Snežienkova 1/A, 971 01 Prievidza
SK
CS

Kto je etický hacker a čo je jeho prácou

KATEGÓRIA


Slová ako hacker alebo etický hacker sa v spoločnosti skloňujú každým dňom viac a viac. Mnoho ľudí však stále nevie čo hackerstvo znamená a aký je rozdiel medzi hackerom a etickým hackerom. Predtým než si vysvetlíme čo je etické hackerstvo si najskôr musíme povedať základné rozdelenie hackerov.

 

Hackeri sa vo všeobecnosti delia na tri typy:

  • black hat hackeri,
  • white hat hackeri,
  • gray hat hackeri.

 

Black hat hackeri, tiež nazývaní blackhats, sú tí zlí v hackerskom svete. Blackhats neberú ohľad na žiadne pravidlá, často ignorujú zákony a nezáleží im na tom, akú škodu napáchajú. Títo hackeri útočia prevažne za účelom vlastného zisku.

White hat hackeri, iným slovom etickí hackeri, sú hackeri, ktorí svoje znalosti využívajú na zlepšenie kybernetickej bezpečnosti určitej firmy. Hĺbkovo skenujú systémy a siete, pozerajú sa na svoj cieľ tak, ako by sa pozerali black hat hackeri a dokonca sa snažia presvedčiť zamestnancov firmy, aby klikli na link, ktorý ich počítač následne nakazí malwarom. K tomuto všetkému však majú povolenie a to z týchto neetických činností robí etické.

Gray hat hackeri predstavujú stred medzi white hat hackermi a black hat hackermi. Títo hackeri hľadajú zraniteľnosti v systémoch bez akéhokoľvek povolenia no bez zlého úmyslu. Ako príklad gray hat hackera môžeme uviesť niekoho, kto nájde a využije bezpečnostnú zraniteľnosť, no za účelom oboznámenia verejnosti o danej zraniteľnosti. Aktivita gray hat hackerov je však tiež považovaná za ilegálnu.

 

Čo robí etický hacker?

Odhaľovanie zraniteľností a slabín vo webových aplikáciách, v mobilných aplikáciách, v systéme či priamo u ľudí. Toto všetko a ešte oveľa viac je práca etických hackerov. Techniky, taktiky a postupy majú častokrát do detailov rovnaké ako neetickí hackeri. 

Etickí hackeri vykonávajú investigatívu systému alebo siete aby našli slabiny, ktoré by mohli využiť neetickí hackeri. Zbierajú a analyzujú informácie k tomu aby našli spôsoby akými by mohli posliniť bezpečnosť systému, siete alebo aplikácie.

Etickí hackeri sú najatí rôznymi organizáciami aby otestovali ich systémy a siete, detegovali a definovali bezpečnostné zraniteľnosti, zistili, či zavedené bezpečnostné opatrenia fungujú tak ako by mali a následne našli riešenie akým by sa dalo predísť akejkoľvek krádeži dát alebo podobnému incidentu.

 

Aké sú úlohy a povinnosti etického hackera?

Etický hacker (penetračný tester) sa musí držať určitých pravidiel na to aby mohol hackovanie vykonávať legálne. Skúsený penetračný tester pozná svoje povinnosti a dodržiava všetky etické zásady. 

Najdôležitejšie pravidlá etického hackerstva:

  • Etický hacker musí mať povolenie od firmy, ktorá vlastní systém, ktorý je v rozsahu konkrétneho testu. Hacker by mal obdržať kompletný súhlas pred vykonávaním akéhokoľvek bezpečnostného testu.
  • Etický hacker musí odkomunikovať rozsah testovania a postup akým test bude vykonávať. Väčšinou sa však využívajú známe metodiky a štandardy, ako napríklad OWASP Web Security Testing Guide.
  • Etický hacker musí nahlásiť každé narušenie bezpečnosti a každú zraniteľnosť, ktorú v systéme nájde.
  • Etický hacker musí udržať všetky zraniteľnosti ktoré nájde  len v kruhu ľudí, ktorí sú zodpovední za kybernetickú bezpečnosť danej firmy. Vzhľadom k tomu, že jeho úlohou je ochrániť systém, mal by súhlasiť s dohodou o mlčanlivosti a rešpektovať ju.
  • Etický Hacker musí odstrániť všetky stopy testovania po jeho skončení. Ako napríklad súbory, ktoré vytvoril alebo užívateľov, ktorých vytvoril vzhľadom k tomu, že by mohli viesť k ďalším potencionálnym bezpečnostným rizikám.

 

Etické hackovanie existuje v rôznych podobách. V dnešnom svete sú to najmä tieto:

Web Application Hacking

  • Webová aplikácia je aplikácia, ktorú môže užívateľ sprístupniť cez internet. Web Application Hacking je hľadanie a následné využívanie zraniteľností práve v takýchto aplikáciách. 

Infrastructure Hacking

  • Infrastructure hacking je proces hľadania a následného využívania zraniteľností v elektronických systémoch za účelom dosiahnutia neautorizovaného prístupu k ním. 

Wireless Network Hacking

  • Wireless network hacking môžeme definovať ako útoky na bezdrôtové siete alebo prístupové body, ktoré poskytujú prístup k citlivým informáciám ako napríklad administrátorsky portál.

Social Engineering

  • Social engineering je výraz, ktorý opisuje širokú škálu zlomyseľných aktivít vykonávaných pomocou ľudskej interakcie. Využíva psychologickú manipuláciu na oklamanie používateľov, aby urobili bezpečnostné chyby alebo poskytli citlivé informácie.

Security Reviews

  • Bezpečnostná review individuálnych systémov, sieťových komponentov (firewall, switch) alebo konfigurácia cloudových služieb a prostredí. Takáto review sa opiera o uznávané bezpečnostné štandardy a dokáže odhaliť miskonfigurácie ktoré by potencionálne mohli viesť k vážnym bezpečnostným incidentom.

Red Teaming

  • Kombinácia všetkých vyššie uvedených podôb etického hackingu. Jedná sa o niekoľko týždňové až mesačne testovanie ktoré sa sústredí na klientom určené ciele. Zvyčajne sa rozdelí na individuálne fázy do nasledujúcej podoby:
    • Phishing -> Infrastructure hacking (internal/external) -> Lateral Movement -> Data Exfiltration

 

Ako je vidieť vyššie, cieľom je simulovať kompletnú reťaz útokov. Okrem samotnej bezpečnosti systémov a obozretnosti užívateľov/zamestnancov (vo fáze Phishingu) sa tiež vyhodnocuje efektivita bezpečnostných riešení (firewall, antivirus), ale aj zamestnancov oddelení ako napríklad SOC (Security Operations Center).

 


 

Odporúčané školenia:

Názov školenia Trvanie školenia Miesto konania Cena Najbližší termín
2 dni (8:00 - 14:00)
Online 359,00 €
430,80 € s DPH
09.02.2023 - 10.02.2023 + 3
2 dni (8:00 - 14:00)
Online 359,00 €
430,80 € s DPH
27.03.2023, 31.03.2023 + 4
1 deň (8:00 - 14:00)
Online 279,00 €
334,80 € s DPH
27.03.2023 + 4
2 dni
Firemné školenie Na vyžiadanie
Podľa Vás

Mohlo by Vás zaujímať:

Podobné články

Efektívna komunikácia v digitálnej dobe

Efektívna komunikácia v digitálnej dobe

KATEGÓRIA

Efektívna komunikácia je základom každého úspešného tímu alebo organizácie. V dnešnej digitálnej dobe sme neustále v spojení a komunikujeme prostredníctvom rôznych kanálov, ale môže sa ľahko stať, že stratíme umenie efektívnej komunikácie. Keďže si čoraz viac zvykáme pracovať na diaľku, je dôležité pamätať na to, že efektívna komunikácia je nevyhnutná na dosiahnutie úspešného výsledku.

Zobraziť viac
Nová verzia VDA 6.3:2023 – Zameranie na silné stránky

Nová verzia VDA 6.3:2023 – Zameranie na silné stránky

KATEGÓRIA

Nová edícia štandardu VDA 6.3 bola od 09.11.2022 sfinalizovaná a poskytnutá tímu VDA odborníkov na pripomienkovanie a prípadné zmeny. Nová verzia VDA 6.3:2023 bola oficiálne zverejnená v januári 2023.

Zobraziť viac
Aké výhody prináša whistleblowing?

Aké výhody prináša whistleblowing?

KATEGÓRIA

V prvom rade treba pripomenúť zákonu povinnosť na základe zákona č. 54/2019 Z.z., kedy zamestnávateľ, ktorý zamestnáva najmenej 50 zamestnancov, a zamestnávateľ, ktorý je orgánom verejnej moci, ktorý zamestnáva najmenej 5 zamestnancov, je povinný určiť organizačnú zložku alebo osobu, ktorá plní úlohy zamestnávateľa v súvislosti s preverovaním oznámení.

Zobraziť viac
Spoločnosť CeMS podporuje cez Vianoce aj 4-nohých miláčikov bez domova

Spoločnosť CeMS podporuje cez Vianoce aj 4-nohých miláčikov bez domova

KATEGÓRIA

Sme zástancom, že každý by mal nájsť svoj darček pod stromčekom. Tento rok naša spoločnosť CeMS vybrala v rámci Vianočnej pomoci 4-nohých miláčikov bez domova. Konkrétne išla pomoc v hodnote 600€ pre 3 vybrané združenia, ktoré zabezpečujú dočasnú alebo dlhodobú starostlivosť pre psov a mačky. 

Zobraziť viac

Newsletter