Internet ogledalo - Specijalno godišnje izdanje | Page 75
i sistematski proveriti sve aspekte si
gurnosti i uočene propuste predočiti
kompanijama. Jer, tek kada postanu
svesne sigurnosnih propusta kom
panije mogu da ih rešavaju.
Opasan disbalans
Kakva su vaša lična saznanja o sta
nju sigurnosti kompanija u regionu?
U firmama sa kojima mi radimo si
gurnost je, može se reći dobra, sa
mo možda nepravilno raspoređena.
Puno pažnje i resursa usmerava se
uglavnom na jednu vrstu zaštite, kao
što je zaštita sa interneta, firewallo
vi, dok se bezbednosti unutar kom
panije posvećuje neuporedivo ma
nje pažnje. Kroz testove koje mi radi
mo vrlo brzo na videlo isplivaju takvi
„problemčići“ i to na stvarima na ko
je se obraća manja pažnja. A upra
vo zbog grešaka na tim stvarima si
stem postaje izložen osobama ko
je ne bi trebalo da mu imaju pristup.
Generalno je sigurnost dobra, samo
je potrebno napraviti bolji raspored i
bolji balans šta i kako da se štiti.
Kakve ste povratne informacije
dobijali nakon izvršenja penetra
tion testa u kompanijama?
Povratne informacije su dijame
tralno različite i idu u dva potpuno
suprotna smera. Od kompanija koje
dobiju izveštaj i ne javljaju se uopšte,
niti pitaju niti znamo da li su ispravi
li uočene probleme, do druge gru
pe kompanija koje su veoma zainte
resovane za rezultate testa. Iz takvih
kompanija zovu nas više puta da do
đemo da objasnimo kako smo neš
to uradili i šta oni treba da urade da
bi se propusti ispravili. U novije vre
me imamo slučajeve da kompani
je u okviru usluge „Penetration te
sta“ zahtevaju da se nakon ispravke
uočenih ranjivosti uradi ponovni te
st, tako da je to definitivno pravi put.
Proces testiranja
Kako izgleda proces testiranja si
gurnosti i šta on sve podrazumeva?
Proces ide tako što se na uvod
nom sastanku dogovorimo šta ko
risnik hoće. Ima dosta načina da se
uradi test. Postoji raspon testova od
„Black box” testa gde se testiranje vr
ši „na slepo“, pri čemu mi nemamo
ni jednu informaciju o toj kompaniji,
pa sve do „White box” testiranja gde
mi možemo od firme da tražimo bilo
koju informaciju koja nam je potreb
na kako bi test bio što uspešniji. Na
kon toga definiše se šta se testira, jer
kompanije retko mogu sebi da priuš
te testiranje celemreže ili svih uređa
ja. Zato se pravi neki ograničen „sco
pe” toga šta se testira i definiše se
uloga testera. Nekad tester može da
oponaša zlonamernog hakera koji se
ubacio u mrežu, ili može da ima ulo
gu običnog korisnika koji poseduje
username i password. Cilj je da vidi
mo šta sve on može da uradi sa kre
dencijalima koji su mu dati. Kada se
sve to dogovori počinjemo svoj po
sao. Dobijemo spisak IP adresa ko
je treba da testiramo i obično kreće
mo od skeniranja tih adresa kako bi
smo ustanovili koji su portovi otvo
reni, koji servisi rade, koje su verzije
tih servisa, da li imaju neke poznate
ili nepoznate ranjivosti i da li nešto
može da se iskoristi kako bi se dobi
la određena prava na serveru i nešto
zloup
otrebilo. To je generalno način
kako se odvija taj proces.
Ljudski faktor je često najslabi
ja karika u sigurnosnom sistemu
kompanija. Na koji način se oba
vlja testiranje zaposlenih u ovoj
sferi (tzv. socijalni inženjering)?
Do sada smo to retko radili kod
nas, ali se uglavnom ono svodi na
pokušaj da se zaposleni navedu da
kliknu na određeni link na koji ne bi
trebalo da kliknu. Obično to ide kroz
e-mail poruke određene sadržine. Tu
je bitno da se obuhvati što veći broj
ljudi, jer je sigurno da će neko od
njih klikuti na ponuđeni link. Mi ni
smo išli dalje, ali ovaj koncept mo
že da se proširi da se preko tog lin
ka „preuzme“ računar osobe koja je
kliknula. Za sada se kompanije od
lučuju samo da vide koji broj ljudi će
da klikne na nešto što ne bi treba
lo, odnosno kakva je njihova sigur
nosna svesnost, security awareness.
Redovna provera
bezbednosti
Za kraj, možemo li da čujemo
neki savet etičkog hakera?
Savet za kompanije je da redovno
proveravaju svoju sigurnost upošlja
vajući etičkog hakera da to uradi za
njih, jer one same, kao što sam rani
je rekao, nemaju kapacitete da sve dr
že pod kontrolom. Taj posao bi treba
lo da radeu regularnim intervalima, jer
će im to sigurno pomoći da podignu
svoju sigurnost na viši nivo. Kompanije
ne bi trebalo da se plaše etičkih hake
ra; oni su tu da zajedno rade na pove
ćanju sigurnosti. Io