Nechte se hacknout od etických hackerů s Offensive Security Certified Professional

Richard Jan Voigts , 05. June 2018 13:30 0 komentářů
Nechte se hacknout od etických hackerů s Offensive Security Certified Professional

Co všechno obnáší etický hacking? Co všechno etický hacker používá, aby zjistil zranitelnost aplikace nebo sítě svého zákazníka? Jak by se měl běžný uživatel chránit a na co si má dát pozor? To nám přiblíží generální ředitel společnosti insighti Radovan Vacek.

Co vlastně znamená etický hacking?

Hacking je snaha o vykonání akcí, které systém vykonávat nemá s cílem získat nějakou výhodu. Etický hacking se provádí souhlasem provozovatele aplikace nebo sítě. Je prováděn s cílem odhalit chyby v systému zákazníka a informovat jej o nich. Jde o simulovaný pokus o průnik do systému, když chce jeho vlastník vědět, jak obstojí, pokud se někdo pokouší nekalými způsoby probourat do jeho systému, aplikace, sítě či serveru, nebo třeba do jeho notebooku.

Jediná cesta, jak vědět, jak na tom jste, je spolehnout se na někoho, kdo má podobné schopnosti a znalosti, jako ten, koho se obáváte. Zeptat se, jak by postupoval, jaké zranitelnosti by zneužil. Avšak testovat aplikaci, když už je kompletně vyvinutá, a teprve pak ji upravovat tak, aby byla bezpečná, může být pozdě. Může ji to výrazně prodražit.

Jak získáváte důvěru zákazníka?

Na jedné straně existuje formalizovaná důvěra ve formě smluv, záruk, finančních pokut apod., na druhé straně velmi významnou roli hrají ale také reference. Jednak ty, které jsou veřejně známé a ve druhé řadě také není problém propojit někoho, kdo by chtěl referenci získat, s některým stávajícím zákazníkem. Rád se podělí o zkušenost, co jim naše analýza přinesla. V tomto ohledu si můžeme dovolit být velice transparentní.

Důvěryhodnost zvyšuje i naše odbornost. V insighti dlouhodobě pracujeme na vlastním vzdělávání a máme řadu certifikací, zejména od Offensive Security. Od této organizace máme ocenění Offensive Security Certified Professional. Tento certifikát má drtivá většina našeho týmu, nebo jsou už alespoň v procesu jeho získávání. Další garancí naší odbornosti jsou námi nahlášené chyby, kterých rozhodně není málo. Je to dílo našich lidí a zveřejnili jsme je pro „vyšší bezpečnost světa“.

V oblasti etického hackingu jde spíše o dlouhodobé vztahy se zákazníkem, nebo i o krátkodobé?

Velká část zákazníků, které máme, s námi spolupracuje dlouhodobě. V podstatě se dosud nikdy nestalo, že by s námi někdo začal spolupracovat a pak od nás odešel. Spíše je to spojeno s tím, o jak velkou firmu jde a jak má velké IT. Firmy, které dělají hodně IT projektů a mají hodně IT aplikací, s námi spolupracují dlouhodobě a hlavně pravidelně. Jiné firmy třeba zase vyvíjejí jen jednu aplikaci, a pak s námi sice spolupracují také dlouhodobě, ale mnohem méně pravidelně. Vývoj je u nich mnohem pomalejší. Jednorázové zákazníky pak máme většinou jen v případech, že nás jejich problém nějak zaujme.

Používáte sami i komerčně dostupné nástroje pro hacking, takzvané exploity?

Komerčně dostupné nástroje, exploity, ty jsou takovým minimem. Nesmí se stát, že bychom nepřišli na známé zranitelnosti, které jsou veřejně dostupné. Používáme je proto také, a to jedny z nejlepších, které v této oblasti existují. Jde však o naprosté minimum naší práce; ta jde mnohem dále. Nikdy se nám také nestalo, že bychom výrazně nepřekonali, objemem i závažností, nálezy, kterou najde komerční „tool“. Zároveň našim klientům také doporučujeme, aby si takového komerční nástroje, nebo nástroje open source, vyzkoušeli na svých aplikacích sami. Je to něco, co jim poměrně rychle pozvedne bezpečnost jejich aplikací, možná i docela levně.

Jak moc může být BFU (bloody fucking user – běžný Franta uživatel) v klidu, pokud si nainstaluje běžný antimalware?

Běžný BFU může být asi v takovém klidu, jak moc může být pro někoho jeho počítač zajímavý, aby jej napadnul. Existují techniky, které se 100% úspěšností zamaskují téměř jakýkoliv kód, například buffer overflow, tak, že na něj běžný antivirus nepřijde. Naopak existují veřejně dostupné stránky, na nichž si můžete důkladně prověřit podezřelou aplikaci. Tam ji projedou snad stovkou různých antivirů a řeknou vám pak, že v ní žádný virus není, a stejně tam nakonec bude ukryt. Vždy to však vyžaduje, aby se na vás někdo aktivně zaměřil. Pokud nejste zajímavým cílem, asi můžete být dost v klidu.

Znamená to tedy například nespolupracovat aktivně například s phishingovými útoky, rozklikávat podezřelé úlohy apod.?

No tak to rozhodně! Pokud antimalware zrovna hned nezakřičí, že tohle je virus, ještě opravdu neznamená, že nejde o podezřelý e-mail. Navíc, při veškeré snaze výrobců antimalwarových ochran vždy existuje prodleva mezi provedeným útokem a vydáním nové definice pro antiviry. Teď samozřejmě nehovořím o cílených útocích, ale o těch, které jsou vedeny plošně. Navíc nevěřím tomu, že by někomu chodily maily, které neočekává. Takové jsou vždy podezřelé. Uvedu jeden reálný příklad phishingu, který se stal ve firmě mého kamaráda. Jejich asistentce přišla série e-mailů, psaná jménem jejího šéfa, s tím, že má uhradit nějaké faktury. Bylo zcela zřejmé, že to je celé špatně, protože tyto e-maily byly psány špatnou češtinou, vyskytovaly se v nich nelogičnosti, ten šéf jí vykal, přestože si potykali už před nějakými pěti lety. E-maily však přišly od pro ni důvěryhodné osoby a ona vykonala vše, co v nich bylo přikázáno. Nefiguroval v nich žádný virus, malware, takže někam zaplatila asi osmnáct tisíc eur.


Komentáře

RSS 

Komentujeme

IoT může znamenat také Internet myšlenek

Pavel Houser , 22. June 2019 18:15
Pavel Houser

Koncept Internet of Thoughts předpokládá propojení lidských mozků s počítačem přes přímé rozhraní. V...

Více



Kalendář

03. 08.

08. 08.
Black Hat USA 2019
25. 08.

29. 08.
VMworld US 2019
06. 09.

11. 09.
IFA 2019
RSS 

Zprávičky

Olomouc testuje chytré koše, které samy poznají, že jsou plné

ČTK , 25. June 2019 11:46

Jeden takový odpadkový koš stojí zhruba 120.000 korun. Zkušební provoz má zjistit, jak moc by se sys...

Více 0 komentářů

Akcie Capgemini a Altran po oznámení akvizice silně rostou

ČTK , 25. June 2019 11:41

Dohoda má Capgemini umožnit vydělávat na digitální transformaci průmyslových podniků....

Více 0 komentářů

Seznam.cz meziročně navýšil tržby o téměř 9 % na 4,48 miliardy Kč

Pavel Houser , 24. June 2019 14:43

Trendy podle Seznam.cz: reklama se bude se prodávat stále více programaticky a na vzestupu je i nati...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu poprvé za 15 měsíců vystoupila nad 11 000 USD

ČTK , 24. June 2019 13:37

Podle analytiků se zdá, že investoři už zapomněli na prudký pád ceny bitcoinu po jejím výstupu na re...

Více 0 komentářů

Ministerstvo financí postupuje s portálem pro správu daní

Pavel Houser , 24. June 2019 09:00

Online finanční úřad bude spuštěn ve 4. čtvrtletí roku 2020....

Více 0 komentářů

Všechna data o infrastruktuře má obsahovat digitální mapa

ČTK , 23. June 2019 15:56

Obsahovat by měla aktualizovaná data o pozemních komunikacích, železničních tratích, elektrických ve...

Více 1 komentářů

Projektanti: Při digitalizaci stavebnictví má mít iniciativu stát

ČTK , 22. June 2019 13:30

V souvislosti s digitalizací stavebnictví se mluví hlavně o metodě BIM (Building Information Modelli...

Více 0 komentářů