NextiraOne: etikus hackelés

Takács Zsolt, 2003. július 10. 13:24
Az etikus hackelés egy jól körülhatárolt, a NextiraOne Kft. szakemberi által évek óta sikerrel gyakorolt szolgáltatás. A referenciák között bankok, mobilszolgáltatók, minisztériumok, multinacionális vállalatok szerepelnek.
A szolgáltatás lényege: a megrendelő igényei szerint a szakemberek megpróbálnak bejutni a cég informatikai rendszerébe. Az igények többfélék lehetnek: tudnak a támadás időpontjáról, így felkészülve valós időben figyelik az eseményeket; nem tudnak a támadás időpontjáról, így ellenőriztetik az informatikusaikat; hozzájárulnak DoS, FLOOD támadásokhoz, vagy sem...

Mivel ez a folyamat szerződés nélkül törvénybe ütközik, a megrendelővel kötött szerződésnek minden részletet tartalmaznia kell.

A NextiraOne Kft. első körben csak felméri a célhálózat belépési pontjait (tűzfalak, routerek). Ez a felmérés a szoftverrel végzett sérülékenységelemzés, aktív auditálás, ami több speciális célszoftverrel az informatikai erőforrásokon végzett sérülékenységelemzést jelent. A hibák jóindulatú feltérképezése, ezek kihasználhatóságának bizonyítása. A NextiraOne Kft. által használt sérülékenységelemző eszközök segítségével a vizsgálat kiterjed mind az informatikai erőforrások operációs rendszereire, mind a rajtuk futó szolgáltatásokra.

Az ezt követő értékelés eredményeként a NextiraOne megállapítja hardver- és szoftvererőforrások minőségét, feltárja a tervezett, a hiányzó és a rejtett szolgáltatásaikat, valamint az esetleges hibáikat.

Miután megtalálták a sérülékeny pontokat, következik azok kihasználása. Az etikus hackelés az aktív audit riportjaira épül. A riportok alapján lehet specifikus támadásokat végrehajtani, koncentrálni az adott verziójú operációs rendszer, tűzfalszoftver hibáira. Alapvető cél a lehető legtöbb információ megszerzése a rendszerről. A szakemberek tesztelik például a tűzfal szabályhalmazának helyességét, minden felesleges kommunikáció, port, szolgáltatás tiltva van-e? A tesztek részeként megpróbálnak trójai programokat bejuttatni a rendszerbe, ezzel többek között a vírusvédelmi rendszert is megvizsgálják. Az auditált rendszerben természetesen nem tesznek kárt, de a bejutás tényét bizonyítandó ott hagyják a kézjegyüket.

Nem csak az internet irányából hajtanak végre támadásokat, hanem a belső hálózatból is, ugyanis a valós támadások 80%-a itt történik. A belső hálózat felmérésekor teszteljik a szerverek szolgáltatásainak, operációs rendszereinek frissítettségét. Felmérik a szervezet biztonság politikájának valós alkalmazását.

Az általuk átadott szakvélemény nemcsak a hibákat tartalmazza, hanem konkrét megoldásokat is ajánl, illetve leírja a sérülékenységek kihasználásának folyamatát. Igény szerint ki is javítják a felfedezett hibákat.
Kulcsszavak: NextiraOne tűzfal security

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01