ŠTA JE ETIČKO HAKOVANJE? KO SU ETIČKI HAKERI?


Etičko hakovanje postalo je integralni deo industrije informacionih tehnologija.
Danas je uobičajena praksa mnogih kompanija, unajmljivanje ili formiranje timova etičkih hakera.

Etički hakeri (engl. ethical hackers) su eksperti u oblasti informacionih tehnologija, koji se bave ispitivanjem sigurnosti računarskih sistema.
Termin koji se najčešće koristi da opiše etičkog hakera jeste "white hat hacker".
Ovaj termin vodi poreklo iz vestern filmova gde "dobri momci" nose bele šešire, a "loši momci" crne.
Termin "etički hakeri" opisuje hakere koji pokušavaju da oštete, izmene, prikriju,ili na drugi način učine neupotrebljivim računarski program, ne bi li pomogli vlasnicima programa da postanu svesni nezaštićenosti svojih podataka i sigurnosnih propusta.


Kada klijent želi da zaštiti sistem, pre toga potrebno je odgovoriti na neka ključna pitanja:



Proces penetracionog testiranja uključuje sledeće ključne faze:


strategy1

PLANIRANJE

question (1)2

PRIKUPLJANJE INFORMACIJA

problem3

PRONALAŽENJE RANJIVOSTI

medical-report (1)4

IZVEŠTAJI


Ispitivanje mogućnosti proboja (engl.penetration testing) - jeste metod ocenjivanja i provere sigurnosti računarskih mreža simulacijom napada koji bi obavio zlonamerni haker. Obuhvata aktivnu analizu u pogledu slabosti, tehničkih nedostataka i ranjivosti sistema.

Analiza se izvodi iz pozicije potencijalnog napadača - osoba koja obavlja ispitivanje sebe smešta u poziciju napadača i pokušava da prodre u mrežu i na taj način otkrije ranjivost.

Sve što se otkrije tokom ove analize, izlaže se vlasnicima sistema i zajedno sa njima dolazi do zaključka koliku bi štetu donelo otkrivanje pronađenih informacija, i koje su najbolje mere zaštite koje treba preuzeti da se podaci sačuvaju.
PENETRATION TESTING

“Penetration testing” ili “pentest” je metod procene sigurnosti kompjuterskog sistema ili mreže simuliranjem napada od strane
zlonamernih korisnika bez  ovlašćenog sredstva pristupa sistemima organizacije i zlonamernih insajdera sa određenim stepenom pristupa sistemu.

Proces podrazumeva aktivnu analizu sistema zbog eventualnih propusta koji bi mogli proizaći iz siromašnih ili nepravilnih konfiguracija sistema, poznatih i nepoznatih hardverskih ili softverskih nedostataka.Ova analiza
se vrši sa pozicije potencijalnog napadača.

Usluge koje nudimo a u okviru oblasti pentest-a, obuhvataju veliki opseg, od jednostavnog skeniranja IP adresa, organizacije za otvorenim portovima i identifikacije banera do pune revizije izvornog koda aplikacije.




Svi naši operateri i programeri su seniori sa visokim stepenom primenjenog znanja u oblastima

  • Internet bezbednosti, lokalno i svetski priznati
  • TCP/IP
  • Solaris/Linux/Unix/Windows, instalacija/administracija/*hardening
  • Detekcija upada, Firewall, aplikacijski Firewall
  • C/C++/C#/BASIC/PHP/JAVA/PYTHON
  • Primena i analiza logova i korelacija
  • Analiza nakon napada (Forenzika)
  • Etičko hakovanje (Appscan, Coreimpact, Canvas, NGSSquirrel, Aircrack, Metasploit, ISS, Nessus, Retina, Qualys)
  • Dobro poznavanje ISECOM Open Source Security Testing metodologije
  • Pentest ( razvojno eksploatisanje, manuelno testiranje)
  • Pentest TCP/IP napredno: spoofing (Level 2 ARP, IP, nivo aplikacija), DNS cache poisoning, Man in the Middle, VPN tunneling, dynamic routing protocol forging, packet forging, Crypto protocol downgrading
  • Pentest testiranje kompleksnih aplikacija (Web, DB, framework)
  • Dobro poznavanje RDBMS (Oracle, Mysql, Microsoft SQL, Access)
  • Dobro poznavanje assembly x86, obrnuti inženjering

KARAKTERISTIKE I USLOVI RADA

Etički hakeri pre svega treba da budu osobe od poverenja.

Važno je iskustvo hakera u radu sa računarima i računarskim mrežama, iskustvo u programiranju, kao i poznavanje rada na različitim operativnim sistemima.

U nastojanju da reše problem upadanja u sisteme, pravne ustanove su došle do zaključka da je najbolje prethodno proveriti opasnost da se tako nešto desi, tako što će angažovati eksperta iz oblasti računarstva koji će to da uradi za njih.

Tokom provere sigurnosti računarskih sistema, etički hakeri koriste iste tehnike i metode kao i potencijalni napadači, ali za razliku od njih ne koriste podatke koje prilikom napada otkriju, već procenjuju sigurnost sistema i izveštavaju vlasnika o otkrivenim propustima.

Etički hakeri zatim savetuju vlasnike šta treba da promene da bi sistem bio bezbedniji.

NDRUZ

Oblast interesovanja
Ime i prezime (obavezno)
Email adresa (obavezno)
Broj telefona (obavezno)
Kompanija/Firma
Poruka

 


Da bismo vašoj firmi ili pojedincu ponudili najbolju zaštitu prvo moramo steći vaše poverenje testiranjem i otkrivanjem ranjivosti vaših sistema.

Potrebno je sastaviti ugovor između klijenta i etičkog hakera.

Taj ugovor štiti etičke hakere od krivičnog gonjenja, pošto aktivnosti koje oni objavljuju pri proceni sigurnosti mogu biti nelegalne u većini zemalja.

Ugovor treba da sadrži precizan opis ispitivanja, u obliku mrežnih adresa ili pristupnih brojeva modema sistema koje treba ispitivati.