Mi az az etikus hackelés és miért fontos?

Hogyan lehet egy hacker etikus? Vannak segítő szándékú hackerek? Miben segíthetnek a cégednek? Ezekre a kérdésekre adunk választ a mai blogcikkünkben.

Egyszerűen fogalmazva: az etikus hacker egy olyan IT szakember, aki segít megtalálni a potenciális veszélyforrásokat és gyengeségeket a megbízója rendszereiben. Munkája során megvizsgálja a hálózat- és a rendszerek megbízhatóságát, teszteket végez; Próbatámadásokat és szimulációkat futtat a cég rendszereivel szemben azért, hogy megtalálja a sebezhetőségeket.

Biztonsági problémáid vannak? Bízd a hackerre!

Az ilyen akciók alatt az etikus hackerek pontosan ugyanazokat a módszereket és eszközöket használják a biztonsági rendszerek hatástalanítására, mint egy rosszindulatú támadó. Azonban ezt nem károkozási céllal teszik; Segítenek megtalálni, dokumentálni és kijavítani azokat a hibákat, amelyek veszélyeztetik a cég informatikai biztonságát.

Az etikus hackelés egy törvényes, hivatalos munka

Az etikus hackelés egy törvényes, hivatalos munka, melynek során a cégek egy CeH akkreditációval rendelkező, képzett hackert bíznak meg azzal, hogy próbáljon meg betörni az adott cég rendszereibe. Ha sikerrel jár, akkor az általa felhasznált biztonsági rések javítása még azelőtt megtörténhet, mielőtt egy rosszindulatú támadó problémát okozhatna.

Ezeket a szakértőket „fehérkalapos” hackereknek nevezzük. Ők azok, akik a tudásukat és tehetségüket arra használják, hogy segítsenek biztonságos rendszereket kialakítani.

„feketekalapos” hackerek ezzel szemben kiberbűnözőként dolgoznak. Ők azok, akikre mindenki gondol, ha meghallja a hacker szót. Adathalászat, internetes csalások, személyiséglopás, kibertámadások; Mind a feketekalapos hackerek munkája.

Ismerd meg az ellenséget

A „feketekalapos” hackerek ezzel szemben kiberbűnözőként dolgoznak.

Ha biztos akarsz lenni abban, hogy a céged biztonságban van a kibertámadásoktól, olyan szakértőre van szükséged, aki ugyanazokkal az eszközökkel és ugyanazzal a tudással rendelkezik, mint a rosszakarók.

Mikor egy fehérkalapos hackert bízol meg, szerződés garantálja azt, hogy a céged adatai és minden információd biztonságban lesz a tesztelés során. Ezek a szakértők Neked dolgoznak azért, hogy céged biztonságosan működhessen.

Munkájuk során megvizsgálják és feltérképezik a cég hálózatát, számba veszik a felhasználókat, eszközöket és erőforrásokat. Analizálják a bejövő és kimenő adatforgalmakat, az ezeket védő módszereket, és megvizsgálják hogy a dolgozók mennyire jelentenek kockázatot adathalászat vagy éppen social engineering szempontjából. Ezeken kívül természetesen megfigyelik és tesztelik a webszervereket vagy alkalmazásokat is és sok egyéb területen végeznek fontos munkát.

Interjú egy szakértővel

Interjú egy szakértővel

Ha egy fehérkalapos hacker felfedez valami problémát a tesztelések során, nem fog kárt okozni. Minden incidensről jelentést ír, és javaslatot tesz arra, hogyan oldhatod meg a problémát.

Hogy megtudjuk milyen is egy etikus hacker munkája, egy CeH akkreditált etikus hackerrel, Radics Gergely barátommal beszélgettünk.

► Miért döntöttél úgy, hogy elvégzel egy ethical hacking tanfolyamot?

A hackelés és az IT biztonság mindig is érdekelt, és mivel progamtervező informatikus vagyok, úgy gondoltam, hogy jó átfogó képet kaphatok erről a területről a tanfolyam elvégzésével.

► Mit gondolsz, miért van szükség az etikus hackerekre?

Mindig jó, ha van valaki, aki biztonság szempontjából is átvizsgálja a rendszereket. A fejlesztők követhetnek el hibákat, esetenként nem feltétlenül vannak tisztában azzal, hogy amit csinálnak az potenciális veszélyforrást is jelenthet.

Ráadásul a nagyvállalati szoftverfejlesztés során általában több csapat együttes munkájával jön létre a végleges termék. Ilyenkor, ha mindenki csak egy-egy részt fejleszt, nem feltétlen látják át az egész rendszert érintő veszélyeket. Nagy projekteknél különösen jól jön, ha egy független harmadik fél is átnézheti és tesztelheti a kódot biztonsági szemszögből is.

► Szerinted milyen képességek kellenek ahhoz, hogy valakiből etikus hacker lehessen?

Nincs szükség semmilyen szuperképességre, ez is tanulható. Az azonban nem árt, ha valaki elszánt, és tényleg akarja csinálni. Szerintem a programozáshoz és a hackeléshez is ugyanolyan elhivatottságra van szükség, hiszen naprakészen kell tartani minden tudást. Új rendszerek, új sebezhetőségek. Persze nagyon sokszor visszaköszönnek a jó öreg biztonsági hibák is.

► Mit gondolsz, a felhő alapú szolgáltatások hoznak valami változást a cégek biztonságát érintően? Nagyobb biztonságot nyújt az, ha a cégek felhőben tárolják az adataikat?

Az emberek általában azért félnek a felhőtől, mert az adataik egy távoli szerverre kerülnek. Persze, ha ezek az érzékeny információk kikerülnek a cég birtokából, az adhat okot egy kis aggodalomra. Ugyanakkor úgy gondolom, hogy megfelelő titkosítás használata mellett ez nem valós veszély.

Ha a valódi gyenge láncszemet keressük, nem a technológiai oldal lesz a gyengepontunk. Az emberi tényező sokkal nagyobb kockázatokkal jár. Nincs az a titkosítás, ami megóvna attól, hogy egy munkatárs lediktálja a jelszavakat telefonon.

Az utóbbi időben sokszor lehetett hallani arról, hogy ilyen-olyan felhőben tárolt adatokat loptak el hackerek. A helyzet azonban az, hogy az összes felkapott esetben emberi mulasztás állt a háttérben (gyenge, több helyen is használt jelszavak).

Ugyanakkor a pozitív oldal az, hogy sok esetben maguk a felhőszolgáltatók implementálnak és várnak el olyan biztonsági megoldásokat, amit az egyes vállalatok vagy felhasználók maguktól nem is alkalmaznának.

► Milyen megoldásokat tartasz biztonságosnak a KKV-k számára?

Minden megoldás vállalkozásfüggő. Senkit nem tántorítanék el attól, hogy felhőalapú dolgokat használjon, de mindenképp olyan szolgáltatót válasszon, ahol ügyelnek a biztonságra.

► Szerinted valós veszélyt jelentenek a mobileszközök vállalati környezetben?

A mobileszközök már most is nagyon felkapott területnek számítanak, hiszen nagyon sok szempontból lehetnek sérülékenyek. A legfőbb kockázatot az jelenti, hogy bár mindenki mindenre mobil eszközöket használ, azokat mégsem frissíti rendszeresen. Önmagában egy okostelefon nem ártalmas. Ha azonban van internetelérés, és össze-vissza mindent feltelepítünk rá, akkor bármi veszélyessé válhat.

► Mi a véleményed a BYOD (Dolgozz a saját eszközeiden) veszélyeiről?

A BYOD és a mobil eszközök ebből a szempontból közel állnak egymáshoz. Lehet saját eszközöket használni, de ilyenkor fontos hogy ne csak meghozzuk a biztonsági szabályokat, de azokat be is kell tartani, és számon is kell kérni a munkatársainkon. Ilyen például a külső adattárolók ellenőrzése és hogy csak ellenőrzött hálózatról, lehetőleg VPN-en keresztül csatlakozzanak az internetre vagy a hálózati szerverre.

► Tudnál mondani pár eszközt, amit etikus hackelés során használnál?

Wireshark, sqlmap, Burp de léteznek komplett nagy frameworkok, amikkel széleskörű tesztek is végezhetők. Persze egyik eszköz sem hibátlan, születhet fals pozitív eredmény, és előfordulhat az is, hogy nem találnak meg 1-1 hibát. Azonban legalább egy átfogó képet adhatnak az adott rendszer állapotáról.

► Szerinted a közeljövőben mennyire lesz mindennapos a cégek életében az, hogy etikus hackereket alkalmazzanak?

Nagy cégeknél már most is alkalmaznak erre dedikált embereket, de a kisebb vállalkozások valószínűleg továbbra is maximum a külsős auditokat fogják előnyben részesíteni.

Nincs szükség semmilyen szuperképességre, ez is tanulható.

► Hogyan lehet valakiből etikus hacker?

Ahogy már mondtam, nincs szükség szuperképességekre. Neki kell állni, és meg kell tanulni. Vannak képzések, amelyek elvégzésével vizsgát tehetsz, és megszerezheted többek közt a CeH akkreditációt is.

Ethical Hacking Konferencia 2016 – Budapest

Az immár 9. éve megrendezésre kerülő konferencia fontos üzenetet hordoz: A fehérkalapos hackerek sok kellemetlenségtől kímélhetik meg a cégeket.

A Crosssecnél tudjuk, hogy az etikus hackerek alkalmazása az egyik legjobb megoldás arra, hogy garantálni és tesztelni lehessen egy cég biztonságát.

Örömmel fogadtuk el a felkérést és csatlakoztunk kiállítóként a május 12-i Ethical Hacking konferenciához. Nagyra értékeljük a szakemberek munkáját, és biztosak vagyunk benne, hogy mindenki sok, számára releváns információt szerezhet ezen a rendezvényen.

Gyertek el Ti is május 12-én és élőben találkozhattok velünk és különleges ajándékainkkal a Lurdy Moziban.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram