211service.com
Laba iemesla dēļ ielaušanās
Ne visi hakeri, kas uzbrūk uzņēmumiem, ir ļaundari; dažiem par to maksā viņu mērķis. Pakalpojumā, kas pazīstams kā iespiešanās pārbaude, drošības firma mēģina piekļūt klienta sistēmām vai kontrolēt tās, lai atklātu nepilnības, kuras varētu izmantot īsts uzbrucējs.

Problēmu meklēšana: Braiens Holifīlds, Gotham Digital līdzdibinātājs
Noteikta veida uzņēmumiem ar likumu ir jāveic iespiešanās testi, taču daudzi citi arī izvēlas tos, saka Braiens Holifīlds, uzņēmuma līdzdibinātājs. Gothamas digitālā zinātne , uzņēmums, kas atrodas Ņujorkā un specializējas šajā pakalpojumā. Holifīlds sacīja Tomam Simonītei, Tehnoloģiju apskats IT redaktors aparatūrai un programmatūrai, ka dažu lielu darbu laikā Gotham vairākas nedēļas vienlaikus izvieto trīs savus hakerus pret uzņēmumu.
BĒRNI : Kāpēc ir nepieciešama iespiešanās pārbaude? Vai jūs nevarētu vienkārši pateikt uzņēmumam, kuras ievainojamības uzbrucējs meklētu?
Holifīlds: mēs nemeklējam standarta ievainojamības. Lielāko daļu laika mēs meklējam koda līmeņa ievainojamības pielāgotajās lietojumprogrammās. Ikvienam tagad ir tīmekļa lietotnes, un patiesībā ugunsmūris tos neaizsargā.
Ar kādiem uzņēmumiem jūs strādājat?
Mēs galvenokārt strādājam ar banku un finanšu, veselības aprūpes un programmatūras pārdevējiem. Visām vietnēm un sistēmām, kas pieņem kredītkartes, ir jāveic testēšana, ja tās veic vairāk nekā noteiktu darījumu skaitu gadā. Bet daudzi uzņēmumi nav spiesti to darīt. Lielākais tirgus, kurā mēs apkalpojam, ir uzņēmumi, kas nodrošina programmatūru kā pakalpojumu. Klienti viņiem jautā par to, ko viņi dara, lai nodrošinātu tā drošību.
Vai klienti baidās no brīvprātīgā darba, lai viņus uzlauztu?
Pirmo reizi, kad kāds to pārdzīvo, ir nervozitātes un pat paranojas līmenis. Mums ir jāstrādā, lai viņi noliktu malā savu ego un saprastu, ka tas nav vingrinājums mēs pret viņiem; mēs necenšamies nevienam izskatīties slikti. Kad pildspalvu tests ir beidzies, klienti parasti ir priecīgi, ka problēmu atradām pirms ļaunā puiša.
Kāds ir labs jūsu atrasto ievainojamību piemērs?
Vienā nesenā darbā mēs apdraudējām mārketinga vietni lielai finanšu iestādei, kas darbojās uz nelabota tīmekļa servera. Šis serveris tika izmantots kā pārejas punkts, lai šķērsotu ugunsmūri un iegūtu savienojumu ar sistēmām savā iekšējā tīklā.
Mēs atklājām, ka viens no kontiem, kas [paņemti no] tīmekļa servera (mēs bijām uzlauzuši paroli), bija arī administrators glabātuvei, kurā tiek glabātas ikviena šī tīkla paroles. Mēs varējām pieteikties kā jebkurš. Laba mācība šeit ir tāda, ka tas, ka sistēma nav kritiska, nenozīmē, ka serveri var norakstīt no drošības viedokļa. Kad esat ieguvis piekļuvi perimetra lodziņam, jums parasti ir daudz vairāk iespēju uzbrukt svarīgākām sistēmām, jo tagad esat aiz ugunsmūra. Otra mācība ir viena un tā paša paroles izmantošana dažādās sistēmās.
Ko jūs pasniedzat klientam pēc tam, kad uzbrukums ir beidzies?
Mums vienmēr ir rakstisks ziņojums un detalizēti ekrānuzņēmumi un instrukcijas, ko mēs varam nodot izstrādātājam un teikt: Lūk, kā jūs to darāt. Pēc iespiešanās testa mēs pievienojam vērtību, skaidri norādot, kas ir jādara. Tas ir salīdzināms ar klasisko drošības auditu, kam parasti ir liela nozīme paraugprakses virzienā.
Vai cilvēki, kas to dara labo puišu labā, atšķiras no sliktajiem?
Tas prasa ne tikai specializētas prasmes, bet arī noteikta veida cilvēku. Nav jau tā, ka cilvēki padodas savā darbā, cik tas ir viņu hobijs, ko viņi dzīvo un elpo. Viņiem ir vēlme ne tikai noskaidrot, kā kaut kas darbojas, bet arī izdomāt, kā kaut ko izmantot [mērķim], kam tas nebija paredzēts.
Tā ir smalka robeža starp kādu, kurš aizraujas tikai intereses un zināšanu dēļ, un kādu, kurš nodarīs kaitējumu vai mēģinās pelnīt naudu. Kad mēs meklējam talantus, daļa no mūsu personāla atlases procesa ir ļoti stingra pagātnes pārbaude, lai meklētu ēnas puses. Ir bijuši daudzi gadījumi, kad mēs zinām ļoti talantīgus cilvēkus, kurus vienkārši nevaram pieņemt darbā.
Vai iespiešanās pārbaude kļūst arvien izplatītāka?
Jā, tas sāk kļūt daudz populārāks. Viena no pazīmēm ir tas, ka cilvēkiem kļūst vieglāk saņemt atļauju no sava interneta pakalpojumu sniedzēja, kuram ir jāzina, lai viņi saprastu, ka tas nav īsts uzbrukums. Mūsdienās infrastruktūras uzņēmumi, piemēram, Amazon, to padara ļoti vienkāršu. Ja esat mitināts Amazon mākonī, atļaujas iegūšana iespiešanās testa veikšanai ir tikpat vienkārša kā vienkāršas tīmekļa veidlapas aizpildīšana.
Vai iespiešanās pārbaude varēja sagatavot Sony nesenajiem uzbrukumiem, kuros tika nozagti lietotāja dati?
Iespiešanās pārbaude parasti koncentrējas uz priekšējām durvīm, taču ir daudz logu. Es domāju, ka Sony patiesībā bija īpaši mērķēts. Sociālā inženierija un šķēpu pikšķerēšana [ziņojumu veidošana, lai pievilinātu konkrētu personu atklāt sensitīvus datus], varēja tikt izmantota pret personām, kurām ir piekļuve datiem. Sociālās inženierijas uzbrukumu testēšana ir pildspalvas pārbaudes iespēja, taču lielākā daļa cilvēku to nevēlas. Viņi jau zina riskus.