Röviden: Ti milyen érdeklődő kérdéseket tennétek fel hackereknek?
Arról lenne szó így "névtelenül" (gyík db-je tárolja az email, tehát azért nem 100% névtelen :D) hogy milyen szakmai kérdéseket tennétek fel érdeklődés jelleggel valós etikus hackereknek?
Terv az, hogy vlog-ot indítsunk én és barátaimmal (ők is szintúgy hackerek), hogy bizonyos tévhiteket megszüntessünk, miért derül ki a jelszó, mi az ami legtöbbeknek mágiának tűnik.
Az a gond, hogy mi nem tudjuk, hogy a fejlesztők vagy az IT-tól távol álló emberek, hogyan viszonyulnak e témához. Mire kíváncsiak, stb. Mivel mi ebben élünk már X ideje.
Így segítségetek felé fordulok, és remélem lesz értelmes kérdés is, nem csak trollkodás. Nyilván ki lesz szűrve az értelmetlen kérdés. Mint pl.:
- ezt, hogy kell feltörni
- hogy kell a vírusirtót kikerülni
- facebook feltörés
- hogy tudom le ddos-olni a másikat.
- stb...
Ezek illegális tevékenységek, így ezeket nyilván nem. Vagyis, de a jövőben bizonyos keretek között, de ott majd úgy is meglesz a figyelmeztetés, hogy ne próbáld ki idegen rendszeren, mert úgy jársz mint a Telekomos. 8év hűvös.
Tehát meg van annak a kerete is, hogy mit tehetsz meg és mit nem.
Itt inkább olyasmi lehet a gond, hogy a kérdésről vagy már a kérdezni akaró is tudja, hogy nagyon banális, vagy meg sem tudja fogalmazni, hogy mit akar kérdezni. Plusz az etikus hackerkedés eleve egy szürkezóna. Ha információt akartok kiadni, azt a nézőitek három dologra használhatják. Semmire (puszta tájékozódás), jóra (odafigyelnek, hogy ilyen támadási felületet ne hagyjanak magukon) vagy rosszra (ddosolnak, facebook fiókot törnek fel, stb.).
Így megpróbálom megadni a kezdőlökést:
Hogyan kezditek el?
A hackereket mindig azzal azonosítják, hogy valamiféle rejtett belépési pontot vagy biztonsági rést keresnek meg ahhoz a bizonyos feltöréshez. Ennek az egyik laikusok számára is nyilvánvaló módja, ha 'valahogy' rosszindulatú programot juttatnak a célrendszerbe, ami megnyit egy ilyen belépési lehetőséget, szóval ezt első körben tegyük félre.
Mint laikusnak az ilyen biztonsági rések és azok felfedezése nagyon absztrakt dolgok. Hogyan kezditek el megkeresni ezeket és hogyan fedezitek fel? Hogyan találnak utat a Sony belső hálózatába, hogy onnan milliónyi felhasználó adatait lopják el? Hogyan jönnek rá, milyen karaktersort kell elküldeni SMS-ben, hogy téglásítsanak egy iphone-t? Lehet általánosságban is, vagy ha ti találtatok már ilyet és a rés javítva van, akár konkrét példán át (természetesen meg nem nevezett céggel).
Ki kell, hogy emeljek pár mondatot és megcáfolni.
"Plusz az etikus hackerkedés eleve egy szürke zóna."
Ez nem így van. Kifejtem.
Ennyi erővel mondhatjuk azt is, hogy a konyhakés egy fegyver, és milyen dolog az, hogy majdnem minden boltban fegyvert árulnak. Mert kontextusában és valamihez való információhoz (jó, rosszhoz való) kötés befolyásolja a vélekedést.
Azért nem szürke zóna, mert 1) van rá jogi szabályzat, 2) ismert módszertannal dolgozik.
- Emlékszel a BKK 50Ft-os bérlet incidensre? Az adott gyereket okkal nem ítélték el.
- Illetve volt a Telekomos DNS által hibát talált másik emberre? Okkal kapott 8 évet.
Mert nem követte az etikus hacker magatartást, míg a BKK-s igen.
Továbbá Magyarországon a Magyar iparkamara mint olyan "Etikus Hacker" szakmát jegyzi is. Lásd itt: [link]
Továbbá létezik több féle nemzetközi vizsga is pl.: [link]
Van olyan is, ahol akár pénz is kereshetsz: BugBounty programok. Igaz, ez más mint egy sérülékenység vizsgálat. Pl. itt: [link]
Tehát végeredményben: Létező szakmáról beszélünk, és nem valami szürke zónáról.
"Semmire (puszta tájékozódás), jóra (odafigyelnek, hogy ilyen támadási felületet ne hagyjanak magukon) vagy rosszra (ddosolnak, facebook fiókot törnek fel, stb.)"
Semmire. Ez nem igaz. Olyan értelemben nem, mert ha már tájékozódik, akkor valamit tanul. Ha tanul valamit, beletudja venni a hétköznapjaiba. És! Van mai világban egy olyan probléma, hogy az embereknek a kibertudatosságuk béka segge alatt van. Már bocsánat. Tehát közvetve vagy közvetlenül figyelhet magára és saját biztonságára. Szerinted mennyien használnak 2 faktoros autentikációt, vagy egy olyan jelszót ami könnyedén kitalálható?
Jóra. Lásd fentiek.
Rosszra. Minden megszerzett tudást, bármire lehet használni. Legyen az asztalos, lakatos vagy valami szellemi munkát végző személy. Nem tudsz olyan szakmát megemlíteni, ahol a tudásával ne lehessen visszaélni. Így az általad említett lehetőségek mindenre igaz.
"'valahogy' rosszindulatú programot juttatnak a célrendszerbe"
Etikus hacker módszertanában, ez már nincs benne. Sőt ez TILOS is, túllépi a sérülékenységvizsgálatot és az etikusságot is.
Cyber Kill Chain: [link]
Etikus hacker már a 5-6-7 pontokat nem végzi el, így nyilván nem kerül terítékre. Mivel nem ismered e szakmát, így ezt nem tudhattad.
"A hackereket mindig azzal azonosítják, hogy valamiféle rejtett belépési pontot vagy biztonsági rést keresnek meg ahhoz a bizonyos feltöréshez."
Igen. Ez a sztereotípia. Egyfajta berögződés, ami az idő folyamán filmekben, Anonymous közösségből eredő tévhit.
De hasonló volt az IT-val is 5-10 évvel ezelőtt. Hogy: kockák, csak gép előtt űlnek. Most meg "mindenki" annak tanul.
UI.:
Megemlítés szintjén. Az Etikus hackerek örök vesztesek. Mert:
- nem lehet kimerítő teszteket csinálni, így kimerítő sérülékenységvizsgálatot se. Mihelyt kijön egy új verzió, már a vizsgált rendszer és a dokumentum MÁR nem lesz igaz és helyes. Új javítások és hibák jönnek be, tehát lehet az egészet előrről kezdeni
- nem lehet minden ember kibertudatosságát egy elégséges szintre emelni
Tehát ez egy macska-egér játék, és annyi etikus hacker nincs a világon, hogy behozzuk a biztonsági lemaradást. Már 2-3 hónapos gyorstalpaló fejlesztők kerülnek piacra, és így sincs elég belőlük. Szerinted milyen szoftveres online termékeket használunk nap mint nap? És nem csak ebből áll ez: ott az infrastruktúra, emberi tényező [lásd: üzemeltetők, tervezők, tesztelők], szoftveres hiba, és így tovább. Egy Etikus hackernek mindent figyelembe kell vennie. Továbbá agilis fejlesztések miatt 2-4 hetente jönnek az új releasek, és egy sérülékenységvizsgálat nem 1 hetes munka. Mindezek mellé valós körülményekben kell tesztelni, mert az emberek is azt használják. Tehát ha félre ütsz valamit és leáll a rendszer, az gond. Tehát nem elég, hogy hibát keresgélsz, hanem 100%ban biztos kell legyél abban, hogy mit csinálsz.
Akik egy kicsit távolabbról szemlélik a kérdéskört, szerintem sem a „mágiára” kíváncsiak. Erre egyrészt nem lehet egy vlog keretein belül választ adni, másrészt úgysem értenék meg a legtöbben.
Ha lehet a kérdéseket „irányítani”, és van az egészben valami olyasféle „küldetéstudat”, hogy a szakmailag kevésbé képzett, de nap mint nap ezeket az eszközöket/rendszereket használókat és azok személyes adatait nagyobb biztonságban lehessen tudni, akkor inkább az őket közvetlenül érintő témákra lehet érdemes rámenni, legalább is az elején mindenképpen. Pár példa:
- érdemes-e/szabad-e a biztonsági frissítéseket telepíteni (oprendszertől függetlenül)?
- mi az a határ egy-egy rendszerben ahol már elég biztonságos, de még nem bántóan használhatatlan?
- hogyan védjük az adatainkat akár a saját gépünkön, akár a felhőben?
- milyen technikákkal próbálják ezeket tőlük megszerezni, és hogyan lehet ezt észrevenni, hogy éppen valaki(k) át akarnak vágni?
- hogyan és hol lehet biztonságosan az interneten bankkártyát használni?
- milyen rendszereket, szoftvereket használ egy hacker (nem a munkájához, hanem a mindennapjaiban)?
Meg ilyesmik, szerintem aki nem érintett a szakmában, azt a technoblabla nem hatja meg, a fentiekre meg lehet számukra is hasznos és szakmailag is megalapozott válaszokat, tanácsokat, bevált „recepteket” adni anélkül, hogy ez megfeküdné a gyomrukat, vagy azonosítanák az egészet valami cyber sci-fi-vel.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!