Egy kis önreklám:

Az etikus hekkelés fogalma szerencsére elég elterjedt már a köztudatban ahhoz, hogy önmagában egy újabb hír a témában ne szoruljon magyarázatra. Aki látott már ilyen szakembert munka közben (vagy akár a moziban ), tudja azt, is, hogy mindenféle “varázsszerszámokkal” dolgozik, hálózati behatolási lehetőségeket tár fel, jelszavak erősségét ellenőrzi jelszótörő programokkal, gyenge pontokat keres, egyszóval: informatikai töréstesztet hajt végre.

De honnan származnak a hekker szerszámai? Kik azok, akik ezt az eszközkészletet, a hackerarzenált képesek elkészíteni? Kik találják fel az újabb és újabb trükkös csodafegyvereket? Vannak vajon ilyen szakemberek a jó oldalon is? Igen, vannak. Míg az etikus hekker feladata, hogy ismert biztonsági rések meglétét ismert eszközökkel megkeresse – ami önmagában is szép kihívás, hiszen naponta jelennek meg új eszközök, amelyek működését el kell sajátítani - a behatolástesztelő (Penetration Tester) feladata az, hogy ugyanezt a feladatot még nem ismert biztonsági rések felkutatásával, és nem létező, vadonatúj eszközök létrehozásával emelje ha lehet, még magasabb szintre.

Az április 29-én Budapesten megrendezére kerülő Ethical Hacking konferencián több olyan előadás is lesz, amelyik már a Penetration Testerek világába kalauzol el minket. Hogyan lehet új, a szakirodalomban Zero Daynak (nullanapos) nevezett biztonsági rést felfedezni? Van-e erre egyáltalán lehetőség? És ha igen, milyen tudás kell ehhez? Vannak-e a hibakeresésnek is eszközei, vagy esetleg puszta kézzel masszírozzák ilyenkor a biteket?

Zsíros Péter hangzatos “Penetration Testing Live, avagy vakrepülés a neten át” című előadása során nyomon követhetjük, hogyan lehet bejutni az internetről a vállalati tűzfalon át egy nem ismert FTP-szerver sosem látott, még fel sem talált sérülékenységét kihasználva a belső számítógépekre, átvéve az uralmat a teljes hálózat felett. Az eljárás során képet kaphatunk a hibakeresés automatizálásának lehetőségeiről (úgynevezett Fuzzerek használatával), amely tehermentesíti a tesztelőt a fáradságos bitkergetéstől, és a folyamat legmechanikusabb lépéseit teljesen automatizálhatóvá teszi.

Ez persze nem jelenti azt, hogy ez a fajta biztonságteszt, az új hibák keresése és kihasználása ne lenne nagy szaktudást igénylő munka. Éppen hogy az. Hiszen az automatikusan feltárt bugok és lefagyások kihasználása, azokra épülő támadókód, úgynevezett exploit készítése már hatalmas informatikai tudást, a processzorok utsításkészletétől az operációs rendszer lelkivilágáig ívelő sokrétű ismeretet igénylő igazi mérnöki munka. Szerencsére Magyarország legalább ezen a területen élenjár, a nemzetközi élvonalhoz tartozó hazai szakembereink munkájába bárki betekintést nyerhet a konferencia egész napos programsorozata során.