Jó-jó, tudom… Néhány diákcsínytől még nem lesz valaki hacker. Viszont a 2000-es évek elején, 22-23 éves fejjel úgy gondoltam, hogy én akkora szaki vagyok, hogy számomra nincs kihívás. Így aztán ifjú titánként két dolgot megtettem: nulla PHP tudással nekiálltam webáruházat fejleszteni, és társammal belefogtunk a tárhelyszolgáltatói bizniszbe.
Az első pofon akkor jött, mikor már 60-70 cég bérelte tőlünk a tárhelyet. Én akkoriban kezdtem egyáltalán Linux-szal foglalkozni, azt gondoltam hogy minden szép, jó, és persze biztonságos. Mi baj lehetne?
Aztán ráébredtem: elég nagy baj az, ha egymás után 10 ügyfél hív fel reggel 8 és 9 között (amikor is az ELTÉ-n ültem valami rendkívül hasznos előadáson), hogy vajon miért van egy halálfejes brazil zászló a weboldala helyén, némi angol és portugál szöveggel megspékelve? Bár elég álmos voltam még, gyorsan ráébredtem: bizony a szerverünket feltörték. A nálunk lévő összes weboldal helyett csak az a bizonyos brazil lobogó volt látható.
Azért szerencsére mindig figyeltünk rá, hogy legyen biztonsági mentésünk, így 1-2 óra alatt vissza tudtuk állítani a rendet. Mondjuk rendnek nem nevezném azt, amit így feltörtek. Persze most már látom azt, hogy akkoriban igazi állatorvosi ló volt a szerverünk (és mint utóbb kiderült, az egyik hatalmas luk az általam fejlesztett webáruházban volt).
Miután kiderült, hogy mégsem értek annyira a webszerver üzemeltetéshez, mint ahogy gondoltam, a védekezésünk kimerült abban, hogy gyakrabban mentettük az adatokat. Talán még egy alkalom volt, mikor hasonló atrocitás ért, aztán kis ideig csend honolt.
A következő pofont akkor éreztem az arcomon csattanni, mikor a szerverhotelből hívtak, hogy nagyon csúnya dolgokat művel a szerverünk, és ha nem teszünk rögtön valamit, akkor lekapcsolják, és kitiltanak a szerverparkból. No, ennek fele se tréfa. Akkori főnökömnek volt egy remek Linuxos cimborája, Zsolt. Barátság ide vagy oda, bizony bele kellett nyúlni a zsebünkbe, hogy tanácsot kérjünk tőle. Zsolt nem hazudtolta meg önmagát, rendberakta a szerverünket. Innentől kezdve nem találkoztunk ügyfelek által is érzékelhető támadással.
Aztán 2005 tájékán, mikor már a Győrben tanultam, összehozott a sors Pánczél Zolival. Ahogy néztem mostanában, Ő már pár éve elismert IT biztonsági szakember. A tudása már akkor is megvolt hozzá, így barátilag megkértem: próbálja meg feltörni a szerverünket. Az eredmény: siralmas. Zoli gyakorlatilag ott nem talált lyukat, ahova csukott szemmel nézett.
Itt kezdett el igazán érdekelni az ethical hacking. Akkoriban még nem engedhettem meg magamnak semmilyen formában egy IT biztonsági tanfolyamot, így kezdtem fórumokat keresni, hátha elcsípek valami információmorzsát. Persze a publikus fórumok sok kívánnivalót hagynak maguk után (ez is megér egy külön bejegyzést), így a hackerek tudása továbbra is egy ködös, távoli dolognak tűnt.
Információk hiányában nem volt más választásom: megpróbáltam az általam írt weboldalakat “feltörni”, vagy hibás működésre rávenni. El kellett telnie pár hétnek / hónapnak, mire sikerült az agyamat átkapcsolni, hogy ne programozóként, hanem hackerként nézzek egy oldalt.
Hamarosan azt is megtanultam, hogy ezt a tudást hogyan tudom a saját javamra fordítani…