Antivírus blog

vírusok, férgek, botnetek, kártevők

Etikus hackelés

2007. október 17. 11:19 - Csizmazia Darab István [Rambo]

Igen, valóban létezik ilyesmi, ez nem fából vaskarika. Komoly cégek dolgoznak ezen a területen, és ajánlják a biztonsági audit nevű szolgáltatásukat mindazon piaci szereplőknek, akik a biztonságot mindenek felett fontosnak tartják. Persze ez nem egy statikus dolog, inkább ahhoz hasonló, ahogy a Zen buddhizmusban is a tökéletességet elérni ugyan sohasem lehet, de azért állandóan törekedni kell rá.



A Netacadémia egyik legújabb, Etikus Hackelés nevű tanfolyamán jártunk, ez volt az első (publikus) kurzus. Korábban már jártam itt egy Windows 2003 Server tanfolyamon - akkor  személyes Fóti Marcell volt az oktató :-) - és most is a szokásos, magasszínvonalú, gyakorlatias előadást vártam, és ebben nem is csalódtam. Egy hetes volt a tanfolyam, ami tulajdonképpen inkább rövid ízelítő vagy összefoglaló, pedig hétfőtől péntekig egésznapos, és roppant érdekes elfoglaltságról volt szó. A téma viszont annyira bőséges, hogy aki teljesen járatlan ebben, fogalma sincs a TCP/IP protokollról, sosem programozott még semmilyen nyelven sem, nem találkozott még SQL adatbázisokkal, nem próbált meg saját erőből valamilyen problémájára megkerülő trükköt (workaround) kitalálni, az inkább csak lexikonszerű összefoglalásnak érezhette. A lényeg - mint mindenhol - itt is a részletekben lakozik, és abban ha teljesen új dolgokat nem is, de sok apró trükköt, alternatív megoldást hallhattunk, láthattunk, próbálhattunk ki a gyakorlatban.



Aki érdeklődik vagy érintett a számítógépes biztonság témakörében, annak mindenképpen javasolt, sok esetben a rózsaszín ködöt is képes megszűntetni a hallgatóban, aki eddig bambán megbízott olyan dolgokban, mint Windows vagy Linux belépési jelszó biztonsága, Wifi használat titkosítás nélkül, vagy WEP kódolással, de a weboldalak, SQL adatbázisok, sőt a napjainkban egyre népszerűbb VOIP kapcsolatok leggyakoribb gyenge pontjaira is fény derült, de volt szó rootkitekről, szteganográfiáról is.



Sok olyan municiót adott, amin továbbhaladva, nyomozva, próbálgatva, kíserletezve bővíthető az ezzel kapcsolatos ismeret. Valószínűleg a vérbeli hackereknek nem kell propagálni az élethosszig tanulás nevű programot, van arra belülről fakadó igény bőségesen :-D



Éppen a második Kevin Mitnick könyvet olvasom, a Behatolás művészetét és tényleg csak az érdesség kedvéért egy-két mondatot idézek belőle.

A 4. fejezet elején olvasható a következő mondat: "Costa Katsaniotis 11 éves korában kezdett el ismerkedni a számítógépekkel, amikor kapott egy Commodore Vic-20, és nekilátott, hogy programozással fokozza a gép teljesítményét. Már ilyen zsenge korában írt egy szoftvert, amely lehetővé tette, hogy barátja betárcsázással lássa az ő merevlemezének tartalmát." Na ez LOL - pláne hogy én is Commodore-ral kezdtem, ha ez VIC-20-ra vonatkozik, akkor szerintem kicsit kamuizű volt.
Ez persze az egyébként nagyszerű és érdekes könyv értékét nem csökkenti. A szerzőpáros komoly erőfeszítéseket tett a kényes témák miatt, hogy vezérfonalukban csak abszolút hihető, sokszorosan megerősített, illetve valószínűsített történetek szerepelhessenek a kötetben.

A másik érdekesség inkább csak a magyarországi börtönviszonyokhoz képest lehet érdekes, az egyik leleplezett hacker interjújából való: "Boron volt az utolsó szövetségi intézmény, amelyben volt úszómedence, és Costa később hallotta, hogy Barbara Walters televíziós riportja eredményeképpen a medencét nem sokkal szabadulása után betemették. Személy szerint én megértem, hogy egy új börtön építésénél nem költik az adófizetők pénzét úszómedencére, de azt nem értem, hogy egy létezőt miért kell lerombolni." Úgy tűnik, a hogyan mennek a dolgok kérdésre minden országban vannak ilyen "mérd mikrométerrel, jelöld krétával, vágd baltával" típusú  intézkedések.
4 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr1198975

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

bxh · http://www.mediaart.hu 2007.12.22. 07:29:43

Nekem is volt egy-két kamu szagú elem a második Mitnick "bibliában", de ez nem sokat csökkent az értékéből. Mondjuk az első közelébe sem ér. :)

bxh · http://www.mediaart.hu 2007.12.22. 07:32:25

Ja és tök durva, hogy egy csomó könyvtárban láttam már mindkét kötetet. Tök pozitív.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.12.22. 22:26:01

Szia Bxh!
Az első inkább technikai kötet mellett azért a második is adott érdekességeket: kedvencem az a vállalat volt, aki előtte fel akart vásárolni egy kis biztonsági céget, és el is kezdtek egyezkedni, majd ezek után megbízták őket egy teljes biztonsági audittal! A hacker srácok meg jókat röhögtek, mikor a velük kapcsolatos vezetői iratokat olvasgatták, mert persze hogy sikeresen bejutottak, és mindenhez hozzáfértek. LOL :-D