W związku ze wzrostem świadomości w kwestii bezpieczeństwa w sieci, zapotrzebowanie na rynku na pentesterów jest duże i wciąż rosnące, większość projektów dotyczy hakowania stron internetowych. Właściwie każda działalność posiada współcześnie interfejs WWW, od aplikacji internetowych po urządzenia inteligentne i Internet Rzeczy. Technologie internetowe są zwykle oparte na tekście i łatwe w obsłudze. Właściwie każdy, kto jest wytrwały i interesuje się cyberbezpieczeństwem może spróbować swoich sił w karierze pentestera. Podpowiadamy, jak to zrobić.
Czym są testy penetracyjne?
Testy penetracyjne to praktyka, która polega na testowaniu oprogramowania, sprzętu, sieci lub aplikacji internetowych w celu wykrycia możliwych luk w zabezpieczeniach, które cyberprzestępca mógłby wykorzystać. Luki te mogą wynikać z błędu ludzkiego, wyboru nieodpowiednich haseł, braku odpowiedniej infrastruktury technologicznej do obrony sieci firmowej, problemów z komunikacją w firmie.
Istnieją trzy rodzaje testów penetracyjnych: white box - pentester otrzymuje pełen zasób danych o systemie firmy, black box – pentester nie dostaje żadnych informacji od firmy i musi działać sam od początku oraz grey box – rozwiązanie pośrednie. Najczęściej stosowane jest właśnie grey box, gdyż takie testy pozwalają na sprawdzenie konkretnego zakresu zabezpieczeń, a zatrudniony legalny haker nie musi tracić czasu na zdobycie danych, które nie są istotne dla samego badania.
Testy mogą zostać wykonane z siedziby firmy lub z zewnątrz z wykorzystaniem sieci VPN. Co to takiego? VPN to wirtualna sieć prywatna, która pozwala na zmianę lokalizacji urządzenia, bezpieczny tunel używany również do ochrony prywatnego ruchu w sieci przed szpiegowaniem, a także jako serwer proxy, umożliwiający anonimowe przeglądanie treści z dowolnego miejsca.
Jak zostać pentesterem?
Wiele organizacji oferuje szkolenia i certyfikaty z zakresu etycznego hakowania, jednak pentesterzy nie zawsze muszą być certyfikowani, a wielu najlepszych jest samoukami. Umiejętność pisania kodu oprogramowania i praktyczna znajomość języka skryptowego takiego jak Python, Bash lub Powershell jest przydatna, ale nie niezbędna. Ważne jest, aby rozumieć systemy i sieci IT, a także protokoły komunikacyjne, gdyż to właśnie może być słabym punktem w systemie.
Zawód legalnego hakera wymaga poczucia odpowiedzialności, przygotowania na konieczność ciągłego aktualizowania wiedzy oraz oczywiście zainteresowanie tematyką cyberbezpieczeństwa. Pentester posiada zwykle swój standardowy zestaw narzędzi do hakowania, z których najczęściej korzysta, ale może być konieczne wyszukiwanie, a nawet stworzenie nowych narzędzi w zależności od konkretnego zadania – dlatego wymagana jest również kreatywność.
Bug Bounty czyli nagrody dla hakerów
Bardzo ciekawym sposobem na zdobycie reputacji w branży oraz przy okazji przyjemnej nagrody finansowej jest program Bug Bounty. Firmy zainteresowane audytem swoich usług korzystają w ten sposób z usług hakerów z dowolnego miejsca na świecie. Ogłaszają nagrody, których wysokość zależy od skali znalezionego błędu w zabezpieczeniach. Dzięki temu przedsiębiorstwo minimalizuje straty, które poniosłoby w przypadku wykrycia luki w systemie przez osoby z zewnątrz. Do programu należą największe korporacje światowe, takie jak Google, Facebook, Mozilla czy Uber oraz wiele polskich firm, na przykład Allegro, Pyszne.pl albo Bank ING. Zaledwie Allegro w ciągu ostatnich sześciu miesięcy wypłaciło 40 tys. dolarów za wykrycie błędów, głównie w kategoriach XSS, CSRF i IDOR.
*Autorką tekstu jest Marianna Płatek - Redaktor TechWarn, strony poświęconej cyberbezpieczeństwu i technologii. Uwielbia pisać, kocha swoją niezależność. Copywriterka i tłumaczka. Podróżniczka. Freelancerka, pełna pasji dla tego, co robi.
