Social hacking – amikor hacker feladata az ember kijátszása

A hackerkedés összemosódik az informatikai tudatlanság hibájával, annak kihasználásával. Az emberi büszkeséget, az emberi naivitást, a figyelmetlenséget támadja. Például kimész a mosdóba és nem zárod le a képernyőd kijelzőjét, ott hagyod a kíváncsi szemek előtt. Ez az egyik legizgalmasabb ága a hackerkedésnek – a social hacking…

A social hacking az emberi jóhiszeműségének a kihasználásának alapszik. Ott nem a gépet hackelik, hanem magát a felhasználót, az embert. Ott már nem csak az informatikai rendszert tesztelik, hanem a vállalatnak a működését is. Be tudok-e menni egy portán felhatalmazás nélkül? Oda tudok-e menni egy számítógéphez engedély nélkül? Be tudok-e lépni a számítógépbe anélkül, hogy bárki is megakadályozna benne? Itt még semmilyen informatikai akadályba nem ütközik a hacker, kizárólag az emberek fellépésén, figyelmességén múlik, hogy sikerül-e a támadás avagy meghiúsul.

Hogy folyik a tesztelés?

„Minden etikus hackerkedés, így a social hacking is szerződéskötéssel kezdődik. „Ezt és ezt a vállaltot, ezen és ezen a címen tesztelni fogják.” Egy kikötés azonban van az etikus hacker számára is, hogy annak ellenére, hogy bárhova bemehet, bárhova eljuthat hogyha tud, de a rendszerben kárt nem okozhat! Ez különbözteti meg a black hackingtől. „itt vagyok előtted, eljutottam, de nem ártok neked!” Ha a hacking rosszindulatú, az nem áll meg! Az fenntartás nélkül törli az adatbázisokat, kitilt a saját számítógépedből, törli a legfontosabb dokumentumaidat, kiküld olyan leveleket, amelyek tönkretehetnek, stb.

Röviden és tömören, a szándék a lényeg. Egy etikus hacker a rendszert fejleszti, megmutatja a hibát, de csak azért, hogy ezáltal jobb legyen. Rámutat a hiányosságokra. A teszt végén a felhasználó kap legalább kettő dokumentumot. Az egyik a vezetőknek szóló, a másik pedig az üzemeletetők részére összeállított dokumentum eredményekkel és ajánlatokkal együtt.

Az etikus hackerkedés óriási felelősséggel jár!

“Hiszen mikor elvállalja, szerződik, akkor ő gyakorlatilag azt vállalja, hogy az adott időben, az adott rendszernek a hibáit bemutatja, felderíti és vállalja, hogy ha azokat a javításokat megcsinálják akkor a rendszer védett lesz. Ez egy hatalmas felelősség.

A hackerek feketepiaca

Vannak sérülékenységi adatbázisok – össze vannak gyűjtve mindenféle rendszerek sérülékenységei, dátummal ellátva, stb.

A feketepiacon – merthogy persze ennek is van – a legdrágábban eladható sérülékenységek a 0 napos hibák, amelyek még nem lettek publikálva. Például, ha valaki a WordPress egy hibáját felfedezi, de még nincs publikálva, nem ismerik a vírusirtók, az nem lesz megfogva, nem lehet ellene védekezni, ennek nagy az „értéke”. A legfrissebb hibák, amire nincs patch, nincs rá megoldás.

Vélemény, hozzászólás?