ETIKUS HACKER
A hacker szó hallatán elsőre mindenkinek valamilyen negatív dolog jut eszébe. Gyakran társul hozzá a bűnöző kifejezés.
Az etikus hacker egy olyan informatikai szakember, aki segít megtalálni a potenciális veszélyforrásokat és gyengeségeket a megbízója rendszereiben. A megbízása során megvizsgálja és feltérképezi a szervezet hálózatát, a felhasználókat, eszközöket és erőforrásokat. Elemzi a bejövő és kimenő adatforgalmakat, a szervezet védelmi technológiáját és folyamatait, megvizsgálja hogy a munkavállalók mennyire képzettek, tudatosak az információbiztonság területén, mennyire jelentenek kockázatot például adathalászat szempontjából. Szimulációkat és próbatámadásokat futtat a szervezet rendszerein azért, hogy megtalálja annak sebezhetőségeit.
Az Etikus Hacker a munkája során pontosan ugyanazokat a módszereket és eszközöket használja a biztonsági rések, sérülékenységi pontok felderítésére, mint egy rosszindulatú támadó. Azonban ezt nem károkozási céllal teszi. Feladata, hogy megtalálja, dokumentálja a hibákat, szakmai tudása szerint adjon javaslatot azok kijavítására, valamint felhívja a figyelmet a szervezetre leselkedő egyéb potenciális veszélyforrásokra, amik veszélyeztetik szervezet infrastruktúrájának, az információk biztonságát, egyes esetekben a szervezet működőképességét, fenntarthatóságát.
MIK A LÉPÉSEK?
Ne felejtsük el, hogy az Etikus Hacker szenzitív és bizalmas munkát végez, ezért nekünk is meg kell arról győződnünk, hogy a kérésünk a törvényeknek megfelelő és etikus. Szigorú működési környezetben végezzük feladatunkat, védve mindenki érdekét, hogy a nem várt jogkövetkezmények elkerülhetőek legyenek.
- Kérjük, hogy töltse ki az adatlapunkat.
- Mielőtt felkeresnénk, megvizsgáljuk a kérését.
- E-mailben vagy telefonon fogjuk keresni, hogy egyeztessük a megbízás tárgyát, elvárásait és elmondjuk a véleményünket, javaslatokat tegyünk.
A MEGBÍZÁS LÉTREJÖTTE ELŐTT
magánszemély esetén igazolni szükséges, hogy
- a vizsgálat tárgyát ki birtokolja, szerezte be, vagy hozta létre, és a hozzá fűződő joga kizárólagos
- hogy a vizsgálat nem sérti más természetes személy jogait
jogi személyiség esetén, hogy
- a képviselt szervezet felett rendelkezik,
- csatolni szükséges a cégbejegyzési végzést, cégkivonatot,
- az aláírásmintát, címpéldányt,
- beszerezte a megfelelő hozzájárulásokat, ha a megbízás tárgyában a személyes adatok az adatvédelmi irányelvekben is érintettek.
Miután minden tekintetben meggyőződtünk a projekt etikus és legális mivoltában
- azaz, hogy a megbízásnak nincs törvénybe ütköző eleme, írásban megküldjük a szerződésünket az ajánlatunkkal csatoltan.
- Amint elfogadta a szerződésben foglaltakat máris munkához látunk.
SZOLGÁLTATÁS RÉSZLETEI
A sérülékenység vizsgálat nagyrészt automatizált eszközökkel történik, és az ismert sérülékenységekre fókuszál, melyek jellemzően fejlesztési hibákból, konfigurációs hiányosságokból, karbantartás elmaradásából illetve a már napvilágra került gyártói szoftveres hibákból erednek. A sérülékenységi vizsgálat jó eszköz arra, hogy kapjunk egy általános képet a vizsgált alkalmazás, weboldal vagy informatikai infrastruktúra biztonsági állapotáról. A sérülékenységi vizsgálat a biztonsági rések kiküszöbölését és a rendszer védelmét célozza, hogy csökkentse a támadások sikerességének valószínűségét.
Black-box
A black-box vizsgálat lényege, hogy nem használunk fel semmilyen belsős üzemeltetői és fejlesztői információt (hálózati információ, jelszavak, nevek, jogosultságok, forráskódok, eljárások … ), kizárólag azokkal a lehetőségekkel élünk, amik egy fekete-kalapos Hacker, mint távoli támadó rendelkezésére állnak. Publikusan elérhető felületek, regisztrációs lehetőségek és űrlapok, kint felejtett tesztoldalak, keresőrobotok által indexelt, céginformációk, online elérhető tartalmak, speciális felderítés eredményei, címek egyéb információk.
Projekt időt tekintve ez a leghosszadalmasabb, mely hónapokban is mérhető a célkitűzés és a feladat bonyolultságának függvényében. A ráfordított idő ezzel szemben kiválóan megmutatja egy szervezet ellenálló-képességét, és azt, hogy milyen hiányosságokat kell szükségszerűen pótolnia, hogy egy valós támadással szemben is megfelelő módon tudjon viselkedni.
Gray-box
A gray-box vizsgálat esetében már részinformációkat, technikai részleteket, valamint dokumentációkat is felhasználunk, tehát a vizsgálat tárgyát képző rendszer kapcsolódási pontjaihoz, felületeihez teljes mértékben hozzáférünk – figyelembe véve a korlátozásaikat és kritériumaikat.
White-box
A white-box vizsgálat során már nemcsak részinformációkat használunk fel, hanem részletes rendszerleírást is, ide értve a futtató infrastruktúrát, felhasznált keretrendszereket, a forráskódokat és a konfigurációs fájlokat, hálózatok, szervezek konfigurációját, eszközök felhasználó neveit és jelszavakat.
Külső sérülékenységvizsgálat során az érintett szervezeten kívülről indított támadást szimulálunk. A vizsgálat a hálózati elemek, a komponens verziók feltérképezését, az ismert sérülékenységek keresését, a webalkalmazás aktív és passzív szkennelését tartalmazza.
Belső sérülékenységvizsgálat esetén az érintett szervezethez a belső hálózaton keresztül létesítünk kapcsolatot, és a belső hálózaton elérhető informatikai szolgáltatások és rendszerek sebezhetőségét vizsgáljuk automata eszközökkel, illetve manuális módszerekkel, különböző jogosultságok alapján.
A szervezet webalkalmazásainak vizsgálata OWASP (Open Web Application Security Project) módszertan szerinti kerül elvégzésre, offenzív megközelítéssel. Az automatizált vizsgálat találatainak manuális validálása, a kliens felé adott válaszok értelmezésével és kiértékelésével. A sérülékenység kihasználhatóságának vizsgálata, Proof of Concept előállítása.
Vezeték nélküli hálózat tesztelése az érintett szervezet telephelyén üzemeltetett vezeték nélküli hálózat, az ahhoz kapcsolódó autentikációs protokollok és hálózati eszközök biztonsági vizsgálatát tartalmazza.
Social engineering azaz pszichológia manipuláció végzünk, azzal a céllal, hogy egy jogosultsággal rendelkező személy adatokat adjon át nekünk, vagy lehetőséget nyújtson a rendszerbe való belépésre. A pszichológiai befolyásolás az a fajta támadás, amikor nem a technológia sebezhetőségeit használjuk ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyverünk. A megbízás során ehhez kifejezett hozzájárulásod is kérjük, emellett felhívjuk a figyelmed az Adatvédelmi teendőidre is.
A penetrációs teszt egy olyan végrehajtott behatolási kísérlet a rendszerekben, amikor nem csak feltárjuk, de ki is használjuk a megtalált biztonsági réseket, és azokon keresztül igyekszünk minél mélyebbre hatolni a rendszerben és a lehető legmagasabb szintű jogosultságok megszerzésével “hozzáférni” az érzékeny adatokhoz. A megbízás során ehhez kifejezett hozzájárulását is kérjük, emellett felhívjuk a figyelmet az Adatvédelmi teendőire is. Szigorúan ellenőrzött és naplózott környezetben, a folyamatos tájékoztatás mellett, az általa jóváhagyott időintervallumban, előzetes egyeztetéssel dolgozunk.
A munka végeztével
A vizsgálat után részletes, mélyreható jelentést készítünk a szervezete biztonsági állapotáról, amelyben egyben javaslatokat is teszünk annak fejlesztésére, kijavítására.
- összefoglaló az elvégzett munkák eredményéről
- alkalmazott módszerek ismertetése
- feltárt sérülékenységek leírása a hozzájuk tartozó kockázati besorolással
- általános logikai megoldási javaslatok megfogalmazása a feltárt sérülékenységekkel, hibákkal kapcsolatban