Etikus hackerek Szegeden: Vélemények és kedvező árak

Etikus hacker magánügyfeleknek

Etikus hacker akkor kell, amikor valaki nem találgatni akar, hanem látni szeretné, mennyire védett a honlapja, fiókja, otthoni hálózata vagy kisebb rendszere. Magánügyfélként ez nem mindig látványos ügy. Sokszor csak egy furcsa belépési értesítés, egy feltört közösségi oldal, gyanús webáruházi hiba vagy egy családi vállalkozás oldalának lassulása indítja el a keresést. A Qjob.hu felületén különböző önálló szakemberek érhetők el, nem egyetlen cég csomagját kell elfogadni. Ez fontos, mert a feladatok nagyon eltérők. Más kell egy egyszerű jelszóvédelmi ellenőrzéshez, és más egy weboldal sebezhetőségi vizsgálatához.

Magánszemélynél a cél általában nem nagyvállalati audit. Inkább az, hogy ne maradjon nyitva egy olyan kapu, amit egy támadó könnyen kihasznál. Szerintem az első jó jel az, ha a szakember nem ijesztget, hanem kérdez. Milyen rendszerről van szó. Ki fér hozzá. Volt-e már incidens. Van-e mentés. Ezekből derül ki, hogy valódi biztonsági tesztelésre van szükség, vagy elég egy szűkebb ellenőrzés és néhány beállítás javítása.

Etikus hacker feladatok otthoni és kisebb rendszereknél

Az etikus hacker feladata nem az, hogy kárt okozzon, hanem hogy engedéllyel feltárja a gyenge pontokat. Ez lehet weboldal vizsgálata, belépési felület ellenőrzése, jelszóhasználati kockázat felmérése, otthoni router átnézése, felhőfiókok alapbeállításainak vizsgálata vagy egy kisebb adatbázis hozzáféréseinek ellenőrzése. A munka határa mindig előre rögzített. Ez védi az ügyfelet és a biztonsági tesztelőt is.

Szeged környékén sok magánügyfél kisvállalkozással együtt kéri ezt a szolgáltatást. Van egy honlap, rajta foglalási űrlap, ügyféladat, rendelési előzmény vagy adminfelület. Ezek nem tűnnek nagy célpontnak, mégis gondot okozhatnak. Sok támadás nem nézi, kié a rendszer. Csak automata módon keresi a hibás bővítményt, a gyenge jelszót vagy a régi belépési oldalt. Emiatt a kiberbiztonsági szakember munkája akkor is hasznos lehet, ha eddig nem történt baj.

Volt eset, amikor egy ügyfél csak azt kérte, nézzék meg, miért kap furcsa üzeneteket a weboldal kapcsolatfelvételi űrlapján. A vizsgálat végén kiderült, hogy nem maga az űrlap volt a legnagyobb baj, hanem egy régi admin fiók, amelyhez évek óta nem nyúlt senki. A javítás nem volt látványos, de sok kockázatot levett az asztalról.

Biztonsági tesztelés árak

Az ár attól függ, mennyire mély a vizsgálat, hány felületet kell ellenőrizni, és kell-e írásos összefoglaló. A túl olcsó ajánlatnál érdemes óvatosnak lenni. Dönthet valaki ár alapján, de személyes tapasztalatom szerint 18.000 forint alatt ritkán fér bele értelmes előzetes egyeztetés, vizsgálat és tiszta javaslat. Olcsóbban is lehet találni segítséget, csak ott gyakran nagyon szűk a feladat.

A konkrét ár sokszor csak rövid leírás után mondható meg. Egy oldal és egy belépési felület nem ugyanaz, mint több aldomain, régi tárhely, bővítmények és külső kapcsolatok. Én jobban bízom abban az ajánlatban, amely külön leírja a vizsgálat határát. Így később nem lesz vita abból, hogy mi tartozott bele.

Megbízható etikus hacker választása

A jó választásnál nem csak a technikai tudás számít. Fontos, hogyan kommunikál a szakember. Egy etikus hacker szakember legyen pontos a határoknál, kérjen engedélyt a tesztekhez, és ne ígérjen teljes védelmet egy rövid átnézés után. Teljes biztonság nincs. Vannak csökkentett kockázatok, jobb beállítások és érthető javítási lépések.

Sok ügyfél ott hibázik, hogy csak azt kérdezi, mennyi az ára. Pedig legalább ilyen fontos, hogy kap-e rövid dokumentációt, megmondja-e a szakember, mit nem vizsgált, és érthetően rangsorolja-e a hibákat. Ha valaki csak általános mondatokat ír, például hogy minden rendben lesz, az nekem gyenge jel. A biztonsági tesztelő akkor hasznos, ha konkrétan beszél. Melyik felületet nézi meg. Milyen mélységben. Milyen adatot nem érint. Hogyan adja át az eredményt.

Érdemes rákérdezni arra is, hogy javítást vállal-e, vagy csak vizsgálatot. Mindkettő rendben lehet, csak ne keveredjen. Ha ugyanaz az ember tesztel és javít, gyorsabb lehet a munka. Ha külön történik, néha tisztább az ellenőrzés. Magánügyfélnél a legfontosabb a követhetőség.

Szegedi helyszínek és környékek

Szeged esetében a munka nagy része távolról is elvégezhető, de vannak helyzetek, amikor személyes jelenlét kell. Ilyen lehet az otthoni hálózat, egy helyi irodában működő eszköz vagy olyan régi számítógép, amelyhez nem szeretne a tulajdonos távoli hozzáférést adni. Belváros, Újszeged, Rókus, Tarján, Móraváros és Alsóváros felől is lehet helyi vagy közeli szakembert keresni. A környező települések közül Algyő, Deszk, Sándorfalva és Domaszék is gyakran reális távolság.

A helyi jelenlét nem mindig jelent jobb munkát, de néha megkönnyíti az első egyeztetést. Egy magánlakásban vagy kis irodában a sérülékenységvizsgáló gyorsabban megérti, milyen eszközök vannak, ki használja őket, és hol lehet emberi hiba. Mert a támadás nem csak kódról szól. Gyakori ok az elmentett jelszó, a közös fiók, a régi laptop vagy a nyitva hagyott admin oldal.

Sérülékenységvizsgálat menete

A munka általában rövid helyzetfelméréssel kezdődik. Ezután jön a vizsgálat határainak rögzítése. Mit szabad nézni. Mikor történhet a teszt. Kell-e leállástól tartani. Milyen adatokat nem szabad megnyitni. Ezek nem formaságok. Ha ez kimarad, később könnyen félreértés lesz.

A következő lépés az ellenőrzés. A kiberbiztonsági szakember megnézheti a belépési pontokat, verziókat, jogosultságokat, ismert hibákat, rossz beállításokat és a naplókat. Nem minden vizsgálat jelent mély behatolási tesztet. Magánügyfeleknél sokszor az alapok rendbetétele adja a legnagyobb javulást. Erős jelszó, kétlépcsős azonosítás, frissítés, mentés, felesleges fiókok törlése. Egyszerűnek hangzik, mégis gyakran ez hiányzik.

A végén hasznos egy rövid, érthető összefoglaló. Nem kell hosszú tanulmány minden esetben. De legyen benne, mi volt a gond, mennyire sürgős, és ki tudja javítani. Szerintem az a jó jelentés, amelyet egy nem műszaki ügyfél is megért, de egy fejlesztő is tud belőle dolgozni.

Adatvédelem és engedélyek etikus hacker munkánál

Az engedély nélküli próbálkozás nem etikus vizsgálat. A megbízásnak világosnak kell lennie. Ki a tulajdonos. Melyik domain, fiók, eszköz vagy hálózat tartozik a feladatba. Ha családi vagy közös vállalkozási rendszer érintett, akkor különösen fontos, hogy minden jogosult fél tudjon róla. Ez nem bizalmatlanság, hanem védelem.

Az adatok kezelése szintén érzékeny kérdés. Egy etikus hacker láthat belépési mintákat, technikai hibákat, néha személyes adatokat is. Ezért nem mindegy, hogyan dolgozik. A hozzáféréseket a munka után vissza kell vonni. Az átadott jelszavakat érdemes cserélni. A jelentést nem jó nyilvános csatornán küldeni. Apró dolgok, de sok kellemetlenséget előznek meg.

Magánügyfélként nem kell minden szakkifejezést ismerni. Elég ragaszkodni ahhoz, hogy a feladat legyen leírva, a határ legyen tiszta, és az eredmény legyen érthető. Ha egy szakember ezt türelmetlenül kezeli, én másik ajánlatot kérnék. A biztonság bizalmi munka, de nem vak bizalom.

Mikor érdemes gyorsan segítséget kérni

Vannak jelek, amikor nem jó halogatni. Ilyen a váratlan belépési értesítés, eltűnt tartalom, ismeretlen admin felhasználó, átirányított weboldal, gyanús banki vagy levelezési aktivitás, illetve ha valaki zsaroló üzenetet kap. Ilyenkor először nem pánikolni kell, hanem megőrizni a nyomokat. Nem mindig jó mindent azonnal törölni, mert később épp azokból lehet látni, mi történt.

Egy kisebb incidens után a biztonsági tesztelés nem luxus. Inkább kármentés és tanulás. Sokszor kiderül, hogy a támadás oka nem bonyolult. Régi jelszó, újrahasznált fiók, frissítetlen bővítmény vagy rosszul beállított jogosultság. És itt jön a kellemetlen rész. A javítás néha unalmas. De pont az unalmas javítások védik meg a rendszert a következő hasonló hibától.

Szeged magánügyfelei számára az a praktikus megoldás, ha először pontosan leírják a tüneteket, összegyűjtik a hozzáférések listáját, és csak ezután kérnek ajánlatot. Így a szakember kevesebbet találgat, az ügyfél pedig reálisabb árat kap. Az Etikus hacker szolgáltatás akkor működik jól, ha nem misztikus mentőakcióként kezelik, hanem szabályos, átlátható technikai segítségként.