnek az esetleges jogi anomáliáktól, másokat inkább a megnevezés zavar.

Tisztában vannak azzal, hogy az adatgyűjtés, az e-mailek átvizsgálása, a rendszerekben való körbenézés pontosan ugyanazokkal a módszerekkel történik, mint a rosszindulatú hekkelés esetében, ezért megjegyzik: a riasztókkal és zárakkal foglalkozó szakembereket sem hívják etikus betörőnek, hiszen ezzel a szakma köznapi megítélése romlana. A többség azonban szívesen tanulja ki, hogyan törhet fel számítógépes rendszereket, mert úgy véli, az etikus hekkelés visszahozhatja a hekker fogalmának pozitív értelmét.