A hacker tehát az a "számítógépes-(IT)-szakember", aki képes egy hálózat gyenge pontjait felfedezni, és különböző módon áthatolni a jelszavakkal, tűzfallal és egyéb trükkökkel védett hálózati határokon. De vajon ez a szakember mindenképpen gazember is? Korántsem, hisz 2002 óta létezik az ún. etikus hacker képzés, amit 2002-ben fejlesztett ki a New York-i alapítású internetbiztonsági szervezet, az EC-Council. Azóta ezt világszerte több mint 50 ezer IT-szakember végezte el, s szerezte meg a hivatalos Ethical Hacking minősítést. Hazánkban a NetAcade-mia oktatóközpont vezette be ezt az egyedülálló képzést, ahol rövid idő alatt már eddig is félszáz vállalat IT-biztonsági szakembere vett részt.

A "betörők kiképzése" az oktatóközpont - www.netacademia.net - szerint olyan, mint a törésteszt az autóiparban: nem azért törik a járműveket, hogy roncsokat láthassanak, hanem hogy kielemezhessék, mi történik balesetek során, és hogy az ismert problémák kiküszöbölésével csökkenthessék a későbbi sérülés esélyét.

A Certified Ethical Hacker (CEH) minősítés a világ bármely intézményénél bizonyítja, hogy a szakember megfelelő tudással és tapasztalattal bír a hálózatok és számítógépek biztonsági réseinek tesztelése és ezek kivédése terén, legyen szó bármely céges hálózati technológiáról - mondta Fóti Marcell, a NetAcademia ügyvezetője.

A nemrégiben megrendezett első magyarországi etikus hackingről szóló konferencián bárki bepillantást nyerhetett a számítógépes hálózatokat naponta ezrével fenyegető veszélyekre, és megismerhette a védekezés lehetőségeit is. A programozói tudást és különleges eszközöket igénylő támadás és védekezési módok után megdöbbentő volt hallani, hogy egy komoly támadáshoz még csak számítógépet sem kell használnia a betörőnek. Elég, ha talál egy hiszékeny és tudatlan alkalmazottat (vagy akár felső vezetőt [!] a cégnél), akit hihetőnek tűnő átveréssel vesz rá arra, hogy átengedje jelszavát.

És ez már nem más, mint az ún. social engineering területe, vagyis az emberi bizalomra és tudatlanságra bizton alapozó tudatos támadások.

Több ezer nagyságrendű végponttal rendelkező cégtől a kétszemélyes könyvíró cégig számtalan cég sebezhetőségét vizsgálták már Novák Zsolt, IT biztonságirányítási auditor munkatársai.

- Az IT biztonságirányítási auditok alkalmával kollégáink a social engineering támadások lehetőségét is vizsgálják. Ilyenkor sok helyen azt látják, hogy a cég legnagyobb kincsét, vagyis a digitális adatvagyont szinte alig védik. Nincs vagy hiányos a belső informatikai biztonsági szabályzat, nem képzik ki a dolgozókat, hogy mit tegyenek a támadások elkerülésére. Tűz- és munkavédelmi oktatást kapnak persze, de az adat-hozzáférési szabályzat csak felületesen vagy sehogy sincs kidolgozva.

A minap egy jó fellépésű, tizenéves lányt engedtek be egy multinacionális céghez, kísérő nélkül, ajtókat is nyitó csipes kitűzővel, és nem igazán ellenőrizték, leül-e egy géphez és van-e nála pendrive, vagy minek is jött be tulajdonképpen a fejlesztéseiről híres ipari üzembe - sorolom családi körömből származó személyes példámat a bizalommal való visszaélésre. Ezek szerint megtörténhet ez is? - szembesítem az esettel a szakembert.

- Ha a hóna alatt két doboz üdítővel, a jól ismert piros márkás pólóban besétál egy ember a céghez, simán megmutatják neki, hol az automata, és már szerelheti is fel a drót nélküli adatátvitelhez alkalmas ún. Acces Pointot a sarokba. A parkolóban ülő hackercimborák pedig már veszik is a legbelsőbb adatokat, mintha csak ott lennének - meséli az egyik trükköt Novák Zsolt. "Jöttünk szerelni az IP- telefont, felírná a jelszavát egy cetlire, ha kelleni fog, hogy tudjuk, ön pedig menjen nyugodtan addig kávézni" - szól a hackerek szintén jól bevált jelszólopó, gépszerző mondata. És a dolog működik! Az emberi jellemet pszichológusokat megszégyenítő módon jól ismerő hackerek ellen persze van védekezési mód: az egészséges bizalmatlanság és a tanulás!

És mit tehet az otthoni felhasználó? Mivel sajnos biztonságban érzi magát, tudatosan készülni kell a támadásokra, tisztában kell lenni a legújabb vírusokkal, profi vírusirtót és tűzfalat kell használni. Az ingyenes lehet, hogy csak a képernyőn "mutatja" a víruskeresést, valójában nem is csinál semmit - meséli a tavaly népszerű program sztoriját Novák Zsolt. Az IT-költségek 10 százalékát javasolják a biztonságra költeni, tehát egy otthoni százezres géphez egy pár ezer forintos vírusirtó tűzfal-kombináció bele kell hogy férjen a keretbe.

Persze a szolgáltatók is tesznek saját és előfizetőik biztonsága érdekében lépéseket, előfordul, hogy a vírusvédelmet és a spamszűrést beleépítik havi díjaikba.