Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.08.2020

Konferencja PIKE 2020 „Nowy...

Polska Izba Komunikacji Elektronicznej wraz z Polską Fundacją Wspierania Rozwoju...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

Wynagrodzenie za włamywanie się

Data publikacji: 24-10-2019 Autor: Magdalena Ziemba

Mimo że architekci zabezpieczeń doskonale znają najlepsze praktyki w branży IT, nieraz brakuje im praktycznej wiedzy, w jaki sposób cyberprzestępcy uzyskują dostęp do firmowych sieci. Aby zwiększyć poziom zabezpieczeń, organizacje coraz częściej zatrudniają tzw. etycznych hakerów, określanych też hakerami w białych kapeluszach lub białych rękawiczkach.

 

Aby uchronić firmę przed działaniem cyberprzestępców, niezbędne jest przeprowadzanie testów posiadanych zabezpieczeń, które polegają na kontrolowanym ataku na system teleinformatyczny i mają sprawdzić stan tego systemu oraz podatność i odporność na zagrożenia zewnętrzne. Etyczni hakerzy na zlecenie organizacji wcielają się w rolę potencjalnego włamywacza i starają się przełamać zabezpieczenia.

ODNALEŹĆ BRAKI

W symulowanych atakach etyczni hakerzy sprawdzają wszystkie dostępne techniki, jakimi mógłby się posłużyć przestępca, by nielegalnie dostać się do systemu lub sieci. Zostają oni upoważnieni przez firmę do testowania sieci i ujawniania wszystkich słabych punktów systemu bezpieczeństwa, by wyprzedzić ataki prawdziwych cyberprzestępców. Firma następnie otrzymuje informacje o znalezionych problemach oraz sposobach ich rozwiązania.

Najlepszym sposobem na znalezienie doświadczonych hakerów jest skorzystanie z programów bug bounty, czyli otwartych konkursów typu „znajdź lukę”. W takich programach każdy może zgłosić wykryte luki w zabezpieczeniach i – po potwierdzeniu, że wskazane braki są istotne – uzyskać nagrodę pieniężną od danej firmy. Bug bounties szczególnie sprawdzają się w przypadku usług dostępnych publicznie, np. stron internetowych i aplikacji mobilnych. Hakerzy w białych rękawiczkach poza premią finansową mają szansę, by przetestować i pokazać swoje umiejętności na forum publicznym. Najpopularniejsze platformy tego typu to HackerOne i BugCrowd.

TESTY PENETRACYJNE

Etyczny haker, działając na zlecenie właścicieli systemu/sieci, musi się dostosować do nałożonych przez nich zasad oraz praw obowiązujących w danym kraju. Potrzebne jest zawarcie umowy dającej mu uprawnienia do przeprowadzenia testu. Muszą być w niej ustalone: rodzaj testu, plan czasowy, zakres działania oraz niezbędne narzędzia.

Głównym zadaniem etycznego hakera jest przeprowadzanie testów penetracyjnych, stąd bywa on też nazywany testerem penetracyjnym lub pentesterem. Istnieją trzy rodzaje testów penetracyjnych:

black box – testujący nie dostaje informacji dotyczących infrastruktury i sieci danej organizacji, dlatego konieczne jest zrobienie dokładnego rozpoznania; to czasochłonny test, a w związku z tym drogi dla zamawiającego, jest więc najrzadziej wykorzystywany;

white box – testujący ma wszystkie potrzebne dane o systemie i aplikacjach; test ten nie symuluje jednak prawdziwego ataku, jest głównie zamawiany do badania aplikacji internetowych;

grey box – testujący otrzymuje tylko część szczegółów o badanej sieci; to najczęściej wybierany rodzaj testu.

Jeśli ma być testowana tylko jedna aplikacja, zwykle wystarczy jeden dzień na zrobienie testu i kilka godzin na sporządzenie raportu. Jeśli zaś zajdzie potrzeba sprawdzenia całego systemu, testy mogą trwać kilka tygodni. Etyczny haker ma prawo do testowania wyłącznie zleconych systemów – zdarzały się już przypadki, gdy zamawiający pozwał do sądu pentestera za niedozwolone logowanie się do systemu. Określony powinien być też używany sprzęt – czasem haker musi podać listę narzędzi, które będą mu potrzebne do przeprowadzenia testu, oraz adres IP, a czasem właściciel systemu dostarcza własne urządzenie do pracy.

 

[...]  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"