Interjú Pap Gergővel, a Quadron etikus hackerével
A penteszt vagy sérülékenységvizsgálat során különböző informatikai infrastruktúrákban—mint például weblapok, levelezőrendszerek, és munkavállalók számítógépei—a lehető legtöbb sérülékenységet próbáljuk megtalálni, hogy aztán javítási javaslatokat tegyünk. Ennek azért van kiemelt jelentősége, mert a sérülékenységeket kihasználva támadók különböző károkat okozhatnak, mint például információszivárgás, kriptobányászat, vagy ransomware támadások, ahol a céges rendszereket letitkosítják, és váltságdíjat követelnek az adatok visszaállításáért. A Quadronnál ezeket a vizsgálatokat végezzük, hogy előzzük meg az ilyen jellegű biztonsági incidenseket.
A támadási felületek vagy biztonsági rések milyen veszélyt jelentenek a cégekre nézve?
A biztonsági rések és támadási felületek akkor válnak nyilvánvaló problémává, amikor kárt okoznak a rendszerekben. Sok cég hajlamos halogatni a biztonsági beruházásokat, mivel ezek nem eredményeznek közvetlenül kézzelfogható termékeket, mint új weboldal vagy szerverterem. A döntéshozók gyakran úgy érzik, hogy addig nem éri meg befektetni a biztonságba, amíg tényleges támadás vagy adatvesztés nem történik, mivel ezek a beruházások látszólag ‘csak’ a pénz elköltését jelentik anélkül, hogy kézzelfogható, azonnal látható előnyökkel járnának.Valójában a probléma súlyossága akkor válik nyilvánvalóvá, amikor a támadások nyomán fennakadások, mint például rendszerleállások vagy adateltulajdonítás következnek be.
Van értelme pentesztet végezni egy biztonsági incidens után?
Természetesen, a pentesztnek mindig van értelme, különösen, ha már megtörtént a baj. Ekkor kritikus feladat megérteni, mi okozta az eseményeket. A sérülékenységi vizsgálat és penteszt segíthet felderíteni a biztonsági réseket, amelyeken keresztül a támadás megtörtént. Ezen felül, egy ilyen eset után a vállalatvezetés talán jobban elismeri a rendszeres biztonsági ellenőrzések és a proaktív védekezés fontosságát.
Mi motivál egy céget penteszt szolgáltatás igénybevételére?
Általában azok, akik pentesztet keresnek, már tisztában vannak azzal, hogy problémák lehetnek, és hogy ezeket alaposan meg kell vizsgálni. Okos ember más kárán tanul, vagy kényszerhelyzetben, például a NIS2 direktíva értelmében, kötelesek pentesztet végeztetni a kockázatértékelés részeként. A NIS2 nem közvetlenül írja elő a sérülékenységvizsgálatot, hanem a kockázatértékelés során végzett feladatként jelöli meg.
Egy másik példa a GDPR, ami szintén nem követelte meg a sérülékenységvizsgálatot közvetlenül, de a szabályozás miatti potenciálisan magas bírságok (adatszivárgás esetén) indokolttá tették, hogy a cégek ezt a szolgáltatást igénybe vegyék. Tehát a GDPR is közvetett módon ösztönözte a sérülékenységvizsgálatok elvégzését.
Hogyan néz ki egy sérülékenységvizsgálat a kezdetektől a végéig a Quadronnál?
A folyamat két módon indulhat: vagy egy cég keres meg minket sérülékenységvizsgálati igénnyel, vagy mi ajánljuk fel a szolgáltatást különböző cégeknek. Ha mindkét fél egyetért abban, hogy szükség van a vizsgálatra, az ügyfél részletezi az igényeit. Például, ha egy webalkalmazás vizsgálatáról van szó, megbeszéljük az alkalmazás funkcióit, hogy lehet-e rajta bejelentkezni, vagy csak egy statikus oldalról van-e szó. Ezek után, információgyűjtésből kiindulva, ajánlatot teszünk a vizsgálat időtartamára, általában egy weblapot öt nap alatt tesztelünk le. Meghatározunk egy kezdési időpontot, figyelembe véve az alkalmazáshoz való hozzáférés módját, legyen az távoli vagy helyszíni elérés, és hogy a vizsgálandó rendszer belső vagy interneten keresztül elérhető-e.
Miután az ügyfél kifejtette igényeit, és minden szükséges információt megkaptunk a rendszerről—mint például a webalkalmazás működési sajátosságai, felhasználói szintek, adatbázis megléte—, a penteszter elkezdi a sérülékenységvizsgálatot. Először is megismerkedik a webalkalmazás szerkezetével, felderíti az elérhető mappastruktúrákat, fájlstruktúrákat, és megpróbálja azonosítani a fejlesztői környezetet, a keretrendszert, és az operációs rendszert, amely a webszervert futtatja.
Ezek után a penteszter meghatározza a támadási felületeket, mint például a bejelentkezési felületeket vagy keresőmezőket, és ezeken a pontokon próbál meg különböző módszerekkel sérülékenységeket felderíteni. Amint azonosított egy vagy több sérülékenységet, összeállít egy riportot, amely tartalmazza a felderített hibák leírását és javítási javaslatait. Ezt a riportot átadjuk az ügyfélnek.
A projekt további lépéseit az ügyfél igényei határozzák meg. Van, aki elegendőnek tartja a riportot és saját maga kezeli a javításokat, míg mások kérhetik, hogy a Quadron segítsen a javítási folyamatban is, ellenőrizve, hogy a végrehajtott javítások hatékonyak-e és megoldották-e a felderített problémákat.
Milyen arányban oszlik meg a pentesztelés típusai, mint a webalkalmazások, weblapok, vagy belső infrastrukturális rendszerek vizsgálata?
A vizsgálatok körülbelül 70%-ban webalkalmazásokra és weblapokra összpontosulnak, amelyek az interneten keresztül bárki számára elérhetők, így ezek jelentik a legnagyobb kockázatot. Azonban az utóbbi időben egyre több a belső infrastrukturális vizsgálat is, különösen ipari környezetekben, ahol növekszik az igény a komplexebb, belső hálózati tesztekre. Ez az arány körülbelül 30%-ot tesz ki. A belső környezet általában védettebb, mivel el van szeparálva az internetről, ezért külső támadók nehezebben férnek hozzá. Az ügyfelek gyakran úgy érzik, hogy ez a fajta biztonsági intézkedés inkább csak kényszer, de szükséges a védelem érdekében.
Miért választják az ügyfelek a Quadront más penteszt szolgáltatókkal szemben?
A Quadron választása a piaci versenytársakkal szemben azért történik meg gyakran, mert ügyfeleink úgy érzékelik, hogy szakmai tudásunk kiemelkedő az átlagos kisebb cégekhez képest. Ezt a megítélést erősíti a minőségi riportkészítés, amely az évek során egyre tökéletesedett nálunk. Legutóbbi visszajelzések, például az nn.hu penteszte után is kaptunk kiemelkedően pozitív értékeléseket a riportok minőségére vonatkozóan.
A Quadron riportjai jól strukturáltak, könnyen követhetőek, és minden tekintetben átgondoltan összeállítottak, nemcsak IT szakemberek számára, hanem azok számára is érthetőek és feldolgozhatóak, akik nem rendelkeznek mély technikai ismeretekkel. Ez a megközelítés teszi lehetővé, hogy minden ügyfél megértse a vizsgálat eredményeit a szükséges szinten, ami hozzájárul ahhoz, hogy széles körben ajánlottak legyünk az iparban.
Mi választja el a pentesztet az audittól?
Egy penteszt jellegében különbözik egy audit szolgáltatástól abban, hogy nem csak előre meghatározott szabványok és ellenőrzési pontok alapján dolgozik. Míg egy audit esetében egy adott lista alapján ellenőrzünk specifikus elemeket, addig egy penteszt során az informatikai rendszerek összetettségére összpontosítunk. Itt olyan hibák is előkerülhetnek, amelyek egymásra épülnek és összekapcsolódnak, kialakítva komplex hibarendszereket, amelyek sérülékenységeket eredményeznek. Ezeket a hibák láncolatait nem lehet egyszerűen előre megjósolni és kijavítani egy-egy specifikus ellenőrzési pont betartásával.
Egy penteszter feladata, hogy a rendszerek összetettségét átlátva, nem előre meghatározott szempontok szerint, hanem folyamatos elemzéssel és az összefüggések felismerésével felderítse a potenciális sérülékenységeket, amelyeket aztán ki lehet használni. Ez igényel egy olyan szakértőt, aki képes a rendszerek mélyebb, összetettebb struktúráit átlátni és értelmezni.
Penteszter vagy, és etikus hacker is? Milyen a kapcsolat a két fogalom között?
Igen, a penteszterek gyakorlatilag etikus hackerek, akik szerződés alapján végeznek hackelést, tehát jogosultsággal rendelkeznek a célrendszer támadására. Az etikus hacker kifejezés olyan szakembereket jelöl, akik egy adott cég vagy szervezet megbízásából dolgoznak, és céljuk a rendszer biztonsági réseinek feltárása, hogy még a valódi támadók előtt azonosítsák és javítsák azokat.
A pentesztelés és az etikus hackelés lényegében ugyanazt a célkitűzést szolgálja, amit a kibertér bűnözői is követnek, csak éppen törvényes keretek között. Mindkét oldal— a penteszterek és a bűnöző hackerek—a rendszer hibáit próbálják feltárni és kihasználni, de míg a penteszterek a rendszer biztonságának erősítésére törekednek, addig a bűnözők károkat szeretnének okozni.
Hogyan hatnak a biztonsági fejlesztések a penteszterek munkájára?
A hibák ugyanazok. A hibáknak a kihasználása az, ami egyre több komplexitást igényel, mivel nyilván az utóbbi időkben, tehát azért fejlődött annyira a biztonság, akár az operációs rendszereknek a különböző biztonsági megoldásai, hogy egyre nehezebb egy-egy hibát kihasználni. De alapvetően egy memória korrupciós hiba, az pont ugyanolyan ma is, mint 20 évvel ezelőtt. Tehát semmit nem változott a processzor architektúra, alapvetően ugyanúgy van felépítve a hardver, ugyanazokat a hibákat követjük el a forráskódban, a kód megírásánál. A kihasználása ezeknek a hibáknak – egyre bonyolultabb, ahogy bevezettek különböző enyhítéseket, például az operációs rendszerek esetén.
Mi tesz jó penteszterré és hogyan fejleszted magad ebben a szakterületen?
Egy jó penteszter folyamatosan igyekszik mélyrehatóan megérteni a rendszerek működését, legyen szó processzorokról, programozási nyelvekről vagy rendszerarchitektúrákról. Az ismeretek mélyítése segít felismerni a potenciális hibákat, amelyek a programozás során előfordulhatnak.
A legjobb hackerek általában kiváló programozók, akik tisztában vannak a rendszerek gyenge pontjaival. Személyes fejlődésem során folyamatosan kutatok, hogy új sérülékenységeket tárhassak fel, amelyeket gyakran publikálnak szakmai fórumokon, segítve ezzel más szakértők tanulását is.
Mi az a nulladik napi sérülékenység?
A nulladik napi sérülékenység olyan biztonsági rés, amelyet még nem ismernek a szoftvergyártók és nincs hozzá hibajavítás. Ezek a hibák különösen veszélyesek, mert a gyártók és a felhasználók sem tudnak róluk, így a támadók szabadon kihasználhatják ezeket a réseket. Például, ha a Word alkalmazásban van egy ismert, de még ki nem javított sérülékenység, akkor egy támadó egy gondosan elkészített dokumentum átküldésével és annak megnyitásával kártékony kódot futtathat a célszemély számítógépén anélkül, hogy a felhasználó ezt észrevenné. Ez a fajta sérülékenység addig marad aktív és kihasználható, amíg a gyártó végre nem fedez fel és javít ki egy ilyen hibát a szoftverében.