Hackingul etic este o profesie în plină ascensiune în domeniul securității cibernetice. Euan Birch, care deține propria afacere de „ethical hacking”, a vorbit într-un interviu pentru EurActiv.ro despre explozia ofertelor de astfel de joburi.

Euan Ross Birch are numai 20 de ani și este încă student la Glasgow Caledonian University, unde studiază securitate cibernetică (Digital security), criminalistică cibernetică (Digital Forensics) și hacking „etic” (Ethical Hacking). 

Acesta a prezentat la târgul Internet&Mobile World 2015 din 7-8 octombrie o sesiune de hacking în direct, susținută împreună cu asociatul său Jamie Woodruff, care a participat la conferință prin Skype. Demonstrația a arătat cum este atacat un site Wordpress.

La final, a povestit pentru EurActiv.ro despre meseria pe care și-a ales-o și de ce consideră că este unul dintre joburile esențiale ale viitorului. 

EurActiv.ro: De unde a început totul, cum ai ajuns să practici această meserie?

Euan Ross Birch: Studiez, la universitate, tehnici și instrumente care pot fi folosite în hacking. Așa că în această vară am decis împreună cu colegul meu Jimmy Woodroff să demarăm o afacere care să se ocupe exact cu așa ceva. Astfel, pot învăța mai mult și pot și câștiga bani în același timp, făcând ceea ce îmi place. De unde a început totul? Am început cu lucruri simple, lucruri normale, de exemplu depistând diferite erori de programare în software (bugs) pe Google sau Facebook. Aceste companii sunt foarte receptive dacă le depistezi erorile, te plătesc. Îți mulțumesc pentru că le-ai găsit și îți oferă o remunerație pentru această sesizare și te încurajează să continui.  

Dar, trecând la alt nivel, trebuie să spun că este foarte important să cunoști legislația din zona securității cibernetice, de exemplu în România sunt în principiu aceleași legi ca în Marea Britanie, dar trebuie totuși să verifici legile din fiecare țară. Pentru infracțiuni cibernetice în Marea Britanie primești de la 3 la 5 ani de închisoare, iar în România se poate ajunge până la 15 ani. Alt exemplu: în Statele Unite, legile diferă de la stat la stat. Eu încerc să înțeleg legile, companiile, codurile și instrumentele care se utilizează: asta este ceea ce studiez și ceea ce încerc să-i învăț și pe alții. 

EurActiv.ro: În ce constă, exact, activitatea voastră?

Euan Ross Birch: Noi acționăm precum hackerii, găsim punctele vulnerabile ale sistemului informatic al companiei care ne solicită ajutorul. În prima fază, încercăm să cunoaștem compania care ne abordează pentru un test de penetrare a sistemului.

Adunăm cât mai multe date despre companie, adresele de email ale angajaților, adresele standard. Apoi, încercăm să spargem sistemul.

Trebuie spus că hackerii sunt perseverenți, ei nu se opresc până nu obțin ceea ce doresc și foarte puțini ajung să fie prinși. Am și un exemplu recent - trei indivizi care au lucrat pentru un grup de hacking și unul dintre ei i-a divulgat pe ceilalți doi; însă autoritățile îi căutau de ani de zile. 

EurActiv.ro: Sunt căutați cei care se specializează pe ceea ce faceți voi? 

Euan Ross Birch: Dacă faci acest lucru în mod etic și ajuți companiile, sunt atât de multe slujbe accesibile în domeniul securității cibernetice: în Marea Britanie, în Europa, în Statele Unite.

De exemplu, în Scoția 50% dintre joburile pe securitate cibernetică au rămas neocupate anul trecut, sunt sute de joburi, atât în sectorul privat cât și în cel public. Este o industrie emergentă, în plină dezvoltare. Și Poliția caută experți în criminalistică digitală, așa cum sunt eu.

Strângem date din computere și le analizăm, în ideea că pot deveni dovezi incriminatorii. Un exemplu: dacă spui Poliției că nu ai participat la un anume jaf, că ai fost acasă, dar telefonul tău poate divulga faptul că te-ai aflat în fața acelui magazin implicat în conflict. Acesta este tipul de dovezi. Unii pot spune că se găsesc ușor, dar adevărul este că sunt foarte greu de depistat. 

Desigur, și salariile sunt tot timpul în creștere pe aceste posturi. 

Salariul unui angajat de categorie standard, în SUA, pentru nivel de începător se situează la 50.000 - 60.000 de dolari pe an, iar pe nivel de management ajunge la 200.000 - 400.000 dolari. În Marea Britanie: 35.000 lire la nivel de începător, până la 50.000 lire la nivel de management.

Sunt joburi cheie, fiindcă este vorba de managementul riscului, protejarea bunurilor companiei, mai ales la firmele unde aceste bunuri sunt online, spre exemplu la bănci.

Băncile mari pot face o tranzacție de zece de milioane de lire într-o secundă, dintr-un cont într-altul, iar acea tranzacție trebuie să fie securizată, de aceea băncile caută din ce în ce mai mulți experți în securitate cibernetică și în special în criminalistică digitală, pentru că sunt în creștere atacurile interne. Este atunci când un angajat face ceva împotriva companiei. Spre exemplu, Morgan Stanley angajează mai mulți experți criminaliști care, după un atac intern, analizează toate datele și decid dacă un anume angajat ar trebui concediat. 

Dacă acesta este concediat, datele care au fost strânse trebuie compilate și conformate cu legislația, astfel încât să poată fi folosite în instanță, să fie admise ca probe. De aceea, joburile de criminalist digital și hacker etic sunt în expansiune.

EurActiv.ro: Cum s-a dezvoltat afacerea voastră? Care sunt rezultatele?

Euan Ross Birch: Am început cu șase luni în urmă firma Patch Penguin, iar acum avem un birou, șapte angajați, o companie de marketing care ne susține. Înainte să începem afacerea, aveam multe contacte, eu și asociatul meu am participat la multe conferințe, am vorbit cu mulți oameni, am obținut și sprijinul unei firme de marketing. Începutul este dificil, este greu să găsești clienți, dar dacă ești perseverent și demonstrezi că ești credibil poți reuși.

EurActiv.ro: Poți lua recomandări de la clienți?

Euan Ross Birch: Asta e mai dificil. Mulți nu vor să se știe că au făcut un asemenea test. Mai ales dacă am vrea de la o bancă o recomandare pentru a merge la altă bancă, ar spune că nu doresc să se afle. 

EurActiv.ro: Câți clienți aveți acum?

Euan Ross Birch: În acest moment sunt patru contracte în derulare, iar în cele șase luni de la înființare am avut între 15 și 20 contracte. Sunt toate pe termen scurt. Noi îi sfătuim pe clienți că testele trebuie repetate la fiecare șase luni dacă vor monitorizare constantă.

Cât durează un test complet, depinde de dimensiune, de numărul de angajați, dacă este o rețea, câți clienți are firma. De exemplu, pentru o companie mică, al cărei business înseamnă un website, poate dura o zi, poate plus încă 2-3 pentru compilarea datelor, așa că se poate finaliza totul până la sfârșitul săptămânii. Dar dacă este vorba despre 100 angajați și 300 computere diferite, unde totul trebuie verificat, poate dura luni de zile.

Pentru aceste contracte trebuie să fii într-adevăr credibil și să demonstrezi că le poți onora. 

În această industrie, este foarte important cu cine colaborezi. Am întâlnit și foarte mulți oameni față de care este bine stai departe. Sunt mulți care pe timpul zilei fac jobul „pozitiv”, iar seara. când merg acasă, fac jobul „rău”. Aceștia te pot trage după ei, dacă au probleme. Trebuie să fii foarte atent cu cine te asociezi, în această industrie, a securității cibernetice. 

EurActiv.ro: Cât de extins este acest tip de business, în acest moment?

Euan Ross Birch: Nu știu cum este industria în România, nu am văzut pe nimeni din domeniu la acest târg (Internet&Mobile World 2015, n.r.), însă în Marea Britanie sunt multe start-up-uri în cyber-security. Știu că sunt patru-cinci companii de partea „rea” și sunt mulți și de partea bună. Cred că banii se îndreaptă mai mult către zona de criminalitate digitală. Securitatea digitală poate fi asigurată și cu bani relativ mai puțini. Dar strângerea și analiza probelor digitale este tot mai complexă. Poliția nu are abilitățile necesare. Pot avea și departamente speciale, dar de exemplu în Scoția este un astfel de departament în Edinburgh, însă dacă se întâmplă ceva în Glasgow și au nevoie de date în termen de două ore, este mai simplu să apeleze la o firmă privată pentru a strânge datele, dacă o cunosc, este credibilă și știu că respectă toate procedurile. 

EurActiv.ro: De unde sunt clienții voștri?

Euan Ross Birch: Clienții noștri sunt de peste tot din Marea Britanie, Țara Galilor, Irlanda de Nord, Danemarca, Suedia, Italia, avem doi și în Statele Unite. 

Acest tip de evenimente sunt foarte importante. Eu vreau să sperii oamenii, vreau să înțeleagă că siguranța sistemelor este foarte importantă și că noi îi putem ajuta să și le protejeze.

EurActiv.ro: Ce poți spune despre atacurile cibernetice, ca număr, ca imagine generală?

Euan Ross Birch: Este foarte dificil să estimezi un număr de atacuri, se întâmplă în fiecare secundă. În timpul demonstrației noastre din această seară erau, la un moment dat, sute de atacuri întâmplându-se chiar în acel moment, 70 provenind numai din China, alte 30 erau din SUA, alte 20 din Bulgaria, 10 din Franța și așa mai departe. Când am ajuns la final erau deja 200 numai din China. Aparent, cele mai multe vin din China, s-a spus inclusiv că atacurile de acolo, cele îndreptate către SUA, sunt susținute de autorități. Dar poate că și SUA fac la fel, poate că și Marea Britanie face la fel. Există tot felul de rețele, statele își testează rețelele, așa că este foarte greu de spus. 

N.r. Patch Penguin: captură website