De kikről is van szó? Sokan vadregényes előtörténetet képzelnek mögéjük, a legtöbbjük múltja azonban aligha színesebb, mint bármelyik rendszergazdáé. Persze vannak ritka kivételek. Ilyen például Kevin Mitnick, aki pályafutása elején olyan nagyvállalatok rendszereit törte fel, mint a Motorola vagy a Sun Microsystems. Még a börtönt is megjárta, mielőtt a biztonsági konferenciák sztárelőadójává nőtte ki magát. Van olyan szakmabeli is, aki a fiatal kora miatt került az újságok hasábjaira: az indiai származású Trishneet Arora, aki két könyvet is írt a témában, 19 évesen már saját biztonsági cégét vezette TAC Security néven.
Az etikus hackerek túlnyomó része azonban nem a fogdából érkezik, és nem lesz tinédzserként vállalatvezető: a tudásukra is többnyire szokványos módon, képzéseken keresztül tesznek szert. Jelentős részük olyan tanfolyamokról kerül ki, amelyek a Council of Electronic Commerce Consultants (EC-Council) módszertanára épülnek. De hogy mennyire igaz a hackerek közkedvelt mondása, amely szerint minden rendszer feltörhető, azt mi sem bizonyítja jobban, mint hogy egyszer már az EC-Council oldalát is feltörték. A támadás után több mint 60 ezer IT biztonsági szakember útlevél adatai kerültek nyilvánosságra.
De visszatérve az etikus hackerek életpályájára: miután kikerülnek valamelyik méregdrága képzésről, akár évi 24 ezer és 111 ezer dollár közötti fizetésre is szert tehetnek (vagyis átváltva akár évi 29 millió forintot is zsebre rakhatnak). A foglalkoztatásuk rendszerint üzleti titoknak minősül. Ha valahol mégis nagy dobra verik az alkalmazásukat, akkor azt rendszerint marketing szempontok miatt teszik. A vállalat ezzel azt üzeni: annyira biztonságosak, hogy még a hackerek felbérlésétől sem tartanak.
Három etikus hackelési eljárást szokás megkülönböztetni: a „szürke doboz” technikánál a megbízott szakember alapjogosultságot kap az adott IT rendszerhez. Ez azért hasznos, mert sok bűnöző a saját munkáltatóját támadja meg. Érdemes hát tesztelni, hogy az alkalmazottak pontosan mihez is tudnak hozzáférni. Hasonló szerepe van a „fehér doboznak” is, ahol az etikus hacker megkapja egy rendszergazda jogosultságát. A harmadik, a „fekete doboz” viszont már egy külső támadást szimulál: a feltörést ilyenkor kizárólag egy web és IP-cím, illetve egy szervernév ismeretében kell elvégezni. A profi szakmabeliek a támadás után kiértékelik a helyzetet és javaslatokat tesznek a biztonsági rések betapasztására.
A megbízásoknál azonban az a tapasztalat, hogy gyakran maguk a cégek sem egészen vannak tisztában vele, hogy mit akarnak vagy mit várhatnak el a „fehér kalapos” hackerektől. Emiatt akad, aki egy pár szavas, a részleteket teljesen nélkülöző leírás alapján kér árajánlatot. De az sem ritka, hogy a megbízó tévesen hiszi azt néhány alrendszeréről, hogy azok teljesen biztonságban vannak, ezért az auditból kihagy néhány fontos területet. A sikeres és hatékony együttműködéshez elengedhetetlen, hogy a cégek maguk is jól ismerjék a saját hálózatukat.
Persze, mint szinte minden fogalom, az etikus hacker kifejezés is önálló életre kelt: bár az EC-Council aligha adná áldását rá, ma már sok helyen azokat a hobbi programozókat is ezzel a névvel illetik, akik a visszaéléseket kerülve, ám az üzemeltetők tudta nélkül ellenőrzik az adott rendszerek biztonságát.
