Internet ogledalo - Specijalno godišnje izdanje | Page 75

i si­ste­mat­ski pro­ve­ri­ti sve aspek­te si­
gur­no­sti i uo­če­ne pro­pu­ste pre­do­či­ti
kom­pa­ni­ja­ma. Jer, tek ka­da po­sta­nu
sve­sne si­gur­no­snih pro­pu­sta kom­
pa­ni­je mo­gu da ih re­ša­va­ju.

Opa­san dis­ba­lans
Ka­kva su va­ša lič­na sa­zna­nja o sta­
nju si­gur­no­sti kom­pa­ni­ja u re­gi­o­nu?
U fir­ma­ma sa ko­ji­ma mi ra­di­mo si­
gur­nost je, mo­že se re­ći do­bra, sa­
mo mo­žda ne­pra­vil­no ras­po­re­đe­na.
Pu­no pa­žnje i re­sur­sa usme­ra­va se
uglav­nom na jed­nu vr­stu zaš­ti­te, kao
što je zaš­ti­ta sa in­ter­ne­ta, fi­re­wal­lo­
vi, dok se bez­bed­no­sti unu­tar kom­
pa­ni­je po­sve­ću­je ne­u­po­re­di­vo ma­
nje pa­žnje. Kroz te­sto­ve ko­je mi ra­di­
mo vr­lo br­zo na vi­de­lo is­pli­va­ju ta­kvi
„pro­blem­či­ći“ i to na stva­ri­ma na ko­
je se ob­ra­ća ma­nja pa­žnja. A upra­
vo zbog gre­ša­ka na tim stva­ri­ma si­
stem po­sta­je iz­lo­žen oso­ba­ma ko­
je ne bi tre­ba­lo da mu ima­ju pri­stup.
Ge­ne­ral­no je si­gur­nost do­bra, sa­mo
je po­treb­no na­pra­vi­ti bo­lji ras­po­red i
bo­lji ba­lans šta i ka­ko da se šti­ti.
Ka­kve ste po­vrat­ne in­for­ma­ci­je
do­bi­ja­li na­kon iz­vr­še­nja pe­ne­tra­
tion te­sta u kom­pa­ni­ja­ma?
Po­vrat­ne in­for­ma­ci­je su di­ja­me­
tral­no raz­li­či­te i idu u dva pot­pu­no
su­pr­ot­na sme­ra. Od kom­pa­ni­ja­ ko­je
do­bi­ju iz­veš­taj i ne ja­vlja­ju se uopšte,
ni­ti pi­ta­ju ni­ti zna­mo da li su is­pra­vi­
li uo­če­ne pro­ble­me, do dru­ge gru­
pe kom­pa­ni­ja ko­je su ve­o­ma­ za­in­te­
re­so­va­ne za re­zul­ta­te te­sta. Iz ta­kvih
kom­pa­ni­ja zo­vu nas vi­še pu­ta da do­
đe­mo da ob­ja­sni­mo ka­ko smo neš­
to ura­di­li i šta oni tre­ba da ura­de da

bi se pro­pu­sti is­pra­vi­li. U no­vi­je vre­
me ima­mo slu­ča­je­ve da kom­pa­ni­
je u okvi­ru uslu­ge­ „Pe­ne­tra­tion te­
sta“ zah­te­va­ju da se na­kon is­prav­ke
uo­če­nih ra­nji­vo­sti ura­di po­nov­ni te­
st, ta­ko da je to de­fi­ni­tiv­no pra­vi put.

Pro­ces te­sti­ra­nja
Ka­ko iz­gle­da pro­ces te­sti­ra­nja si­
gur­no­sti i šta on sve pod­ra­zu­me­va?
Pro­ces ide ta­ko što se na uvod­
nom sa­stan­ku do­go­vo­ri­mo šta ko­
ri­snik ho­će. Ima do­sta na­či­na da se
ura­di test. Po­sto­ji ras­pon te­sto­va od
„Black box” te­sta gde se te­sti­ra­nje vr­
ši „na sle­po“, pri če­mu mi ne­ma­mo
ni jed­nu in­for­ma­ci­ju o toj kom­pa­ni­ji­,
pa sve do „Whi­te box” te­sti­ra­nja gde
mi mo­že­mo od fir­me da tra­ži­mo bi­lo
ko­ju in­for­ma­ci­ju ko­ja nam je po­treb­
na ka­ko bi test bio što us­peš­ni­ji. Na­
kon to­ga de­fi­ni­še se šta se te­sti­ra, jer
kom­pa­ni­je ret­ko mo­gu se­bi da pri­uš­
te te­sti­ra­nje ce­le­mre­že ili svi­h ure­đa­
ja. Za­to se pra­vi ne­ki ogra­ni­čen „sco­
pe” to­ga šta se te­sti­ra i de­fi­ni­še se
ulo­ga te­ste­ra. Ne­kad te­ster mo­že da
opo­na­ša zlo­na­me­r­nog ha­ke­ra ko­ji se
uba­cio u mre­žu, ili mo­že da ima ulo­
gu obič­nog ko­ri­sni­ka ko­ji po­se­du­je­
user­na­me i pas­sword. Cilj je da vi­di­
mo šta sve on mo­že da ura­di sa kre­
den­ci­ja­li­ma ko­ji su mu da­ti. Ka­da se
sve to do­go­vo­ri po­či­nje­mo svoj po­
sao. Do­bi­je­mo spi­sak IP adre­sa ko­
je tre­ba da te­sti­ra­mo i obič­no kre­će­
mo od ske­ni­ra­nja tih adre­sa ka­ko bi­
smo usta­no­vi­li ko­ji su por­to­vi otvo­
re­ni, ko­ji ser­vi­si ra­de, ko­je su ver­zi­je
tih ser­vi­sa, da li ima­ju ne­ke po­zna­te
ili ne­po­zna­te ra­nji­vo­sti i da li neš­to
mo­že da se is­ko­ri­sti ka­ko bi se do­bi­
la od­re­đe­na pra­va na ser­ve­ru i neš­to

zlo­up
­ o­tre­bi­lo. To je ge­ne­ral­no na­čin
ka­ko se od­vi­ja taj pro­ces.
Ljud­ski fak­tor je če­sto naj­sla­bi­
ja ka­ri­ka u si­gur­no­snom si­ste­mu
kom­pa­ni­ja. Na ko­ji na­čin se oba­
vlja te­sti­ra­nje za­po­sle­nih u ovoj
sfe­ri (tzv. so­ci­jal­ni in­že­nje­ring)?
Do sa­da smo to ret­ko ra­di­li kod
nas, ali se uglav­nom ono svo­di na
po­ku­šaj da se za­po­sle­ni na­ve­du da
klik­nu na od­re­đe­ni link na ko­ji ne bi
tre­ba­lo da klik­nu. Obič­no to ide kroz
e-mail po­ru­ke od­re­đe­ne sa­dr­ži­ne. Tu
je bit­no da se ob­u­hva­ti što ve­ći broj
lju­di, jer je si­gur­no da će ne­ko od
njih klik­uti­ na po­nu­đe­ni link. Mi ni­
smo iš­li da­lje, ali ovaj kon­cept mo­
že da se pro­ši­ri da se pre­ko tog lin­
ka „pre­u­zme“ ra­ču­na­r­ oso­be ko­ja je
klik­nu­la. Za sa­da se kom­pa­ni­je od­
lu­ču­ju sa­mo da vi­de ko­ji broj lju­di će
da klik­ne na neš­to što ne bi tre­ba­
lo, od­no­sno ka­kva je nji­ho­va si­gur­
no­sna sve­snost, se­cu­rity awa­re­ness.

Re­dov­na pro­ve­ra
bez­bed­no­sti
Za kraj, mo­že­mo li da ču­je­mo
ne­ki sa­vet etič­kog ha­ke­ra?
Sa­vet za kom­pa­ni­je­ je da re­dov­no
pro­ve­ra­va­ju svo­ju si­gur­nost upoš­lja­
va­ju­ći etič­kog ha­ke­ra da to ura­di za
njih, jer one sa­me, kao što sam ra­ni­
je re­kao, ne­ma­ju ka­pa­ci­te­te da sve dr­
že pod kon­tro­lo­m. Taj po­sao bi tre­ba­
lo da ra­de­u re­gu­lar­nim in­ter­va­li­ma, jer
će im to si­gur­no po­mo­ći da po­dig­nu
svo­ju si­gur­nost na vi­ši ni­vo. Kom­pa­ni­je­
ne bi tre­ba­lo da se pla­še etič­kih ha­ke­
ra; oni su tu da za­jed­no ra­de na po­ve­
ća­nju si­gur­no­sti. Io