Etikus. Hekker. Képzés.
Ezek a szavak általában nem feltétlenük állnak egymás mellett, vagy akár kapcsolatban egymással. Pedig egy régóta létező dologról van szó: ismerjük meg azt, aki támadni akar minket, tanuljuk meg a módszereit és azonnal tudni fogjuk, hogyan védekezzünk ellenük.
Pár éve még elég volt, ha valaki az átlagosnál jobban lelkesedett az informatikáért, lehetséges volt a biztonsági rések jelentős részét ismerni és mindent úgy beállítani, hogy az az adott körülmények között biztonságosnak mondható legyen.
A technika fejlődésével és sokszínűségével, valamint az Internet robbanásszerű terjedésével a régen akár hónapokig terjedő biztonsági rések leírása (és azok kihasználása, PoC (proof of concept) ) másodpercekre tehetők. Természetesen az automatikus tesztelő szoftverek is szerepet játszanak ebben, de leginkább a specializálódás.
A védekezésre ezért teljes iparág épült: ennek része az etikus hekker képzés is. (Valamint csak nagyon zárójelben: az egyik legizgalmasabb, legsokoldalúbb és legjobban fizető munkakörről van szó... gondoljunk csak bele: vajon egy nemzetközi pénzintézet, államigazgatási szerv mennyit fizethet ki azért, hogy ne legyen támadható ?)
Rendkívül pontos és részletes megbízási (és titoktartási-) szerződés aláírását követően a szakértő (vagy szakértői csapat... ) megpróbál minden ismert megoldással behatolni a célrendszerbe. Vannak blackbox-módszerek azaz amikor "nem tudják mi van a dobozban" azaz az informatikai infrastruktúra felderítése is teljesen megegyezik a külső támadó munkájával, valamint természetesen van olyan eset is, amikor van valamilyen információ, hiszen az elektronikus támadások leggyakrabban belsős információk segítségével történnek. És persze nem szabad elfeledkezni az emberi tényezőről, a social engineering-ről sem, de erről egy külön cikkben tervezek írni.
Nincsenek megjegyzések:
Megjegyzés küldése