Te is elköveted ezt a hibát? Én is így tettem…
Hadd meséljek el Neked egy történetet egy fiatal fiúról, aki hatalmas bölcsességre tett szert néhány pofon általt. A mese hosszú lesz, viszont tanulságosabb, mint hinnéd. Kezdhetjük?
Egyszer volt, hol nem volt, volt egyszer egy fiatal fejlesztő. Állati tehetséges volt, mert már gyerekkora óta programozott. Folyamatosan képezte magát, még programozóversenyt is nyert. Mire egyetemre került, olyan sokat tudott, hogy kapkodtak utána a munkahelyek. Még úgy is, hogy nappali tagozatos egyetemista volt. Az első munkahelyére úgy került, hogy vizsgaidőszakban elhívták besegíteni négy napra. A teljesítménye alapján rögtön állást kínáltak neki. Még az sem volt probléma, hogy előadásokra és gyakorlatra kellett járnia az egyetem miatt. Sőt, a fizetése is kimagasló volt az ott lévőkhöz képest.
De azért ő sem volt hibátlan…
Miután mindig azt érezte, hogy különleges, hogy megbecsülik, azt gondolta – talán jogosan –, hogy ő egy sztárfejlesztő. Aztán megkapta az első kritikákat a kódjairól. „Ez nem biztonságos így.” „Ezt másképp kellene csinálni.”
Tudod, hogyan élte ezt meg? Személyes sértésként. Úgy érezte, belerondítanak a munkájába. Hogy mondhatja neki azt valaki, hogy: „nem, te nem is vagy olyan jó”? Tudjátok, ez a fejlesztő én voltam.
A fejlesztők nagy tanulsága
Aztán ahogy múltak az évek, rá kellett jönnöm, hogy az ilyen segítő szándékú figyelmeztetésekre érdemes odafigyelni. Érdemes tanulni belőle. Az az igazság, hogy rendszeresen belefutok ügyfeleknél olyan fejlesztőkbe, akik egyébként jó szakemberek, mégis támadásként élik meg az etikus hacker jelenlétét. Sőt, képzeld! Amikor az egyik ügyfelemnél biztonsági auditot végeztem, a fejlesztő, akivel kapcsolatban voltam, azt mondta a főnökének: bármit ír nekem, nem válaszolok. Ez úgy derült ki, hogy utána a főnök felháborodva hívott fel: „Mi az, hogy még nincs eredmény?”, „Mi az, hogy én nem válaszolok a levelekre, amikor ők már kifizették az alapdíjat?”. Ekkor átküldtem neki a teljes levelezést, hogy lássa, kapcsolatban vagyok a fejlesztővel. Arról meg, hogy ő mit kommunikál felé és mit nem, nem tehetek. Szóval igazából a fejlesztők sokszor – ugyanúgy, ahogy én is egykor – személyük elleni támadásként élik meg, ha bejön a képbe egy harmadik fél.
Hol a hiba?
A fejlesztők ilyenkor nehezen viselik, hogy kiszervezik máshová a feladatot. Hiszen ő is egy jó szakember. Ő is sokat tanult, sokat képezte magát. De akkor, hogy-hogy nem ért hozzá? Azt kell, hogy mondjam: nem érthetünk mindenhez.
Amikor főállásban banki rendszert, illetve netbanki felületet fejlesztettem etikus hackerként, én is mindig auditáltam a saját kódomat. Hiába próbáltam mindenre odafigyelni, mégis – mikor vissza auditáltam magamat – voltak benne hibák, biztonsági kockázatok, amelyeket azonnal javítottam. A programozás egy rendkívül nagy terület. Nem tudsz egyszerre programozó és úgymond támadó is lenni. Teljesen más gondolkodásmódot kíván a kettő, és nem tudsz közöttük ugrálni. Csináld meg a szoftvert, és utána auditáld!
Baj, hogy a fejlesztő ellenségként tekint az etikus hackerre?
Szerintem igen! Hiszen az etikus hacker nem azért világít rá a hibákra, mert ezzel alá akarja ásni a fejlesztő renoméját. Vagy azt akarja fitogtatni, hogy mennyivel ügyesebb, mint ő. Vagy hogy a fejlesztő mennyire béna. Nem! Erről szó sincs. Etikus hacker vagyok, nem ellenség! Sokkal inkább úgy kellene tekintened ezekre az IT-auditokra, hogy kapsz egy szövetségest magad mellé. Nem azon kéne pörögni, hogy ha rámutat az esetleges hibákra, akkor „Úristen, mit fog szólni a megbízó?!”. A megbízó nyilvánvalóan nem azért kért IT-auditot, mert ki akarja rúgni a fejlesztőjét, hanem azért, mert egy biztonságos rendszert akar. Ezzel igazából mindenki nyerhet. A fejlesztő is. Hiszen, ha az audit után kap egy jegyzőkönyvet, amelybe leírják, hol volt a hiba, és mit kell javítani, akkor abból tanulhat. Be tudja építeni a tapasztalatai közé.
Tehát:
- jó a megbízónak, mert biztonságosabb lesz a rendszere;
- jó a fejlesztőnek, mert tanulhat belőle;
- jó az etikus hackernek, mert ki tud alakítani egy partneri kapcsolatot mind a megbízóval, mind a fejlesztővel.
Ez elképesztően fontos. Emlékeztek még a srácra, akiről a bevezetésben írtam? Ha nem fut bele azokba a pofonokba, amelyeket említettem, akkor lehet, a mai napig úgy gondolja: ha bármilyen kritika éri az általa írt szoftvert, az csakis rossz szándékból fakadhat.
Igen, nekem is kellettek azok a pofonok, hogy megtanuljam, ezek fontos dolgok
Ezekre érdemes odafigyelni. És aki segítő szándékkal áll oda melléd, attól fogadd el bátran a segítséget! A mai történetem tanulsága: ha fejlesztő vagy, akkor az etikus hacker nem ellened, hanem veled van! Nem ellenség, hanem szövetséges!