• Magyar
  • English
Sajtóközlemények RSS feed

Sérülékenységvizsgálat, etikus hackelés

Az Internet, az online alkalmazások, valamint a levelező rendszerek terjedésével a vállalatok mind magasabb szintű biztonság elérésére törekednek. A lakásbiztonsághoz hasonlóan azonban a legnagyobb erőfeszítések ellenére sem létezik olyan számítógépes rendszer, amely 100%-os biztonságban lenne. A vállalatokat mindig fenyegeti egy új vírus, egy okos hacker, vagy akár egy belső dolgozó esetleges támadása. Éppen ezért különösen fontos, hogy ismerjük rendszerünk sebezhető pontjait és a fennálló kockázatokat.

Fontos felhívni a figyelmet arra a statisztikai tényre, hogy a valódi kárt okozó informatikai rendszerek elleni támadások mintegy 2/3-a belső forrásból származik, tehát nem elegendő, hogy a rendszer kívülről feltörhetetlen, legalább ilyen fontos a belső támadások elleni védelem is, a kritikus belső rendszerek vizsgálata.

Erre kínál megoldást az etikus hackelés módszertanunk, amelynek során szakembereink egy hacker (vagy belső felhasználó) támadását szimulálják. A vizsgálatok minden esetben a Megbízóval történő előzetes egyeztetés után történnek meghatározva a vizsgálat lépéseit, feltételeit, célját, a vizsgálat „elvárt” eredményét. Minden esetben meghatározásra kerül a Megrendelő által biztosított információhalmaz köre. A Megrendelő által biztosított hozzáférések, átadott információk függvényében az alábbi vizsgálati lehetőségek vannak:

  • Black box vizsgálat – a vizsgálandó portál vagy alkalmazás elérhetősége kerül átadásra.
  • Gray box vizsgálat – alacsony jogosult felhasználói account birtokában történik a vizsgálat. A cél magasabb felhasználói jogok megszerzése, a rendszer feltörése.
  • White box vizsgálat – a rendszer felépítésről, architektúráról és komponensekről minden információ átadásra kerül, adott esetben privilegizált felhasználói account is. A cél ekkor nem a rendszer feltörése, hanem az architektúra és az alkalmazott technikai biztonsági kontrollok gyengeségeinek felderítése.

A hackertámadáshoz alapvetően erre a célra fejlesztett szoftvereket hívunk segítségül. Az általunk alkalmazott termékek széles skálát ölelnek fel, ide tartoznak többek között a hálózati (McAfee Vulnerability Manager), a hoszt (Assuria Auditor) vagy az adatbázis (Application Security Inc., AppDetective) sérülékenység vizsgáló eszközök, az Interneten elérhető és ingyenesen használható programok (Backtrack).

Amennyiben a vizsgálatnak részét képezi, akkor a „social engineering” módszerét is alkalmazzuk, így kiterjesztve a vizsgálatot a fizikai védelemre és a felhasználói tudatosság vizsgálatára is.

A vizsgálat során annak megállapítása a célunk, hogy van-e a rendszernek sérülékeny pontja. A vizsgálatokról jegyzőkönyvet készítünk, amelyben részletesen ismertetjük, hogy mely sérülékenységeken keresztül, milyen módon sikerült bejutnunk a rendszerbe.

A magas fokú bizalmassági körülményre való tekintettel a vizsgálatok elvégzéséhez megfelelő jogi keret kialakítása szükséges. A vizsgálattal kapcsolatban teljes körű titoktartást vállalunk, a vizsgálat eredményeként birtokunkba kerülő valamennyi információt a megbízó üzleti titkának tekintjük.

Etikus támadás és védekezés a Noreggel

A Noreg Kft. etikus hackelésre szakosodott mérnökei számos hazai vállalat biztonsági rendszerét vizsgálták meg ezzel a módszerrel, majd kidolgozták azt a biztonsági stratégiát, amely garantálja rendszerük és kritikus fontosságú adataik biztonságát. A Noreg Kft.-nek számos szakértője szerzett Certified Ethical Hacker (CEH) minősítést, amely bizonyítja, hogy a minősítéssel rendelkező szakember megfelelő tudással és tapasztalattal bír a hálózatok és számítógépek biztonsági réseinek tesztelése és ezek kivédése terén. A minősítést megszerzett szakembereknek írásban kell nyilatkozatot tenniük arra, hogy a megszerzett tudást kizárólag etikus célokra használhatják fel, a CEH minősítést pedig kétévente meg kell újítaniuk.

Egy támadás akkor tekinthető igazán sikeresnek - amennyiben nem a közvetlen figyelemfelkeltés volt a cél -, ha az felfedetlen marad: a támadónak sikerül úgy bejutni a rendszerbe, hogy onnan lehetőleg minden támadásra utaló nyomot eltüntet, és kiépíti annak a lehetőségét, hogy a támadását újra és újra végre tudja hajtani. Tökéletes támadás – ahogy tökéletes védelem - sem letétezik, árulkodó nyomok mindig maradnak egy rendszerben. Ezek felderítése és megtalálása lehet a célja a számítógépes bűncselekmények vizsgálatának. Amennyiben a rendszer kialakításánál a felderítés támogatására (IPS megoldások, Logelemzés) hangsúlyt helyezünk, akkor egy esetleges támadásra sokkal gyorsabban és hatékonyabban reagálhatunk, akár a támadást már valós időben detektálva és megakadályozva.

Amennyiben a rendszerünkben gyanús eseményeket tapasztalunk, annak számos esetben lehet az oka egy korábbi támadás, amelynek felderítése/lenyomozása jelentős szakértelmet igényel. A Noreg Kft. rendelkezik az ehhez szükséges tudással, kollégáink között megtalálhatóak Computer Hacking Forensic Investigator (CHFI) minősítéssel rendelkező szakemberek.