Érdekes ez a két fogalom, mindennap használjuk őket, de vajon helyesen-e. Egyáltalán mi az hogy „helyes”? Ki mondja meg, hogy melyiket mikor lehet/kell/tilos használni? Hát nem tökmindegy? Őőő.. de, mindegy, vagy mégsem.
Egy ideje már itthon is elkezdődött egyfajta evangelizáció, ezen fogalmak tisztázása érdekében, ennek egyik legnagyobb élharcosa Pánczél Zoli barátom, úgyhogy úgy döntöttem a magam (és persze Alice és Bob) szerény eszközeivel segítem a (hit)térítésben. Hogy miért? Mert úgy gondolom hogy ennek a két fogalomnak a megértése nagyban hozzájárul ahhoz, hogy valaki átlássa miről is szólhat egy technikai IT biztonsági audit. Különösen fontos, hogy ezt megértsék az Ügyfelek is, hiszen ha az Ügyfél érti, hogy mi ez az egész és saját magának definiálni tudja, hogy mit is akar, mit vár el, akkor sokkal nagyobb az esélye egy sikeres projektnek, mintha megpróbáljuk egymás gondolatait kitalálni. Szóval nézzük mi ez a két fogalom. Előljáróban annyit, hogy ezek nem önkényes definíciók (kis pont vagyok én ahhoz, hogy megmondjam a tutit :-), ezek többek között a SANS által is használt értelmezések.
Kezdjük az Ethical Hacking-gel (EH). Egy EH projekt célja, hogy az adott időkereteken belül a lehető legtöbb sérülékenységet megtalálja az auditor. Ha mondjuk egy weboldalról beszélünk, akkor az EH célja, hogy megvizsgálja az „összes” webes sérülékenységet, hogy az adott weboldal mennyire védett ellenük. Az auditor nem fog megállni az első hibánál, hanem igyekszik megkeresni a többit is. Mondhatjuk azt is, hogy ez egy horizontális vizsgálat, a weboldalas példánál maradva, csak a web réteggel foglalkozik, de azzal teljes szélességében. Azaz például nem fogja megvizsgálni, hogy azon az SQL injection hibán keresztül bejutva a szerverre vajon lehetséges-e domain admin hozzáférés szerzése, mert nem erről szól a szerződése.
Ezzel szemben egy Penetration Testing (PT) projekt esetében a cél az, hogy minél tovább eljusson a „hacker”. Ez inkább egy verikális vizsgálat, ugyanis itt az a kérdés, mennyire „mélyre” lehet lejutni. Az előző példánál maradva, vajon lehetséges-e a weboldalban lévő hibán keresztül domain admin jogokat szerezni. Ebben az esetben az auditor nem fogja megkeresni az összes hibát a weboldalon, csak addig keres, amíg nem talál egy olyat, amivel mélyebbre tud menni. Például egy fájlfeltöltést vagy egy sql injection-t. Ha megtalálta a hibát, amivel OS parancsot tud futtatni, nem fog további hibákat keresni (XSS, info leakage, stb.), hanem megy egy szinttel mélyebbre, megpróbál admin jogokat szerezni azon a szerveren, ha megvan, lép tovább, megpróbál minél több géphez hozzáférni. Sokszor ezeknél a projekteknél az Ügyfél definiál valamilyen elérendő célt (egy adott fájl vagy levél, valamilyen jelszó, stb.).
Mire jó az egyik, illetve a másik? Kérdezték már tőlem, hogy mi érteme van a PT-nek? Hiszen egy Ügyfél nem kap egy teljes hibalistát, csak egyetlen támadási mód végigvitelét. Ez miért jó neki? Egyrészt, mert a PT valóban egy hackertámadást szimulál, egy igazi támadó is pont ugyanígy fog eljárni, megkeresi a legkönnyebb utat és azon megy végig. Egy EH vizsgálatnál tulajdonképpen jó eredménynek számít, ha csak egyetlen hiba van a weboldalon, viszont egy PT meg tudja mutatni, hogy mire lehet elég az az egyetlen hiba (pl. a vezérigazgató leveleinek olvasgatásához).
Egy új rendszer bevezetésénél jó lehet az EH, hiszen ott arra kíváncsi az Ügyfél általban, hogy mennyire végeztek jó munkát a fejlesztők, mennyire biztonságos az alkalmazás, ehhez nyílván a lehető legtöbb sérülékenységet kell azonosítani. Egy PT viszont fényt deríthet arra, hogy ha globális rendszerként tekintjük az IT infrastriktúrát, akkor az mennyire ellenálló egy hacker támadásnak. Nyílván mindkét auditnak megvan a létjogosultsága, egyikre se lehet azt mondani, hogy „jobb”, mint a másik, hiszen az almát a körtével nem lehet összehasonlítani. Másról szól az egyik és megint másről a másik. Ügyfélként tisztában kell lennünk/lennetek azzal, hogy mit szeretnétek, mit akartok tesztelni, és ennek megfelelően elkészíteni az adott kiírést EH-ra vagy PT-re.
(Természetesen előfordulhat, hogy ezt a két dolgot keverik, vagy inkább azt mondanám, hogy együtt kérik. Nekünk is volt már olyan projektünk, ami egy weboldal EH volt, de ugyanakkor kíváncsi volt az Ügyfél, hogy meddig tudnánk elmenni az ott talált hibákkal.)
Spala Feri
