Kdo so etični hekerji?

V teh dneh, 17. in 18. aprila, se drugo leto zapored v Sloveniji odvija konferenca s področja etičnega hekinga HEK.SI. Konferenca je namenjena strokovnjakom za informacijsko oz. omrežno varnost, osrednja tema pa so različne tehnike napadov in vdorov v računalniška omrežja. Med obiskovalci je konferenca priljubljena predvsem zaradi analize primerov iz prakse in prikaza različnih tehnik napadov »v živo«.

Znan obraz številnih IT konferenc in vidnega etičnega hekerja v Sloveniji Milana Gaborja iz podjetja Viris smo prosili za kratko razlago, kdo je etični heker in kaj počne? Če si predstavljate zelo adrenalinsko službo, boste mogoče malo razočarani, saj je še vedno veliko pisanja poročil 🙂 Ja, Milan tudi tvita @MilanGabor

Milan, kdo je etični heker ali raje vprašamo kdo je neetični heker?

Definicij je več in včasih je izjemno težko povedati na kratko. Če poskušam nekako povzeti delamo etični hekerji enake stvari kot neetični hekerji, vendar na legalen način in na koncu etični hekerji dobimo še plačilo. Poleg tega etični hekerji izvajamo varnostne preglede, penetracijske teste ali varnostne analize z vednostjo naročnika in v kontroliranem okolju.

Kakšen je delovni dan etičnega hekerja? Izgleda vaše preiskovanje oz. analiziranje kot scena iz priljubljene nadaljevanke CSI Miami, v kateri  se po dveh klikih na zaslonu prikaže želen podatek?

Filmska scena je daleč od resničnosti in težko povlečemo vzporednico s filmskim hekanjem. Običajni delovnik je zelo raznolik, saj so tudi projekti zelo različni. Glede na statistiko izvajanja naše glavne dejavnosti ugotavljamo, da je dejanskega etičnega hekanja približno 30 odstotkov celotnega projekta. Ostali čas se porabi za kvalitetno pripravo poročila o odkritih ranljivostih in pripravo predstavitve. Pomemben del pri samem etičnem hekanju je širok spekter poznavanja različnih tehnologij in seveda iznajdljivost.

Na konferenci HEK.SI ste v živo prikazali vaše orodje za testiranje mobilnih aplikacij, ki lahko tudi služi kot hekersko orodje. Kaj bi svetovali razvijalcu mobilnih aplikacij, kako naj poskrbi, da bo končni izdelek varen za nas uporabnike?

Naše izkušnje pri analizi mobilnih aplikacij kažejo na to, da je razvoj mobilnih aplikacij v nekaterih primerih še v zelo zgodnjih fazah. To posledično pomeni, da je mogoče najti precejšnje število pomanjkljivosti v različnih mobilnih aplikacijah. In te pomanjkljivosti so v veliki meri posledica pomanjkljivega znanja razvijalcev, ki se ne zavedajo vseh potencialnih nevarnosti. Vsekakor pa bi priporočal, da se mobilne aplikacije, še posebej tiste, ki obravnavajo občutljive podatke, pred javno objavo varnostno pregledajo.

Če se na drugi strani postavimo v čevlje povprečnega uporabnika pametnega telefona, na kaj mora biti pozoren? Kako lahko sam najbolje zaščiti tako napravo kot podatke?

Vsekakor je na prvem mestu nameščanje popravkov sistema in tudi samih aplikacij podobno kot na računalnikih. Na drugem mestu je pazljivost prek katerih omrežij se povezujemo in da prek javnih in potencialno nevarnih omrežij ne pošiljamo pomembnih podatkov. Na tretjem mestu bi poudaril pazljivost pri nameščanju aplikacij iz sumljivih virov. In nenazadnje ideja o namestitvi protivirusnega programa na pametni telefon ni niti tako slaba ideja.

Preberite še , kaj vam svetuje etični heker, če ste uporabnik mobilnega bančništva.