Етичното хакерство - що е то?
Редовно в нашето ежедневие чуваме новини, в които системите на дадени институции или частни фирми стават жертва на хакерски атаки. Хакерските атаки могат да варират от най-невинни закачки, до опити за кражба на лична информация, която хакерите да използват за лично облагодетелстване. С развитието на кибер сигурността възниква и нуждата от своевременното откриване на ахилесовите пети в уеб сайтове, потребителски платформи и прочее софтуер, в които потребителите боравят с лични данни.
Тук на помощ идва етичното хакерство
Най-общо казано етичното хакерство е процес на проникване в дадена система с цел откриване на нейните слаби места и тяхното отстраняване, като част от нейната разработка. Крайната цел е ясна - максимална сигурност за разработваните софтуерни системи, когато те стъпят на пазара.
Кой и как се занимава с етично хакерство?
Етичните хакери са специалисти по киберсигурността, които изпробват защитите на дадена система със стандартни хакерски инструменти (не, не става въпрос за комбинацията от "кози крак" и каменарски чук) като част от разработката на дадена система. В случая говорим за почти стандартни методи и приложения - от DDoS атаки, през използване на различни скенери за сигурност, като:
- w3af (web application attack and audit framework - скенер за сигурност при уеб приложенията, с отворен код);
- Nessus - друг популярен vulnerability скенер, който проверява за слаби места, които биха позволили дистанционен достъп или дори контрол от страна на недоброжелатели, мисконфигурация (като отворен Mail relay, липсващи пачове и прочее), употреба на външни инструменти (като Hydra, чрез която да бъде осъществена т.нар. "dictionary attack" спрямо паролите), DoS атаки срещу TCP/IP стековете, чрез употреба на повредени пакети и не на последно място - чрез PCI DSS* проверки;
- LOIC - (бук. Low Orbit Ion Cannon - препратка към фракцията GDI от поредицата игри Command & Conquer) - в контекста на етичното хакерство става въпрос за приложение с отворен код, предназначено за мрежови стрес-тестове и DoS атаки;
- Metasploit - a.k.a. "Metasploit Project" - проект свързан с компютърната сигурност, който осигурява информация относно слаби места в сигурността посредством "Pen-test"**, а също оказва помощ при т.нар. IDS Signature***.
Етичните хакери не са случайни хакери с благородни намерения, а са подготвени специалисти, със съответен сертификат и работят "на светло". Всяка една организация, която е свързана към глобалната мрежа и предоставя онлайн услуги би следвало регулярно да се подлага на pen-test-ове. Различни стандарти (като горепосочения PCI DSS например) изискват компаниите, които боравят с тях да провеждат ежегодни тестове за проникване, както от вътрешна, така и от външна перспектива, а също така и в случаите когато настъпват значителни промени в инфраструктурата на приложения-та. Множество големи компании (като например IBM) поддържат собствени екипи от етични хакери, докато в същото време съществуват отделни фирми, чиито услуги са в сферата на етичното хакерство.
Ако искате да придобиете умения в сферата на етичното хакерство, то курсът "Етично хакерство за начинаещи - април 2018" ви очаква! Запишете се, като кликнете ТУК!
---
*PCI DSS - Payment Card Industry Data Security Standard - стандарт при информационната сигурност за организации (институции или частни юридически лица), които боравят с кредитни карти от т.нар. "Голяма схема" - това са American Express, Diners Club, MasterCard (без значение дали говорим за Debit MasterCard или Maestro) и Visa (Visa Debit и Visa Electron)
**Pen-Test - съкратено от "Penetration Test" - симулация на атака върху компютърна система, търсеща слаби места в сигурността, които евентуално да дадат достъп на външни лица до базата данни на дадената система.
***IDS Signature - съкратено от "Intrusion detection system" - това е устройство или приложение, които наблюдават дадена мрежа и следят за зловредна активност или нарушение на правилата. Всяка засечена активност или нарушение се докладват на администратор или се събират централно, посредством система наречена security information and event management (SEIM).