Pradėjo nuo telefonų, tęsė su kompiuteriais
Nustebsite, bet įsilaužėliai egzistavo dar prieš atsirandant asmeniniams kompiuteriams bei internetui. Tik vadinti jie ne hakeriais, o „phreak‘ais“ ar „phreak‘eriais“, nuo žodžių „phone“ (liet. telefonas) ir „freak“ (išdaiga). Šie žmonės ieškojo silpnybių laidinio telefono tinkluose ir jas išnaudojo, dažniausiai – būdų nemokamai skambinti. Ėmus plisti kompiuteriams ir internetui, spragų paieška persikėlė į virtualią erdvę, o „phreak‘eriai“ virto hakeriais (nuo žodžio „hack“ – įsilaužti). Įžvelgti ir tokios veiklos pavojai, o vienu pirmųjų etiškų įsilaužėlių „užsakymų“ istorijoje laikomas 1974-aisiais JAV Karinių oro pajėgų atliktas anuomet naudotos „Multics“ operacinės sistemos saugumo patikrinimas.
„Hakerius“ skirsto pagal kepures
Šiandien įsilaužėliai skirstomi į tris pagrindines grupes, priklausomai nuo jų veiklos ir siekių:
Juodakepuriai (angl. black-hat hacker): piktavaliai įsilaužėliai nusamdyti arba dirbantys sau;
Baltakepuriai (angl. white-hat hacker): etiški „hakeriai“, dirbantys IT įmonėse ar priimantys individualius užsakymus už kuriuos sumokama;
Pilkakepuriai (angl. grey-hat hacker): įprastai siekia gerų tikslų, tačiau tam naudoja ir neteisėtas priemones (pvz., neturėdami leidimo ieško spragų sistemose, tačiau apie jas praneša siekdami gauti išpirką).
„Etiškieji hakeriai išsiskiria tuo, kad savo užduotis vykdo legaliai. Nors darbo metodai nesiskiria nuo piktavalių, jų tikslai yra visai kitokie – rasti spragas, pažeidžiamas vietas ar būdus, kaip piktų kėslų turintys asmenys galėtų patekti į sistemas ar tinklus, sutrikdyti jų veiklą ar pasiekti konfidencialią informaciją“, – paaiškina G. Saulėnas.
Įsilaužėlis šiandien – itin paklausi profesija
Skaičiuojama, kad vidutinis atlyginimas, kurį gali uždirbti etiškasis įsilaužėlis, yra 70 tūkst. eurų per metus. Dažnai jis būna dar didesnis, o lyginant su programinės įrangos kūrimo inžinieriais etiški įsilaužėliai vidutiniškai uždirba 2,7 karto daugiau.
Etiškieji įsilaužėliai padeda ir privačioms kompanijoms, ir valstybės valdomoms įmonėms. Užsakovai dažnai skiria ir papildomus priedus už spragų atradimą. Be to, etiškieji įsilaužėliai gali papildomai užsidirbti ieškodami pažeidžiamumų tų įmonių sistemose ir produktuose, kurios yra paskelbusios viešą spragų atskleidimo programą (angl. Responsible Disclosure Program).
„Aptikti aukšto kritinio lygio spragą svarbioje sistemoje nėra lengva, tačiau tokiu atveju ta viena spraga gali atnešti dešimtis tūkstančių eurų. Didžiosios tarptautinės kompanijos yra ypač dosnios – pavyzdžiui, „Apple“ už aukšto kritiškumo spragą, susijusią su jų produkto branduoliu, yra pasiruošusi pakloti milijoną dolerių“, – pastebi G. Saulėnas.
Svarbios ne tik žinios
Nors šios specialybės atstovams atlyginama itin dosniai, jų kasdienybėje pasitaiko ir ne tokių pozityvių atvejų. Tiek pasaulyje, tiek Lietuvoje yra ne viena garsi istorija, kai IT specialistai bandydami atskleisti sistemų spragas susidūrė su teisėsaugos institucijomis.
„Jei asmuo ieško sistemoje spragų ir jas radęs praneša atsakingiems specialistams, tačiau neturi rašytinio leidimo užsiiminėti tokia veikla, tai dažniausiai bus laikoma neteisėtu įsilaužimu. Svarbu suprasti, kad etiškieji įsilaužėliai turi sistemų savininkų leidimą tokiai veiklai“, – pabrėžia G. Saulėnas.
Pasak eksperto, norint tapti profesionaliu etiškuoju įsilaužėliu, kelias nėra trumpas, užtrunka daug laiko, be to, tam yra reikalingas ir didelis IT žinių bagažas. Tačiau žinios – dar ne viskas.
„Didžiausios spragos atrandamos tik mąstant neįprastai, kūrybiškai. Svarbu ir komandinio darbo gebėjimai. Skirtingi etiškieji nusikaltėliai gali identifikuoti skirtingas spragas, todėl atliekant kokybišką saugumo vertinimą būtina mokėti dirbti su žmonėmis“, – dalijasi G. Saulėnas.