Etikus hackerek Miskolcon: Vélemények és kedvező árak

Etikus hacker Miskolcon magánmegbízásra

Etikus hacker akkor kell, amikor szeretnéd tudni, mennyire könnyű visszaélni a saját eszközeiddel és fiókjaiddal, még mielőtt más próbálná meg. Miskolc környékén gyakori, hogy egy családi házban egyszerre fut a munka, az iskola és a bankolás ugyanazon a wifin, és közben senki nem nézi, mi maradt nyitva. Én személy szerint jobban szeretek egy rövid, célzott vizsgálattal kezdeni, mert abból gyorsan kiderül, hol van a valódi kockázat, és mi az, ami csak félelem.

Sokan elkövetik azt a hibát, hogy a biztonságot addig halogatják, amíg tényleg baj nem lesz. Aztán jön egy gyanús belépés, eltűnik egy közösségi fiók, vagy egyszerűen zárolnak egy levelezést, és akkor minden sürgős. Ilyenkor az etikus hacker munkája nem varázslat. Rend, mérés és visszajelzés. És igen, néha kellemetlen igazságok is.

Etikus hacker feladatkörei hétköznapi rendszereknél

Magánmegbízásnál a cél általában egyszerű. Ne lehessen könnyen belépni oda, ahova nem szabad. Ez lehet egy otthoni hálózat, egy kisebb weboldal, egy webáruház fiókkezelése, vagy egy felhős tárhely, ahol családi képek és szerződések vannak. Egy kiberbiztonsági szakember ilyenkor azt nézi meg, milyen kapuk maradtak nyitva. Gyenge jelszó, elavult bővítmény, rosszul beállított jogosultság, újrahasznált belépés. Ezek unalmasnak hangzanak, de pont ettől veszélyesek.

Én a gyakorlatban azt látom, hogy a legnagyobb kár nem a technika miatt keletkezik, hanem a kapkodásból. Egy gyanús levélre rákattint valaki, és máris megadja a jelszót egy hamis oldalon. A biztonsági tesztelő nem csak a gépet nézi, hanem a szokásokat is. Nem ítélkezik, csak megmutatja, hol csúszik el a rutin.

Volt egy eset, amikor egy miskolci ügyfél azt hitte, a problémája a wifi. Kiderült, hogy a gond az volt, hogy ugyanazt a jelszót használta a levelezéshez és egy régi fórumhoz. A fórum adatai kiszivárogtak, és a jelszó ott keringett évek óta. A megoldás nem új router volt, hanem jelszócsere, kétlépcsős belépés és egy egyszerű ellenőrzés a fiókokon. Nekem az ilyen történetek azért fontosak, mert megmutatják, mennyire emberi a hiba.

Sebezhetőségi vizsgálat és behatolásteszt különbsége

A sebezhetőségi vizsgálat általában listát ad. Mi hiányzik, mi elavult, mi gyenge. A behatolásteszt viszont azt próbálja meg, hogy ezekből tényleg lehet e belépni. A különbség nem csak a mélység. A különbség az eredmény használhatósága. Egy informatikai biztonsági szakértő sokszor előbb feltérképez, aztán a legkockázatosabb részeket próbálja ki biztonságos keretek között.

Én azt preferálom, hogy legyen hatókör. Mi a cél, mihez szabad nyúlni, és mi az, amit nem. Sok megbízás azért csúszik félre, mert a megrendelő csak annyit ír, hogy nézd át az egészet. De mi az egész. Egy telefon, két laptop, egy okostévé, egy online bank, egy weboldal. Ha mindent egyszerre kérsz, a végén egyik sem lesz elég alapos. A jó behatolástesztelő kérdez. És ha nem kérdez, az nálam rossz jel.

Fontos az is, hogy a vizsgálat legális és ellenőrzött legyen. Etikus hacker csak engedéllyel dolgozik. Magánügyfélként ez néha furcsán hangzik, de ez véd téged is. Ha később vita lenne, legyen nyoma annak, hogy mi volt a feladat, mikor történt, és mi lett a kimenet.

Felkészülés a biztonsági vizsgálatra

Ha gyors eredményt szeretnél, a legjobb, amit tehetsz, hogy összegyűjtöd a belépéseket és a rendszerképet. Milyen eszközök vannak, milyen fiókok fontosak, van e kétlépcsős belépés, ki használja a hálózatot. Nem kell hosszú dokumentum. Pár sor is elég, csak legyen pontos. Miskolc esetében sokszor vegyes a helyzet, mert van régi kábelnet, új wifi és közben pár okoseszköz is. Én ilyenkor mindig azt kérem, hogy legyen egy idősáv, amikor nem gond, ha valami újraindul.

Sokan megijednek attól, hogy egy vizsgálat közben adatvesztés lehet. Őszintén, egy felelős etikus hacker szakember nem úgy dolgozik, hogy kockáztatja a fotóidat vagy a számláidat. De van egy valós kockázat. Ha a rendszer eleve instabil, egy terhelés megmutathatja a hibát. Ezért jó, ha van mentés. Én a saját tapasztalatom alapján azt mondom, mentés nélkül ne kezdj bele semmibe, ami hozzáférést érint.

És itt jön a konfliktus. Sok ügyfél spórolni akar az előkészítésen. Azt mondja, majd menet közben kiderül. De ettől csak hosszabb lesz a munka, és drágább is. Olcsóbbnak tűnik kihagyni az alap lépéseket, de később ebből lesz a rohanás.

Árak etikus hacker munkánál

Az árak a hatókörtől és a mélységtől függnek. Egy rövid áttekintés más, mint egy teljes behatolásteszt több eszközön. Én úgy látom, hogy 20.000 alatt ritkán lesz olyan munka, ami valóban megnyugtató és kézben tartható. Lehet olcsóbban is találni valakit, de akkor gyakran csak általános tanácsokat kapsz. Az etikus hacker szolgáltatás lényege a konkrétum. Mi a hiba, hol van, hogyan javítható.

A táblázat csak irány. A valós díj attól függ, mennyi mindent kell kibogozni. Ha a jelszavak össze vannak keverve, ha több ember használ egy fiókot, vagy ha nincs hozzáférés a beállításokhoz, az mind idő. És az idő pénz, ezt nem érdemes szépíteni.

Etikus hacker választása

Szakembert választani ennél a témánál nehezebb, mert a megrendelő nem lát bele az eszközökbe. Én azt javaslom, kérj három dolgot. Legyen tiszta, mit vizsgál, legyen tiszta, mit nem vizsgál, és legyen tiszta, mit kapsz a végén. Egy etikus hacker szakember nem sértődik meg a kérdéseken. Inkább örül neki, mert abból lesz pontos hatókör.

Figyeld a kommunikációt is. Ha valaki csak annyit ír, hogy megoldjuk, az kevés. Ha azt írja, hogy előbb felméri a helyzetet, majd javaslatot ad, az már reális. És igen, szerintem az is fontos, hogy elmondja, mitől nem lesz száz százalékos a védelem. Sok ügyfél azt várja, hogy a vizsgálat után nulla kockázat marad. De a valóságban inkább az a cél, hogy a könnyű támadási utak megszűnjenek.

A Qjob.hu felületén nézd meg, milyen feladatokra vállalkozik, és milyen részletességgel ír. A részletesség itt nem dísz. Ez a munka lényege. Utána itt már elég annyi, hogy megbeszélitek az időt, és a hozzáféréseket.

Jelentés, javítás és utókövetés

A jó kimenet nem csak egy lista. Kell hozzá magyarázat is. Mi a gond, miért gond, és mi a javítás sorrendje. Én személy szerint szeretem, ha a teendők rövidek és végrehajthatók. Például jelszócsere, jogosultságok szűkítése, frissítés, felesleges szolgáltatás kikapcsolása. Nem kell mindent egyszerre. De legyen egy irány, különben a papír a fiókban marad.

Volt már olyan, hogy egy ügyfél mindent kijavított, amit kértünk, majd két hét múlva visszatért ugyanaz a probléma. Nem azért, mert rossz volt a javítás. Azért, mert a családban valaki újra felrakott egy régi programot, és az visszahozta a rést. Ezt nem rosszindulatból csinálta. Csak nem tudta. Ezért hasznos az utóellenőrzés, és ezért mondom, hogy a biztonság inkább szokás, mint projekt.

Ha Miskolc területén helyszíni segítség kell a beállításokhoz, az néha gyorsabb, mint a hosszú üzenetváltás. De sok esetben elég a távoli egyeztetés és egy rövid, lépésről lépésre leírt lista. A lényeg, hogy a végén te is értsd, mi történt. És ha legközelebb jön egy gyanús levél vagy belépés, már lesz egy rutinod. Nekem ez a valódi eredmény.