SAP Global
SAP MAG 9, velja�a 2004.
Kontaktirajte SAP online ili
nazovite +(01)-4820-400
 
     
 

naslovnica | pošalji članak | ispis

Kontrolirani hacking u službi businessa

Hakeri ne moraju biti "loši momci".jer ih poslodavci mogu angažirati kako bi provjerili odolijevaju li njihovi IT sustavi vanjskim napadima

 

Piše: Robert Gelo

Etika i hacking na prvi pogled možda nisu spojivi, no činjenica je da se te dvije stvari preklapaju u vrlo konkretnoj djelatnosti – ispitivanju sigurnosti informatičkih sustava. Hakeri, naime, ne moraju nužno biti "loši momci". Poslodavci mogu unajmiti njihovo znanje i iskustvo kako bi na najbolji način provjerili kako njihovi IT sustavi odolijevaju vanjskim napadima.

Kada neka organizacija odluči angažirati hakere najvažnije je temeljito planirati projekt kako taj pokušaj ne bi završio lošim, čak štetnim rezultatom. Naime, vrlo je riskantno navesti nekog stručnjaka da pokuša ući na web poslužitelje ili u aplikacije. S druge strane ukoliko ga poslodavac angažira samo da izvijesti što je pronašao na kompanijskim poslužiteljima, takav napor i neće uroditi informacijama koje će bitno unaprijediti sigurnost IT sustava.

Određivanje jasnih ciljeva

Za početak je potrebno znati što poslodavac želi pronaći na kraju ovakvog neobičnog pothvata jer bez toga najvjerojatnije neće dobiti korisne rezultate. Zapravo je najvažnije znati staviti rezultate u kontekst poslovanja jer suhi podaci o broju "rupa" u sustavu sami za sebe ne znače gotovo ništa.

"Ako želite suhe brojke bilo tko može skenirati sustav i dati vam rezultate", potvrđuje Paul Klahn, direktor za usluge procjenjivanja u tvrtki FishNet.

Mnogo je važnije saznati koje od skeniranih "rupa" predstavljaju najveći sigurnosni rizik i koliko duboko hakeri mogu prodrijeti. Najvažnije je naime odlučiti koje "rupe" treba prvo "zakrpati". Tvrtka koja procjenjuje sigurnosne rizike zbog toga mora donijeti procjenu mogućih opasnosti i istovremeno preporučiti načine za obranu od vanjskih upada. Ta obrana potom mora ući u poslovni plan tvrtke.

Veliku sigurnosnu prijetnju donosi i sam način današnjeg on line poslovanja jer tvrtke dopustiti ulazak u IT sustave svojim partnerima, što ponekad može biti opasnije od zlonamjernog hackiranja

 

Ograničenja etičkog hackinga

Projekt etičkog hackiranja trebao bi biti tek dio opsežnog testiranja sigurnosti IT sustava koje uspoređuje način rada u kompaniji s najvišim standardima IT poslovanja. Hacking naime može donijeti tek jednodimenzionalnu snimku stanja IT sustava i sam po sebi ne može povećati razinu njegove sigurnosti. Primjerice ukoliko se promijeni konfiguracija IT sustava, hakerska snimka postat će gotovo beskorisna. Bez dublje analize nemoguće je predvidjeti opasnosti koje bi se mogle pojaviti u budućnosti.

Kako rade etički hakeri

Bivši etički haker u IBM-u Jim Goddard navodi četiri osnovna načina etičkog hackiranja.

  • IP Hack: angažiranje stručnjaka da pokuša probiti određenu IP adresu. Ovdje treba paziti na to da se hakeru da točna adresa kako ne bi pokušao neovlašteno provaliti primjerice u poslužitelj vladine institucije
  • Application Hack: ovo je mnogo složeniji način ulaza u baze podataka i poslužitelje neke tvrtke. Ovdje je preporučljivo angažirati isključivo vrlo iskusne hakere koji će raditi strogo prema zacrtanom planu.
  • Physical Infrastructure Hack: u ovom slučaju haker pokušava doći do povjerljivih podataka poput zaporki za ulaz u sustav
  • Wireless Hack: ovo je najnoviji način hackiranja koji se može izvesti doslovno s parkirališta ispred tvrtke koja ima instaliranu bežičnu mrežu. Etični hakeriu ovom slučaju prijavljuju "rupe" tvrtrki umjesto da odu s ukradenim zaporkama

"Takva snimka donosi tek uzak presjek IT okruženja koje se može promijeniti već slijedeću sekundu nakon dovršetka testiranja", kaže Albert Decker iz tvrtke EDS.

Američki informatički stručnjak CC Palmer u svom elaboratu o etičkom hackingu navodi da ovakav način testiranja donosi velik rizik naručitelju jer omogućava da haker kriminalac prati što radi etički haker i to poslije iskoristi za vlastiti upad u sustav. Štoviše, aktivnosti etičkog hakera mogu sakriti ono što radi kriminalni haker koji će, u tom slučaju, neopaženo i ekažnjeno upasti u sustav i načiniti eventualnu štetu. Zbog toga je potrebno uvesti sustav nadzora koji će potvrditi da se svi napadi izvode s računala etičkog hakera. Osim toga, upad kriminalnog hakera u ovom slučaju nije moguć bez dojave nekog od djelatnika tvrtke ili ISP-ja prekomkojeg se iszvode napadi. Palmer navodi šest konkretnih načina etičnog hackinga:

  • Remote network: ovaj način testiranja simulira upad preko Interneta. Ovdje je potrebno "srušiti" firewall, routere za filtriranje i web poslužitelje
  • Remote dial-up network: simulacija napada na ulazne modeme gdje se pokušava "srušiti" sustav autentifikacije korisnika. U ovom slučaju potrebno je koordinirati akciju s telekom operaterom
  • Local network: ovaj test simulira upad djelatnika ili druge ovlaštene osobe koja ima legalnu vezu s kompanijskim IT sustavom. U ovom slučaju meta su intranet firewall, interni web poslužitelji, sustavi sigurnosti na poslužiteljima i sustav e-pošte
  • Stolen laptop computer (ukradeni prijenosnik): u ovom slučaju simulira se upad preko ukradenog prijenosnog računala koje pripada nekome iz gornjeg sloja managementa. Računalo se pretražuje nebi li se pronašle zabilježene dial up zaporke te informacije o kompaniji i osoblju. S obzirom da zaporke u najvećem broju slučaja ostaju zabilježene, etički hakeri s lakoćom ulaze u kompanijski intranet
  • Social engineering: u ovom se slučaju ispituju mogućnosti "curenja" povjerljivih informacija od samih uposlenika. Tipično je da haker nazove službu za korisnike i upita za pozivni broj ulaznih modema ili da čak uđe u zgradu kompanije i pita gdje je soba s poslužiteljima. Jedini lijek protiv takvog "curenja" informacija je podizanje svijesti uposlenika o sigurnosti
  • Physical entry: ovdje se etički haker doslovno šulja po zgradi kompanije, često noseći u ruci papir s logotipom kompanije kako ne bi bio sumnjiv. Glavni je zadatak izbjeći zaštitarsku službu ili policijske djelatnike te sustav video nadzora

 

 
 

Copyright/Trademark  |  Privacy  |  Impressum