Ki gondolná, hogy a betörés és adatlopás legális, sőt etikus tett is lehet? Jogosnak tűnhet a kérdés: vajon mitől etikus cselekedet a hacking, amiről eddig úgy tudtuk, hogy szigorúan büntetendő cselekmény? A hacking ugyanis nem más, mint adatlopás, számítógépes rendszerekbe való illetéktelen behatolás és más hasonló illetlenség. Etikus legfeljebb csak akkor lehet, ha mindez valaki megbízásából, az ő érdekében történik.
Pár évvel ezelőtt néhány hacker azzal szerzett magának hírnevet, hogy tudásukat felhasználva feltárták "áldozataik" informatikai rendszerének sebezhetőségeit, biztonsági réseit, és ezzel szép pénzt kerestek, egyúttal megalkották a meglehetősen önellentmondásos etikus hacking (azaz etikus önbetörés) fogalmát.
Tehát amit az etikus hacker csinál, teljesen legális, a megbízó javát szolgálja, sőt, az informatikai biztonsággal foglalkozó cégek immár szolgáltatásként kínálják az etikus hackinget. Módszerük ugyanaz, mint az "igazi" hackereké: egy email cím vagy domain név ismeretében az interneten keresztül kitartó munkával becserkészik a rendszer gyengeségeit, biztonsági réseit, természetesen gondosan ügyelve arra, hogy még véletlenül se okozzanak kárt a megbízójuknak. A tesztek eredményeit összefoglalják, és javaslatot dolgoznak ki az információbiztonság megerősítésére.
Ezek a tesztek segítenek kideríteni például, hogy mely elemek (triviális esetben vírusirtó, tűzfal) hiányoznak a biztonsági rendszerből, vagy ha ezek megvannak, nincs-e gond a biztonsági beállításokkal. Gond lehet azzal is, ha a biztonsági szoftverek elavultak, például rég lejárt adatbázisokkal futnak a spyware-irtó alkalmazások vagy a vírusellenőrző programok. Komolyabb cégeknél van vállalati adatbiztonsági koncepció - ha nincs, nagyobb az esélye a biztonsági rendszer feltörésének, kijátszásának.
A módszer része általában az úgynevezett fekete doboz (Black Box) teszt, amelynek alkalmazása esetén kezdetben semmilyen információ nem áll rendelkezésre a vizsgált rendszerről, csak egy IP cím. Ezen keresztül kell megindítani a támadást, behatolni a rendszerbe, és megkaparintani a cég számára fontos adatokat. A védelmi rendszerek feltöréséhez, esetleg megkerüléséhez jól kihasználhatók egyes elterjedt programok - például a böngészők, mint az Internet Explorer vagy a Firefox - biztonsági rései, amelyekből mindig felbukkan egy-egy újabb, hiába adnak ki rendszeresen ezekhez a programokhoz biztonsági frissítéseket. A különféle hardvereszközök is belépési pontként szolgálhatnak az internetről érkező támadók számára, ezeket is vizsgálni kell a teszt során.
Más módszert alkalmaznak a fehér doboz (White Box) teszt során, amennyiben itt úgy indítják el a vizsgálatot, hogy előtte feltérképezik a teljes informatikai infrastruktúrát.
Legyen szó fekete vagy fehér dobozos módszerről, a cél ugyanaz: fényt deríteni arra, hogy miként reagál a vállalat védelmi rendszere a betörésekre, hogy egyáltalán reagál-e, vagy esetleg észre sem veszi. Eközben mindent precízen dokumentálnak, hogy elkerüljék a későbbi vitákat, reklamációkat, valamint szakvéleményben rögzítik a tesztben feltárt hiányosságokra vonatkozó megállapításokat. Az etikus hackingtől többek között elvárjuk, hogy feltárja a vállalaton belüli adatkezelés hiányosságait, beleértve az adatokhoz való hozzáféréssel kapcsolatos jogosultságokat. A szerverek is kedvelt célpontjai a külső támadásoknak, tehát az etikus hackingnek választ kell adnia arra is, hogy mennyiben veszélyeztetik a vállalati szervereket például a "népszerű" Denial of Service (DoS) támadások, vagy ami még rosszabb: megkaparinthatják-e a szerverek fölötti irányítást.
Számos eszköz létezik, amelyek segítségével az informatikai biztonság iránt érdeklődő szakemberek hasznosabbá tehetik magukat ezen a téren, elmélyíthetik tudásukat. Az interneten bőven akadnak ingyenes és fizetős szoftverek, némelyiket évek óta növekvő számban használják a sérülékenységek felderítésére. Ezek közül érdemes megemlíteni a Nessus hálózati sérülékenység szkennert, a SARA hálózatbiztonsági elemzőeszközt vagy a John The Ripper nevű jelszótörőt, amelyek ingyenesek, valamint a kereskedelmi termékként kapható CyberCop Scanner biztonságellenőrző szkennert, amely immár a Symantec portfolióját gazdagítja, valamint a Computer Associates által forgalmazott eTrust termékcsaládot.
Két nagy információbiztonsági céget már említettünk (Symantec, CA), és folytathatnánk a sort további óriáscégekkel, például az IBM-mel vagy a Microsofttal, amelyek szintén különféle megoldásokkal segítik az etikus hackinget, de érdemes szólni röviden a hazai megoldásokról is. A Kürt Zrt. (pontosabban leánycége, a Kürt Akadémia) például rendszeresen indít etikus hacking tanfolyamokat, melyeken az IT-szakemberek megtanulják, hogyan szállhatnak szembe hatékonyabban a legújabb biztonsági fenyegetésekkel. Hasonló tanfolyamokat szervez a NetAkademia is. A számtalan hazai IT-biztonsági cég közül szolgáltatásként kínálja az etikus hackinget például a Proyet Consulting Szolgáltató Kft., a Rent-a-Hacker nevű vállalkozás és még további 500 cég (de lehet, hogy csak 400).
Hackelésre fel tehát!
Hasznos linkek:
Network Mapper
Timberline Technologies
The Ethical Hacker Network
