Bevezetés

Személyes adatok, banktitkok, egészségügyi és pénzügyi adatok, kutatási eredmények: mind-mind bizalmas információk, melyek tárolása napjainkban elektronikus formában, számítógépes rendszerekben történik. Ennek köszönhetően érhetjük el őket a világon bárhol, bármikor. Azonban a számítógép nyújtotta kényelem nem jár mindenféle következmények nélkül: szinte a számítógépek megjelenésével egy időben jelentek meg azok a bűnözők, akik ezen eszközök felhasználásával próbálták elérni azt, amihez addig feszítővas és símaszk kellett.

Ahogy a pénztárcánkat sem hagyjuk kint az ajtó előtt, hogy bárki belenyúlhasson, úgy a számítógépes rendszereinket is védeni kell. Egy jól megtervezett, kellő alapossággal implementált rendszerbe nem tudnak bejutni a hackerek – legalábbis sokan így gondolják. A gyakorlat azonban mást mutat, a jól kigondoltnak, precízen kialakítottnak hitt rendszerekben is találni hibákat. Emiatt szükséges a számítógépes rendszerünket átvizsgáltatjuk egy független szakértőkből álló csoporttal.

Itt kerülnek a képbe az etikus hackerek. Ők egy teljesen más szemlélettel vizsgálják a rendszereket, mint akik megtervezték azokat. Míg utóbbiak általában defenzív oldalról közelítik meg a biztonság kérdéskörét, az etikus hackerek egy támadó szemszögéből vizsgálódnak, ugyanazokat az eszközöket, módszereket használják, mint a számítógépes bűnözők. Ennek köszönhetően egy ilyen vizsgálat olyan hiányosságokat is feltárhat, amikre addig nem is gondoltak az üzemeltetők, fejlesztők.

De hogyan is dolgoznak ezek a szakemberek? Egy behatolásteszt lépései többféle módon is csoportosíthatók, a szerint, hogy a tesztet végzők milyen előzetes információkkal rendelkeznek a rendszerről, honnan végzik a teszteket, illetve, hogy tulajdonképpen mi is az, amit vizsgálnak. A vizsgálatok megkezdése előtt nagyon fontos ezen kérdések megbeszélése, a vizsgálatok hatókörének tisztázása. Természetesen ha egy átfogó képet szeretnénk kapni a számítógépes rendszerünkről, a vizsgálat minden részét el kell végeztetni. Mivel a leggyengébb láncszem elve itt is érvényesül, ezt érdemes is megtenni.

A vizsgálatok kiindulási pontja

Attól függően, hogy a vizsgálatokat az internet felől, vagy az Ügyfél rendszerén belülről végezzük, megkülönböztetünk úgynevezett külső, illetve belső teszteket.

A külső teszt során előzetesen csak azokhoz az információkhoz férünk hozzá, amelyek publikusan, az interneten keresztül elérhetők.Ezzel egy külső támadó munkásságát szimuláljuk.

A második esetben egy, a hálózatban erre a célra elhelyezett gépről tevékenykedünk, ezzel egy belső támadást szimulálunk. Sokan gondolják, hogy elegendő csupán a külső tesztet elvégezni, elvégre, ha kívülről senki nem juthat be, akkor nem beszélhetünk belső támadókról. Ez egy téves gondolatmenet, hiszen a támadó lehet akár egy rosszindulatú alkalmazott, vagy egy más hálózatokon is használt számítógépre (pl. céges laptop) települt trójai.

Előzetesen ismert információk

Attól függően, hogy az etikus hackerek milyen előzetes információkkal rendelkeznek a rendszerről, megkülönböztetünk blackbox, greybox, illetve whitebox teszteket.

- Blackbox teszt során minimális információval rendelkezünk (pl. egy IP-cím, vagy tartomány). Ez tulajdonképpen megegyezik azzal, amit egy külső, általában internet felől jövő támadó tud.

- Greybox tesztek során megkapunk bizonyos információkat a rendszerről (pl. használt operációs rendszerek, egyéb szoftverek, ezek verziószámai, stb.), illetve hozzáférést kapunk a vizsgált alkalmazásokhoz (pl. egy felhasználói szintű account a weboldalhoz).

- Whitebox vizsgálatok során minden információ a hackerek rendelkezésére áll. Ebbe beletartoznak pl. a rendszertervek, belső dokumentációk, forráskódok, konfigurációk. A rendelkezésre álló adatmennyiség miatt ezen tesztek több időt vesznek igénybe, azonban a vizsgálati eredmények is sokkal részletesebbek, átfogóbbak lesznek.

A vizsgálatok célpontjai

Vizsgálataink egyik fontos célpontja maga a számítógépes hálózat, az azon közlekedő adatok, illetve az azon keresztül kommunikáló alkalmazások. Ezen teszt során különböző szoftvereszközökkel vizsgáljuk, hogy milyen alkalmazások küldenek, fogadnak adatokat a hálózaton keresztül. Vizsgáljuk továbbá, hogy az ezen alkalmazások által fogadott, küldött adatok megfelelően titkosítva vannak-e.

A hálózati tesztek egy speciális pontját képezik a vezetéknélküli hálózatok. Természetükből adódóan ezek sokkal kevésbé védettek a különböző lehallgatások, a hálózaton közlekedő adatok lehallgatása ellen. Ezen hálózatokon keresztül gyakran hozzá lehet férni egy szervezet belső hálózatához, ezért különösen fontos, hogy a különböző vezetéknélküli hálózatok megfelelően védve legyenek.

Manapság már minden szervezet rendelkezik weblappal. Ez az a felület, amivel a szervezet ügyfelei nap mint nap találkoznak, ez a szervezet "arca". Mivel a weboldal az interneten keresztül bárki számára elérhető, gyakran jelenti a célpontját a rosszindulatú hackereknek. A mai világ honlapjai már nem azok a statikus tartalom megjelenítésére való oldalak, mint jó pár évvel ezelőtt. Tele van a web dinamikus tartalmakkal, interakció van a felhasználó és az oldal között. Ennek a megvalósításához rengetegféle módszert, eszközt használnak. Ebből adódóan a mai weblapok rendkívül összetettek - és ez az összetettség rendkívül sok hibaforrást von magával. Ezért különösen fontos a webalkalmazások körültekintő tesztelése.

A felhasználói alkalmazások megvizsgálása is szükséges, hiszen ezek gyakran férnek hozzá a szervezet szerverein lévő adatbázisokhoz, szolgáltatásokhoz. Amennyiben ezek alkalmazások nem megfelelően vannak megírva, akár az egész rendszert kompromittálni lehet rajtuk keresztül.

Hardening vizsgálatok

Hardening vizsgálataink magukba foglalják a rendszerkomponensek konfigurációinak, frissítési szintjeinek vizsgálatát. Az operációs rendszerek, routerek, tűzfalak, adatbázisszerverek beállításainak vizsgálata fontos, hiszen egy nem megfelelő konfiguráció felesleges veszélynek teheti ki az egész rendszert. Talán még ennél is fontosabb, hogy a használt alkalmazások biztonsági frissítései rendben legyenek, hiszen egy-egy kritikus hiba akár az egész rendszer kompromittálását is okozhatja!

Ezen vizsgálatok során átfogó képet kapunk a számítógépes rendszer architektúrájáról, javaslatok, megjegyzéseket teszünk a kialakítással kapcsolatban.