Honnan veszi a hacker az eszközeit?
Az etikus hackelés fogalma szerencsére elég elterjedt már a köztudatban, egyre többen tudják, hogy az etikus hacker...
Az etikus hackelés fogalma szerencsére elég elterjedt már a köztudatban, egyre többen tudják, hogy az etikus hacker valójában egy biztonsági szakember, aki vállalatok megbízásából informatikai törésteszteket hajt végre, a vállalat pedig, az eredmények ismeretében, erősíthet biztonsági rendszerén. Aki látott már ilyen szakembert munka közben (vagy akár a moziban), azt is tudhatja, hogy az ilyen szakember különféle „varázsszerszámokkal” dolgozik, hálózati behatolási lehetőségeket tár fel, jelszavak erősségét ellenőrzi jelszótörő programokkal, gyenge pontokat keres.
De honnan származnak a hacker eszközei? Kik azok, akik képesek elkészíteni ezt az eszközkészletet, a hackerarzenált? Kik találják fel az újabb és újabb trükkös csodafegyvereket? Vannak vajon ilyen szakemberek a jó oldalon is? Igen, vannak. Míg ugyanis a már említett az etikus hacker feladata, hogy ismert eszközökkel megkeresse az ismert biztonsági réseket, addig a behatolás tesztelő (Penetration Tester) dolga, hogy ugyanezt a feladatot még nem ismert biztonsági rések felkutatásával, és nem létező, vadonatúj eszközök létrehozásával emelje, ha lehet, még magasabb szintre.
Az április 29-én Budapesten megrendezésre kerülő Ethical Hacking konferencián több olyan előadás is lesz, amelyik a Penetration Testerek világába kalauzolja el a hallgatókat, olyan izgalmas kérdésekre adva választ, mint „Hogyan lehet új, a szakirodalomban Zero Daynak (nullanapos) nevezett biztonsági rést felfedezni?” „Van-e erre egyáltalán lehetőség? És ha igen, milyen tudás kell ehhez?” „Vannak-e a hibakeresésnek is eszközei, vagy esetleg puszta kézzel masszírozzák ilyenkor a biteket?”
Zsíros Péter hangzatos „Penetration Testing Live, avagy vakrepülés a neten át” című előadásában nyomon követhetjük, hogyan lehet bejutni az internetről a vállalati tűzfalon át egy nem ismert FTP-szerver sosem látott, még fel sem talált sérülékenységét kihasználva a belső számítógépekre, átvéve az uralmat a teljes hálózat felett. Az eljárás során képet kaphatunk a hibakeresés automatizálásának lehetőségeiről (úgynevezett Fuzzerek használatával), amely tehermentesíti a tesztelőt a fáradságos bitkergetéstől, és a folyamat legmechanikusabb lépéseit teljesen automatizálhatóvá teszi.
A konferencia részletes programja itt érhető el.