fbpx

Etikus hack

2007-ben alapított cégünk, a Whiteshield Kft. egy olyan, informatikai biztonságra specializálódott cég, amelyet mi, etikus hackerek azzal a közös céllal hoztunk létre, hogy körültekintő biztonságtechnikai vizsgálat keretein belül rámutassunk ügyfeleink rendszereiben azokra az esetlegesen fellelhető gyenge pontokra, melyek behatolásra alkalmas rést képezhetnek, vagy biztonsági szempontból számottevő kockázatot jelenthetnek.

Szakembereink már a sérülékenységvizsgálat ideje alatt is szorosan együttműködnek megbízóinkkal, konzultációk keretein belül tájékoztatják őket a feltárásra került legkritikusabb hibákról, hogy azok javítása mielőbb megkezdődhessen, és ezáltal egy esetleges rosszindulatú behatolás valószínűségét ügyfelünk a lehető legalacsonyabb szintre szoríthassa.

A vizsgálatok végeztével részletekre kiterjedő szaktanácsadást végzünk, és segítünk ügyfelünknek a hardening-folyamat megtervezésében, quick-win lépésekre és priorizált ütemtervekre teszünk javaslatokat, valamint igény esetén oktatások keretein belül segítünk a biztonságtudatos gondolkodás hosszú távú kialakításban döntéshozók és alkalmazottak köreiben egyaránt.

Mi is az az etikus hackelés?

Közismert tény, hogy az informatikai rendszereket számos és sokféle veszély fenyegeti, hiszen az erre szakosodott kutatócsoportok nap mint nap publikálnak újabbnál újabb sérülékenységeket.

Egy vállalat életében, felelős döntéshozóként, az ilyen ütemben feltárásra kerülő új kockázatokkal kiemelten fontos foglalkozni, és naprakészen felkészültnek lenni.

Mérlegeljük az alábbiakat és azt, hogy ezek milyen hatást gyakorolnának cégünk működésére:

  • egy versenytárs hozzáférhetett belső, céges adatbázisainkhoz és ott saját érdekei szerint módosíthatta az ott tárolt adatainkat
  • adathalász automaták védettnek hitt információkat szerezhettek meg cégünk folyamatban lévő pályázatáról
  • levelezéskor a küldő és fogadó feleken kívül harmadik fél is betekintést nyerhetett a kommunikációba
  • illetéktelenek bejelentkezhettek cégünk belső hálózatára (akár az irodaépületen kívülről is) a kényelmünket szolgáló WiFi kapcsolaton keresztül
  • cégünk honlapján meghamisíthatták a közzétett információkat, esetleg rosszindulatú tréfából átszerkeszthették azt

Elképzelhető, hogy a fentiek valóban megtörténtek? Esetleg – ami még rosszabb – a jelenség időről időre megismétlődik, anélkül, hogy bárki tudomást szerezne róla?

Ilyen és ehhez hasonló incidensek gyakran, rosszabb esetben folyamatosan megtörténnek, de az áldozatul esett célrendszeren legtöbbször nem is észlelik a behatolást, illetve a folyamatos benttartózkodást.

Az etikus hackelés lényegében nem más, mint egy éles hackertámadás szimulációja. Szakértőink mindazon tudással és eszközkészlettel rendelkeznek, amelyet az esetleges támadók is felhasználhatnak valós és rosszindulatú betörési kísérleteik végrehajtásához. Számos károsult által feltárt esettel találkozhatunk a sajtót figyelemmel követve, hiszen hasonló esetek egyre nagyobb számban fordulnak elő.

Csapatunk etikus hackerei informatikai biztonságra specializálódott szakértők, akiket az informatikai rendszerek tulajdonosai, cégek vezetői kérnek fel arra, hogy támadást szimuláljanak saját rendszereik ellen, feltárva ezzel annak esetleges gyenge pontjait.

Projektjeink gyakran a megrendelőink számára is sokkoló eredménnyel zárulnak. Éppen ezért szolgáltatásunk nem csak a behatolás-tesztelésre korlátozódik, hanem – igény esetén – a feltárt biztonsági rések megszüntetésében is aktívan részt vállalhatunk. Szükség esetén a fejlesztés vagy az újrafejlesztés (refactoring) biztonságcentrikus specifikálásának fázisában is támogatjuk ügyfeleinket.

Etikus hackelés – ahogyan csináljuk

Vizsgálataink során valódi hackertámadást szimulálunk támadó célú hackerek fejével gondolkozva, hasonló eszközöket és taktikai elemeket használva. Ennek során hierarchikusan haladva felmérjük a rendszer biztonsági szintjét, és hogy mik azok az információk, amelyekhez egy esetleges támadó is hozzáférhet.

Első lépésként képet alkotunk arról, hogy mi az, ami a cégből „kívülről”, egy hacker szemével látszik, majd feltérképezzük megrendelőnk technológiai megoldásait, feltárjuk a meglévő biztonsági kockázatokat és fenyegetettségeket.

A publikált és dokumentált sérülékenységek vizsgálatán túl különös hangsúlyt fektetünk az emberi hanyagságból és a szükséges rendszerfrissítések elmaradásából folyamatosan keletkező biztonsági résekre, valamint az egyedi fejlesztések és megoldások vizsgálataira.

Megrendelőink részére a projekt végeztével a következő eredménytermékeket adjuk át:

  • Intézkedési tervjavaslat, amely priorizált formában tartalmazza a biztonsági rések felszámolása érdekében végrehajtandó teendőket
  • Vezetői összefoglaló, amely nem-technikai nyelvezetben fogalmazza meg felmerülő kockázatokat és foglalja össze a feltárások eredményeit
  • Technikai összefoglaló a konkrét biztonsági rések kiterjedtségéről és azok jellegéről, rendszergazdák, illetve fejlesztők részére
  • Részletes, tételesített jelentés a vizsgálat során feltárt sérülékenységekről

Elsődleges célunk nem az, hogy találjunk egy olyan biztonsági rést, amelyen keresztül kompromittálhatjuk a rendszert. Számunkra a legfontosabb, hogy lehetőleg az összes gyenge pontot felderítsük, dokumentáljuk, és javaslatokat tegyünk ezek kiküszöbölésére.

Munkánk során maximálisan törekszünk arra, hogy a vizsgált informatikai rendszer ne károsodjon, illetve az aktuális rendelkezésre állási szintek ne sérüljenek.

Külső sérülékenységvizsgálat, távolról végezhető hibakeresés

A sérülékenységvizsgálat első fázisa – melyet minden fizikai telephellyel rendelkező vállalatnak ajánlunk – arról szól, hogy megismerjük a róla fellelhető információkat. Ide tartozik minden nem-technikai és technikai információ is, amelyet ügyfelünk publikált, valamint azok az adatok is, amelyek tudta nélkül szándékosan vagy gondatlanságból kerültek napvilágra.

A külső vizsgálat elsősorban annak felderítésére fekteti a hangsúlyt, hogy egy esetleges kívülről befelé irányuló támadást a rendszer mely pontjain és milyen módszerekkel lehetne sikerrel kivitelezni pusztán a publikusan fellelhető információk birtokában. Gyakran előfordul, hogy egy ártalmatlannak hitt webes felület elegendő támadási lehetőséget biztosít arra, hogy érzékeny adatok tárolására használt szerverekhez vagy akár a teljes belső hálózathoz konzolos hozzáférést nyerjünk.

Egymásba fonódó folyamatok sokaságára van szükség ahhoz, hogy a végeredmény minden részletre kiterjedő és megbízható forrás lehessen, ezért az általános és technikai információgyűjtésen túl feltérképezzük a telepített hardver- és szoftverelemeket, az elérhető szolgáltatásokat, a hálózati forgalmat, a későbbi fázisokban pedig célszoftverek segítségével automatizált sérülékenységvizsgálatot hajtunk végre. Számos olyan hibalehetőség állhat fenn, melyet csak manuális vizsgálatok segítségével lehet kitakarni – jogosultságok, hozzáférés-kontroll, session-ök és státuszkezelés, még nem publikált sérülékenységek – de számunkra épp az ilyen hibák feltárása jelenti a legizgalmasabb és leginkább várt feladatot!

Belső sérülékenységvizsgálat és irodai vezeték nélküli hálózatok

Statisztikai adatok alapján a legnagyobb károkat okozó támadásokért részben vagy egészben a vállalatok saját alkalmazottai tehetők felelőssé, akik jellemzően a jogosultsági rendszer kijátszásával igyekeznek illetéktelenül hozzáférni bizalmas adatokhoz, ezek birtoklásától pedig valamilyen ellensúlyozást remélnek nyerni az őket ért vélt vagy valós sérelmekért. Céljuk nem feltétlenül a szándékos károkozás, olykor a kíváncsiság elegendő motiváló erő, hiszen az információ tudás, a tudás pedig hatalom.

Belső sérülékenységvizsgálatot mindazon vállalatoknak ajánlunk, akik hálózatukon vagy intranetes portáljaikon érzékeny adatokat tárolnak, és nem szeretnék ha ezekhez egyes munkatársak rájukszabott szerepkörükön túl hozzáférhetnének.

A vezeték nélküli hálózatok vizsgálata a belső vizsgálathoz szorosan kapcsolódik, hiszen a vezeték nélküli csatlakozási pontok is a belső hálózatok részét képezik, ráadásul az iroda területén túlmutatva, azon kívül is lefedettséget biztosíthatnak. Amennyiben egy támadó sikeresen csatlakozik a vállalat vezeték nélküli hálózatára, bármilyen tartalomhoz hozzáférhet az alapvető jogosultságokkal rendelkező legitim felhasználókhoz hasonlóan, ezt követően hálózati forgalmat hallgathat le, közbeékelődéses támadással célzottan juthat információkhoz, vagy valamely sérülékenységet kihasználva tetszőleges eszközre belépve emelheti szintről szintre jogosultsági körét anélkül, hogy bárki behatolóként azonosíthatná őt.

A belső sérülékenységvizsgálat ügyfelünk telephelyén közvetlen fizikai kapcsolódással történik, melynek során feltérképezzük a helyi hálózati szolgáltatásokat és azok kitettségét az egyes szerepkörök (vendég, illetve vállalati felhasználó) függvényében.

Komplex webes alkalmazások sérülékenységvizsgálata

Egyedileg fejlesztett alkalmazások esetén különösen nagy gondot kell fordítani arra, hogy az átadott paraméterek megfelelő szűréseken essenek át feldolgozás előtt, a munkamenet-azonosítók ne legyenek előre megjósolhatóak, valamint hogy a beviteli mezők ne szolgáltassanak külön támadási felületet. Bármilyen szokatlan is belegondolni, ilyen és ehhez hasonló típushibák a széles körben elterjedt webes alkalmazásokban is (portálok, webshopok, ügyfélkapuk, mérőóraállás-bejelentő felületek stb.) ugyanúgy előfordulhatnak, és adott esetben ügyfelek széles körét érinthetik, az általuk kezelt adatok pedig rendkívül érzékenyek lehetnek.

A komplex webes alkalmazások vizsgálatára tehát különös figyelmet fordítunk, hiszen ezek a felületek jelentik a kaput a külvilág és a bizalmas, vállalati és/vagy személyes adatok között.

A Gartner piackutató cég adatai szerint az összes rosszindulatú hackertámadás 75%-a a komplex webes alkalmazásokat éri, ami nem is csoda, hiszen sokszor maguk az érintett vállalatok tesznek közzé magukról – kellő körültekintés hiányában – olyan információkat feleslegesen, amelyekkel mintegy magukra irányítják a figyelmet, és paradicsomként szolgálnak a rosszindulatú támadók számára.

A vizsgálat során szakértőink automatizált és kézi vizsgálatok együttes alkalmazásával ellenőrzik a webes alkalmazást, valamint annak környezetét és a közegével együttesen alkotott biztonsági szintjét, hogy lehetőleg az összes beavatkozást igénylő biztonsági rés feltárásra kerülhessen.

Social Engineering

A vállalati információk kiszivárgásának egyik legkomolyabb veszélyforrása nyilvánvalóan az emberi tényező. Social Engineeringgel vizsgálataink során nem a hardveres vagy szoftveres infrastruktúrához köthető hibákra fókuszálunk, hanem célzottan az emberi természet gyengeségeit használjuk ki a kiszemelt információ megszerzésére.

A szervezeti felépítésben különféle szerepkörökre (pl. ügyfélszolgálati munkatárs) specifikusan előre megtervezett támadásprofilokkal a biztonságosnak hitt rendszerek is közvetlenül hozzáférhetővé válnak, hiszen a felhasználók saját hiszékenységük révén önként fedhetik fel a támadónak az elérési utakat és jelszavakat.

Social Engineering alá soroljuk az olyan egyszerű ellenőrzéseket is, mint a mint tiszta asztal – tiszta képernyő szabályainak betartása, vagy hogy hogyan reagálnak a felhasználók napjaink legdivatosabb humántámadási módszereire: a beugrató emailre vagy vállalati szöveges üzenetküldő szolgáltatáson keresztüli támadásokra.