Kedvenc eszközeim – mivel végzem az auditokat?

Itt nem a szövegszerkesztőt keresi az ember

Valamikor decemberben végeztem betörésvizsgálatot egy portálrendszeren. Mikor sikerült az első hibákat feltárni, a megbízó megkérdezte, hogy mennyibe kerülnek azok a hacker eszközök, amelyekkel dolgozom. A válaszon nagyon meglepődött: ingyenesek.

Mert ugyebár a hackernek is szüksége van eszközökre. Az autószerelőnél is van csavarhúzó, meg gyertyakulcs. A hackernél meg szoftverek vannak. Az én eszköztáramban főként ingyenes szoftverek. Persze vannak olyan etikus hackerek, akik megveszik a baromira drága szoftvereket. (pl Burp proxy fizetős verziója, 329 EUR / év, de vannak 6-7000 USD árú termékek is)

Alapvetően a Linuxos eszközöket preferálom – 2001 óta használok Linuxot, Windowst még csak véletlenül sem tennék sem a saját, sem a család többi tagjának gépére. A fizetős szoftvereket pedig a programozói tudásommal remekül ki lehet váltani. Csak hogy egy példát mondjak: a Burp nevű cucc ingyenes verziója annyival tud kevesebbet a fizetőstől, hogy az automata támadások korlátozva vannak benne. De ha valaki hacker, akkor tudja hogy miként működik egy ilyen támadás. És ha valaki programozó mellette, akkor piszok egyszerűen megírja magának a hiányzó részeket.

De kanyarodjunk vissza az eszköztárra. Az alapvető dolgok egyetlen Linuxban megtalálhatóak. Ez a Kali Linux (http://kali.org). Egyszerű, de stabil alap, és egy vagonnyi előre telepített hacker alkalmazás. Ingyenesen. Legálisan. Bárki által elérhető módon.

Megbízóm ettől az információtól szinte kétségbe esett.

“Te jó ég, akkor gyakorlatilag bárki bármikor letöltheti azokat a szoftvereket, amivel feltörhető a weboldalam?”

A rövid válasz: igen, bárki, bármikor.

Hosszabb válaszom: letöltheti ugyan, de sokra nem fog vele menni. Már alapból olyan sok eszközt tartlamaz a Kali, hogy a megfelelő programok kiválasztása is művészet. Egy-egy feladatra is sok alternatíva van benne, hogy lehessen választani. Másodsorban hiába tud elindítani a wannabe hacker egy automatikus eszközt, az még nagy valószínűséggel nem fogja feltörni a célzott weboldalt / rendszert. Esetleg jelzi, ha talált valamit. De onnantól már kell hozzá képzettség, szaktudás, és tapasztalat hogy a következő lépcsőre léphessünk. Megint csak az autószerelős példát tudom felhozni: Te is vehetsz mindenféle szerszámot magadnak otthonra, mégsem leszel képes mondjuk injektort tisztítani. (én legalábbis nem lennék rá képes)

Rettegni kár. Aki nem hacker, az nem fogja rendesen használni ezeket az ingyenes eszközöket sem. Aki meg hacker, azt az sem gátolná meg, ha nem léteznének ezek az eszközök.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.