Nechte se hacknout od etických hackerů s Offensive Security Certified Professional

Richard Jan Voigts , 05. červen 2018 13:30 0 komentářů
Nechte se hacknout od etických hackerů s Offensive Security Certified Professional

Co všechno obnáší etický hacking? Co všechno etický hacker používá, aby zjistil zranitelnost aplikace nebo sítě svého zákazníka? Jak by se měl běžný uživatel chránit a na co si má dát pozor? To nám přiblíží generální ředitel společnosti insighti Radovan Vacek.

Co vlastně znamená etický hacking?

Hacking je snaha o vykonání akcí, které systém vykonávat nemá s cílem získat nějakou výhodu. Etický hacking se provádí souhlasem provozovatele aplikace nebo sítě. Je prováděn s cílem odhalit chyby v systému zákazníka a informovat jej o nich. Jde o simulovaný pokus o průnik do systému, když chce jeho vlastník vědět, jak obstojí, pokud se někdo pokouší nekalými způsoby probourat do jeho systému, aplikace, sítě či serveru, nebo třeba do jeho notebooku.

Jediná cesta, jak vědět, jak na tom jste, je spolehnout se na někoho, kdo má podobné schopnosti a znalosti, jako ten, koho se obáváte. Zeptat se, jak by postupoval, jaké zranitelnosti by zneužil. Avšak testovat aplikaci, když už je kompletně vyvinutá, a teprve pak ji upravovat tak, aby byla bezpečná, může být pozdě. Může ji to výrazně prodražit.

Jak získáváte důvěru zákazníka?

Na jedné straně existuje formalizovaná důvěra ve formě smluv, záruk, finančních pokut apod., na druhé straně velmi významnou roli hrají ale také reference. Jednak ty, které jsou veřejně známé a ve druhé řadě také není problém propojit někoho, kdo by chtěl referenci získat, s některým stávajícím zákazníkem. Rád se podělí o zkušenost, co jim naše analýza přinesla. V tomto ohledu si můžeme dovolit být velice transparentní.

Důvěryhodnost zvyšuje i naše odbornost. V insighti dlouhodobě pracujeme na vlastním vzdělávání a máme řadu certifikací, zejména od Offensive Security. Od této organizace máme ocenění Offensive Security Certified Professional. Tento certifikát má drtivá většina našeho týmu, nebo jsou už alespoň v procesu jeho získávání. Další garancí naší odbornosti jsou námi nahlášené chyby, kterých rozhodně není málo. Je to dílo našich lidí a zveřejnili jsme je pro „vyšší bezpečnost světa“.

V oblasti etického hackingu jde spíše o dlouhodobé vztahy se zákazníkem, nebo i o krátkodobé?

Velká část zákazníků, které máme, s námi spolupracuje dlouhodobě. V podstatě se dosud nikdy nestalo, že by s námi někdo začal spolupracovat a pak od nás odešel. Spíše je to spojeno s tím, o jak velkou firmu jde a jak má velké IT. Firmy, které dělají hodně IT projektů a mají hodně IT aplikací, s námi spolupracují dlouhodobě a hlavně pravidelně. Jiné firmy třeba zase vyvíjejí jen jednu aplikaci, a pak s námi sice spolupracují také dlouhodobě, ale mnohem méně pravidelně. Vývoj je u nich mnohem pomalejší. Jednorázové zákazníky pak máme většinou jen v případech, že nás jejich problém nějak zaujme.

Používáte sami i komerčně dostupné nástroje pro hacking, takzvané exploity?

Komerčně dostupné nástroje, exploity, ty jsou takovým minimem. Nesmí se stát, že bychom nepřišli na známé zranitelnosti, které jsou veřejně dostupné. Používáme je proto také, a to jedny z nejlepších, které v této oblasti existují. Jde však o naprosté minimum naší práce; ta jde mnohem dále. Nikdy se nám také nestalo, že bychom výrazně nepřekonali, objemem i závažností, nálezy, kterou najde komerční „tool“. Zároveň našim klientům také doporučujeme, aby si takového komerční nástroje, nebo nástroje open source, vyzkoušeli na svých aplikacích sami. Je to něco, co jim poměrně rychle pozvedne bezpečnost jejich aplikací, možná i docela levně.

Jak moc může být BFU (bloody fucking user – běžný Franta uživatel) v klidu, pokud si nainstaluje běžný antimalware?

Běžný BFU může být asi v takovém klidu, jak moc může být pro někoho jeho počítač zajímavý, aby jej napadnul. Existují techniky, které se 100% úspěšností zamaskují téměř jakýkoliv kód, například buffer overflow, tak, že na něj běžný antivirus nepřijde. Naopak existují veřejně dostupné stránky, na nichž si můžete důkladně prověřit podezřelou aplikaci. Tam ji projedou snad stovkou různých antivirů a řeknou vám pak, že v ní žádný virus není, a stejně tam nakonec bude ukryt. Vždy to však vyžaduje, aby se na vás někdo aktivně zaměřil. Pokud nejste zajímavým cílem, asi můžete být dost v klidu.

Znamená to tedy například nespolupracovat aktivně například s phishingovými útoky, rozklikávat podezřelé úlohy apod.?

No tak to rozhodně! Pokud antimalware zrovna hned nezakřičí, že tohle je virus, ještě opravdu neznamená, že nejde o podezřelý e-mail. Navíc, při veškeré snaze výrobců antimalwarových ochran vždy existuje prodleva mezi provedeným útokem a vydáním nové definice pro antiviry. Teď samozřejmě nehovořím o cílených útocích, ale o těch, které jsou vedeny plošně. Navíc nevěřím tomu, že by někomu chodily maily, které neočekává. Takové jsou vždy podezřelé. Uvedu jeden reálný příklad phishingu, který se stal ve firmě mého kamaráda. Jejich asistentce přišla série e-mailů, psaná jménem jejího šéfa, s tím, že má uhradit nějaké faktury. Bylo zcela zřejmé, že to je celé špatně, protože tyto e-maily byly psány špatnou češtinou, vyskytovaly se v nich nelogičnosti, ten šéf jí vykal, přestože si potykali už před nějakými pěti lety. E-maily však přišly od pro ni důvěryhodné osoby a ona vykonala vše, co v nich bylo přikázáno. Nefiguroval v nich žádný virus, malware, takže někam zaplatila asi osmnáct tisíc eur.


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Kryptoměnovou burzu Bithumb napadli hackeři

ČTK , 20. červen 2018 10:16

Za poslední týden jde již o druhý útok na kryptoměnové burzy v Jižní Koreji. Bitcoin opět klesl....

Více 0 komentářů

Největší australská telekomunikační firma masivně propouští

ČTK , 20. červen 2018 09:52

Telstra dominuje australskému trhu mobilních telefonů a širokopásmových sítí, zisky z pevných sítí a...

Více 0 komentářů

Dotace EU na bezplatné wifi se kvůli chybě systému odkládají

ČTK , 20. červen 2018 08:00

Obce mohly získat poukázku v hodnotě 15 000 eur. Nová výzva bude zveřejněna na podzim....

Více 0 komentářů

Kalendář

17. 06.

21. 06.
Cyber Week 2018
19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018

Starší zprávičky

E-shopy českých řetězců: Lidl, Globus, DM drogerie

ČTK , 19. červen 2018 16:32

Loni stouply tržby českých e-shopů o 18 % na 115 miliard Kč. On-line nakupuje potraviny již 26 % Čec...

Více 0 komentářů

Virtuální realita přinese revoluci srovnatelnou s robotizací

Pavel Houser , 19. červen 2018 11:23

Firmy budou na změny související se zaváděním virtuální reality reagovat další centralizací procesů....

Více 0 komentářů

Digital Broadcasting rozšířila síť DVB-T2 na 85 % populace

ČTK , 19. červen 2018 08:00

Digital Broadcasting začal přechodovou síť budovat loni v červenci v Praze....

Více 0 komentářů

Manažeři France Télécom půjdou před soud kvůli sebevraždám

ČTK , 18. červen 2018 12:47

Vlna sebevražd ve France Télécom (dnes Orange) začala v roce 2008 a vyžádala si desítky životů. ...

Více 0 komentářů