Mit csinál egy etikus hacker? | Útmutató cégeknek

by | márc 25, 2026

Mit csinál egy etikus hacker – és miért üzleti kérdés ez valójában? 

Spoiler: az etikus hacker – polgári nevén pentester –  nem fekete hoodie-ban ül egy sötét alagsorban. Akkor sem, ha a hollywoodi hackermítosz ezt a képet égette belénk. De akkor mit csinál valójában? Szeghy Barna vagyok, a Whiteshield operatív igazgatója, penetration tester, és nekem elhiheted, a munkánk közelebb áll egy precíz kockázatelemzéshez, mint egy akciófilmhez.

Az etikus hacker nem gengszter, hanem kontroll

A „hacker” szó még mindig erősen terhelt, hiszen sokak számára valamilyen illegális hozzáférést, adatlopást vagy szándékos károkozást jelent. Nem véletlenül: a médiában és a popkultúrában ez a kép dominál. A valóság azonban ennél jóval prózaibb és – üzleti szempontból – sokkal relevánsabb.

Hiszen egy pentester ugyanazokat a módszereket és gondolkodásmódot használja, mint egy támadó: rendszereket térképez fel és belépési pontokat keres. Csakhogy a szándék és a keretrendszer egészen más.

Az etikus hacker

  • megbízás alapján dolgozik;
  • előre definiált hatókörön belül, dokumentált módon végzi tevékenységét;
  • nem kihasználja, hanem megszünteti a hibákat.

Ezért érdemes rá nem „jóindulatú hackerként”, hanem kontrollpontként tekinteni. Egy jól végrehajtott penetration test ugyanis nem egyszerű technikai vizsgálat, hanem egyfajta valóságteszt, ami

  • megmutatja, mit lát egy támadó kívülről,
  • feltárja, hogy meddig lehetne eljutni egy kompromittálás során,
  • segít priorizálni a valódi kockázatokat.

Ez különösen fontos vezetői szinten, ahol a kérdés már nem az, hogy van-e hiba, hanem az, hogy melyik hiba jelent valódi üzleti kockázatot, és mit kezdünk vele.

Hogyan dolgozik egy etikus hacker?

A pentester munkája nem látványos klikkekből áll, hiszen amit csinál, valójában egy strukturált, több lépésből álló folyamat, melynek célja a reprodukálható eredmény. Ismerd meg a folyamatot lépésről lépésre!

  • lépés: Felderítés (reconnaissance)

Minden penetration testing azzal kezdődik, hogy feltérképezzük a célt. Ez a szakasz a reconnaissance, mely gyakran igencsak alulértékelt. Pedig itt dől el a munka jelentős része. Nyilvános forrásokból dolgozunk:

  • domainek, IP-tartományok;
  • kiszivárgott konfigurációk;
  • munkavállalói profilok;
  • publikus infrastruktúra-elemek.

Meglepődnél, mennyi mindent találunk anélkül, hogy komolyabban is keresnünk kellene, vagy egyetlen csomagot is küldenénk a célrendszer felé.

keretes kiemelés:
Hallottál már a Shodan-ról? Ha viccesen akarnék fogalmazni, azt mondanám, hogy a Shodan az emberek lustaságának élő digitális leltára. Egy keresőmotor, mely nem weboldalakra. hanem kifejezetten eszközökre fókuszál. Kamerákra, routerekre, ipari vezérlőrendszerekre, amelyek sajnos sok esetben jelszó nélkül, nyílt hozzáférésű internettel, a világ számára nyitottan szinte várják, hogy visszaéljenek velük. Etikus hacker munkánk részeként mi is ezzel dolgozunk, amikor megnézzók, mit lát egy potenciális támadó, mielőtt egyáltalán komolyabban nekifogna a munkának.

  • lépés: Port scanning, azaz portszkenning vagy port szkennelés

Ebben a szakaszban azt vizsgáljuk, hogy a rendszer mely pontokon érhető el kívülről. Vagyis tulajdonképpen az összes olyan ajtón bekopogtatunk, amit csak találunk és megnézzük, melyik nyílik ki egy hívatlan vendég előtt.

Ha vannak nyitva felejtett szolgáltatások, elavult szoftverek vagy feleslegesen futó folyamatok, mi megtaláljuk őket és egymás után szüntetjük meg a potenciális belépési pontokat.

  • lépés: Sebezhetőség-elemzés

Ha a port scanning során találunk valami érdekeset vagy szokatlant, ellenőrizzük, van-e CVE-szám – publikus sebezhetőség-azonosító – az adott szoftverhez? Meggyőződünk arról, hogy létezik-e hozzá exploit, azaz kihasználható hiba? 

Ha igen, először engedélyt kérünk és csak akkor folytatjuk az etikus hacker munkát, ha megkapjuk, hiszen egy etikus hacker soha nem lépi túl a számára meghatározott hatáskört. Minden lépés engedélyezett, dokumentált és visszakövethető. Ebben tér el az illegális hackeléstől.

  • lépés: Jelszótesztelés, avagy a legegyszerűbb kockázat

Mindegy, mennyit beszélünk a jelszavak védelméről és az internetbiztonságól, a „Password1!” jelszóként még mindig a toplista első helyén van. Nem hiszed? Volt olyan megbízásunk, ahol az IT-vezető gépére az „admin123” jelszóval lehetett belépni. Egy nagy cégnél, 2024-ben!

Szóval hidd el, az erős jelszópolitika és a rendszeres jelszótesztelés tényleg közös ügy, mert ilyen egyszerű módszerekkel is nagyon könnyű hozzájutni egyes adatbázisokhoz.

Ahol a technika üzleti nyelvre fordul a jelentés

Sokak számára meglepő, de az etikus hacker munkájának egyik legfontosabb része nem(csak) a tesztelés, hanem a jelentés készítése is. A deliverable ugyanis mindannak az esszenciája, amit elvégeztünk és javaslunk.

Egy jó penetration test report felsorolja és értelmezi a hibákat, majd kontextusba helyezi és üzleti kockázatként értelmezi őket. Megmutatja továbbá, hogyan jutottunk be, meddig lehetett volna eljutni, és milyen következményekkel járna mindez egy valós támadás esetén. Emellett fontossági sorrendben tartalmazza a megoldási javaslatokat is. Vagyis a megfelelő alapossággal készített jelentéssel kontextusba helyezve a technikai probléma vezetői döntési helyzetté válik.

Amit egy pentester soha nem csinál

Az etikus hacker munkája szigorúan keretek között zajlik, amelyben nincs se rugalmasság, se extra mozgástér. Vagyis ha a megbízás három rendszerre szól, akkor csak és kizárólag azt a hármat teszteljük – még akkor is, ha látjuk, hogy máshol is probléma van. Ez elsősorban nem(csak) etikai, hanem jogi kérdés, amiről nem nyitunk vitát. (De természetesen jelezzük a megbízónknak, ha valamit észrevettünk, amivel mielőbb foglalkozni kellene.)

Egy rövid tanács egy etikus hackertől

Sok szervezet még mindig úgy gondolja, hogy sosem kerülhet célkeresztbe. A valóság ezzel szemben az, hogy a támadások jelentős része automatizált: nem válogat, és nem a cég méretére fókuszál, hanem a sebezhetőségét keresi.

Vagyis ha cég a nem tudja pontosan milyen felületei érhetők el kívülről, milyen sérülékenységek vannak jelen, és ezek milyen üzleti kockázatot jelentenek, akkor valójában nem a rendszere biztonságos. Egyszerűen csak annyi történt, hogy még sosem tesztelték élesben. Hiszen egy rendszer biztonságát nem az mutatja meg, hogy történt-e már incidens, hanem az, miként reagál a rendszer, ha valaki valóban megpróbál bejutni.

Ha nem tudja, milyen egy támadó szemével nézve cégének rendszere, akkor ideje feltenni ezt a kérdést. Gondolkozzunk közösen!