Trwa ładowanie...
Notowania
Przejdź na
Iga Majewska
Iga Majewska
|
aktualizacja

Włamują się do systemów. Legalnie. Kim są hakujący pentesterzy?

44
Podziel się:

Jak najprościej sprawdzić poziom bezpieczeństwa danych w systemie informatycznym? Próbując się do niego włamać. Zawodowo zajmują się tym penetration testerzy, a ich umiejętności są dziś bardzo pożądane na rynku pracy.

Stawki w zawodzie pentestera są wyższe niż w pozostałych sektorach branży IT.
Stawki w zawodzie pentestera są wyższe niż w pozostałych sektorach branży IT. (WP.PL)

44 biliony gigabajtów – tyle w 2020 roku ma wynosić suma cyfrowych danych wytworzona przez internautów. Jak podaje International Data Corporation, użytkownicy sieci podwajają ilość publikowanych w internecie treści każdego roku. Dzisiejsze systemy IT przechowują m.in. informacje o naszym stanie zdrowia i konta bankowego, zeznaniach podatkowych, płatnościach elektronicznych czy połączeniach telefonicznych. Rośnie więc potrzeba zapewnienia tym danym należytego bezpieczeństwa. Między innymi dlatego obecna liczba pentesterów w Polsce nie zaspokaja potrzeb rynku.

– Od ręki znalazłbym miejsce pracy dla 10 czy 20 dobrych pentesterów – mówi Adam Haertle, założyciel Zaufanej Trzeciej Strony i ekspert w dziedzinie bezpieczeństwa IT (ITSec). To jednak tylko kropla w morzu branżowych potrzeb. Jak podkreśla Haertle, legalnych hakerów szukają zarówno duże firmy, które badają bezpieczeństwo wewnętrznych systemów, jak i mniejsze organizacje, wykonujące testy na zlecenie innych podmiotów.

To poziom etyki odróżnia pentesterów od hakerów

Krzysztof Bierówka, pentester z firmy Securitum, osobom spoza świata IT mówi, że zapewnia bezpieczeństwo użytkownikom sieci. Niestety takie wyjaśnienie nie zawsze przemawia do jego rozmówców, bo część osób po prostu nie wie, że ich dane mają jakąś wartość. – Wtedy wyciągam asa z rękawa i mówię, że dbam o to, aby ich pieniądze w banku były bezpieczne. To zawsze działa - zdradza.

Zobacz także: Obejrzyj: Fundusz Sprawiedliwości wspiera budowę "Budzika" dla dorosłych

Bierówka twierdzi, że zaufanie to podstawa w tej branży. – Poziom abstrakcji, z jakim spotykamy się na co dzień w pracy i wszelkie umowy, w tym te o poufności, powodują, że nie możemy otwarcie rozmawiać o naszym życiu zawodowym - mówi.

Również Daniel Kalinowski, pentester z ISEC, w rozmowach ze znajomymi stara się unikać wchodzenia w szczegóły swojej pracy i tłumaczenia, czym zajmuje się etyczny haker. – Zrobiłem to kilka razy i dostawałem przez to telefony w stylu: “Ej, a nie zhakowalbyś Facebooka tej czy tamtej osoby?” – opowiada. Osobom nietechnicznym mówi więc, że jest po prostu informatykiem.

Ile można na tym zarobić?

Eksperci twierdzą, że stawki w zawodzie pentestera z pewnością są i będą wyższe niż w pozostałych sektorach branży IT, bo przedstawicieli tego zawodu jest po prostu mniej niż administratorów danych czy programistów. – Na umowę o pracę w dużym mieście pentester może zarobić 15–20 tysięcy zł miesięcznie. A najlepsi dostają wielokrotnie więcej – mówi Adam Haertle.

Takie kwoty działają na wyobraźnię informatyków, choć Daniel i Krzysztof zgodnie twierdzą, że to nie pieniądze skusiły ich do wyboru tego zajęcia. – Jak w każdym zawodzie, tak i tu można przyjść dla pieniędzy. Trzeba jednak mieć na uwadze, że istnieje szereg zawodów związanych z IT, które są mniej wymagające niż praca pentestera – ocenia Krzysztof. – Jeśli ktoś zostaje pentesterem tylko ze względu na zarobki, to długo nie zagości w tej branży – dodaje Daniel.

Pentesterzy to częściej ex-programiści niż ex-hakerzy

Pentesterzy najczęściej trafiają do tego zawodu z innej gałęzi IT. Tak było w przypadku Krzysztofa Bierówki, który po uzyskaniu dyplomu technika informatyka został administratorem systemów. Dopiero 5 lat temu, po przeszło dekadzie pracy na stanowisku admina, zaczął specjalizować się w ITSec. Odkrył, że szukanie słabości i błędów systemów nie tylko sprawia mu przyjemność, ale także znacząco poszerza jego umiejętności.

Daniel także do zawodu pentestera trafił już jako doświadczony pracownik IT. Zainteresował się bezpieczeństwem systemów informatycznych, pracując jako programista tworzący aplikacje. – Przeglądałem kod źródłowy i szukałem w nim błędów bezpieczeństwa. Można pokusić się o stwierdzenie, że teraz robię to samo, tylko po drugiej stronie barykady. I zawsze zgodnie z prawem – tłumaczy. Kalinowski od 3 lat pracuje jako pentester i to właśnie bezpieczeństwo aplikacji mobilnych jest jego specjalnością.

Przydaje się nie tylko wiedza techniczna

Coraz częściej słyszy się o wyciekach wrażliwych danych, więc dobry pentester musi zawsze być o krok przed cyberprzestępcami. Wiąże się to z koniecznością stałego pogłębiania wiedzy technicznej. Wymarzony kandydat na to stanowisko powinien też mieć świadomość biznesową, a niestety rzadko zdarza się, aby te umiejętności szły ze sobą w parze.

– Idealny pentester to taki, który spędził setki, a nawet tysiące godzin na przełamywaniu zabezpieczeń różnorakich systemów. Powinien też rozumieć, jakie ryzyko dla klienta wiąże się z wykrywanymi przez niego błędami oraz jaki wpływ może mieć jego badanie na funkcjonowanie organizacji zleceniodawcy. Dopiero wtedy może tak pokierować swoimi pracami, aby przynieść klientowi jak największą korzyść – opowiada Adam Haertle z Zaufanej Trzeciej Strony.
Bierówka dodaje, że tacy ludzie potrafią zaoszczędzić dla firmy setki tysięcy złotych. – Dobre decyzje projektowe owocują mniejszymi kosztami po wdrożeniu – twierdzi.

Jak dostać się do zawodu pentestera?

Krzysztof mówi, że prowadzenie pentestów to zdecydowanie zajęcie dla samouków. Dobrze, jeśli pentesterzy dodatkowo legitymują się certyfikatami, jak np. OSCP albo kończą studia na kierunku programowanie, budowa systemów IT, automatyka czy robotyka, ale nie jest to koniecznością. – Żyjemy w fajnych czasach, w których dostęp do informacji jest łatwy i niedrogi. Bez wychodzenia z domu udało mi się ukończyć np. kurs z kryptografii organizowany przez Uniwersytet Stanforda – opowiada.

Daniel zaznacza jednak, że ukończenie kursów to za mało, żeby wejść do zawodu pentestera i być w nim dobrym. – Pentester musi cały czas doszkalać się na własną rękę, bo informatyka rozwija się tak szybko, że bycie na bieżąco jest coraz trudniejsze i wymaga olbrzymiego zaangażowania. Mi pomaga na przykład słuchanie technicznych podcastów – mówi Daniel.

Natomiast początkującym pentesterom eksperci polecają udział w tzw. CTF-ach (ang. Capture The Flag), czyli konkursach, w których grupy specjalistów rywalizują między sobą, rozwiązując zagadki z zakresu ITSec. Uczestnictwo w takich zawodach znacząco zwiększa szanse na rozpoczęcie kariery jako pentester – brali w nich udział zarówno Daniel, jak i Krzysztof. Warto także ćwiczyć w domu: budować własne systemy, szukać ich słabości, a następnie opracowywać metody naprawiania błędów.

Czy warto uczyć się tego zawodu? Adam Haertle twierdzi, że zarówno początkujący, jak i doświadczeni pentesterzy nie powinni obawiać się o swoją przyszłość. – Automaty szybko dobrego pentestera nie zastąpią – puentuje.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl

gospodarka
wiadomości
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
KOMENTARZE
(44)
WYRÓŻNIONE
Ggg
6 lat temu
Najbardziej nudny zawod swiata non stop wklepywac wiersze algorytmów i tak od rana do wieczora i w wolnym czasei w domu pewnie tez
Programista o...
6 lat temu
Dobry programista też wyciągnie 15 tyś
Kaka
6 lat temu
Można też coś innego penetrować
NAJNOWSZE KOMENTARZE (44)
nino-si
6 lat temu
No, tak będą się bawić aż zapoluje na nich SI - lubicie światła na skrzyżowaniach to, tylko algorytm szachowy i mat. Nie wystarczy zaprzestać wścibiania bo, historia także obarczona jest wyrokiem - kuku ?????
Paweł
6 lat temu
Może i nie zarabiam 20K, ale na MOfree znalazłem pracę od poniedziałku do piątku w godzinach 8-16. Zarabiam 8 tys. a do pracy mam 20 min. I tyle mi wystarczy.
dziunia
6 lat temu
a ja obrabiam od czasu do czasu mojemu szefowi w banku gałkę, trochę poskaczę na jego małym ptaszku i jest git, dostaję co lepsze transakcje i Nissana Qashqai do własnej dyspozycji;
rodzic
6 lat temu
To prawda finansowe poniewieranie nauczycieli to cios rządu w nasze dzieci i to poniżej pasa.
ja
6 lat temu
Jak nasza praca ma wartość dla pracodawcy (i klientów), w końcu nas ktoś zatrudni i dobrze zapłaci. A jeśli nie, a rzeczywiście możemy coś zaoferować, coś potrafimy, to sami założymy firmę i zarobimy na siebie. Ludzie muszą zrozumieć, że niemal wszystko zależy od nich samych. Nie od rządu czy kraju, w którym żyją itp. Musimy po prostu patrzeć na siebie i brać się do roboty, uczyć się i rozwijać umiejętności, za które inni chcą płacić, a efekty przyjdą. Leżenie na kanapie i czekanie, aż ktoś coś dla nas zrobi, niewiele daje. Słyszeliście o ksią.ż ce "Co robic, by zawsze mieć pracę i więcej zarabiac"? Kilka zmian może zrobić wielką różnicę..
...
Następna strona