Etikus hackerek Szolnokon: Vélemények és kedvező árak

Etikus hacker magánügyfeleknek

Etikus hacker akkor kell, amikor egy weboldal, fiók, otthoni hálózat, kis vállalkozói rendszer vagy adatkezelési folyamat biztonságát szeretnéd ellenőrizni, mielőtt gond lenne belőle. A munka lényege nem a látványos trükk, hanem a szabályos vizsgálat, írásos engedéllyel, pontos határokkal és érthető jelentéssel. Magánügyfeleknél ez gyakran egy webshop, foglalási oldal, családi vállalkozás, régi szerver, levelezés vagy gyanús belépési esemény miatt merül fel. Szolnok környékén sok kisebb vállalkozás működik úgy, hogy az informatikai háttér évek alatt nőtt hozzá a napi munkához. Ilyenkor nem mindig látszik, melyik gyenge pont az igazán veszélyes.

Qjob.hu oldalán különböző szakemberek közül lehet választani, nem egyetlen cég csomagját kell elfogadni. Ez hasznos, mert a feladatok nagyon eltérők. Egy egyszerű WordPress oldal átnézése nem ugyanaz, mint egy belső ügyféladatbázis vagy egy távoli hozzáférés vizsgálata. Szerintem akkor jó a megbízás, ha a szakember az elején nem ígér túl sokat. Előbb kérdez, tisztázza a jogosultságot, majd leírja, mit fog tesztelni és mit nem.

Mikor indokolt a biztonsági vizsgálat

Biztonsági vizsgálat akkor indokolt, ha a rendszerben személyes adatok, ügyfélfiókok, fizetési adatok, üzleti dokumentumok vagy távoli belépési lehetőségek vannak. Nem kell megvárni a feltörést. Egy etikus hacker feladata az, hogy ellenőrzött módon keresse meg a sebezhetőségeket, majd rangsorolja őket. A magánügyfelek egy része csak akkor keres segítséget, amikor már gyanús belépést lát, eltűnnek fájlok, furcsa levelek mennek ki a címéről, vagy a weboldal hirtelen átirányít más oldalakra. Ez már nem kényelmes helyzet.

Sok esetben elég egy célzott sérülékenységvizsgálat. Ilyenkor a sérülékenységvizsgáló nem támad mindent egyszerre, hanem a fontos pontokra figyel. Frissítések, jelszókezelés, jogosultságok, nyitott portok, bővítmények, mentések, naplózás. Ezek unalmas témáknak tűnnek, de a legtöbb baj innen indul. Volt eset, amikor egy ügyfél azt hitte, komoly támadás érte a weboldalát. A vizsgálat végén kiderült, hogy egy régi bővítmény maradt bent, amelyet már nem tartottak karban. A javítás gyors volt, de a felismerés kellemetlen.

Mit vizsgál egy behatolástesztelő

A behatolástesztelő először a hatókört nézi meg. Ez lehet egy weboldal, szerver, vezeték nélküli hálózat, felhasználói fiók, alkalmazás vagy adatbázishoz kapcsolódó belépési pont. Magánmegbízásnál különösen fontos, hogy minden írásban legyen. A szakember nem kérhet hozzáférést olyan fiókhoz, amelyhez az ügyfélnek nincs joga. És nem végezhet próbatámadást más tulajdonában lévő rendszer ellen. Ez nem formaság, hanem alapfeltétel.

A vizsgálat több részből állhat. Először jön az információgyűjtés, majd a hibák keresése, ellenőrzése, kockázati szint megadása és a javítási javaslat. A jobb jelentés nem csak technikai listát ad. Leírja, miért baj egy hiba, milyen adatot érinthet, és milyen sorrendben érdemes javítani. Személy szerint azt tartom hasznosnak, ha a kiberbiztonsági szakember nem ijesztget, hanem különválasztja a sürgős és a később javítható pontokat. Így a megbízó nem pánikból dönt.

Etikus hacker árak és díjtételek

Az ár főleg attól függ, mennyi rendszert kell átnézni, kell-e írásos jelentés, van-e sürgősség, és szükséges-e javítási konzultáció. Egy kisebb weboldal gyors ellenőrzése olcsóbb, mint egy teljes behatolási teszt. De túl olcsó ajánlatnál óvatos lennék. Olcsóbban 25.000 forint alatt ritkán lesz alapos munka, ha valódi elemzést és érthető javaslatot is vársz. Egy automata jelentés önmagában kevés. Az érték ott kezdődik, amikor valaki értelmezi is az eredményt.

Az áraknál fontos, hogy ne csak a végösszeget nézd. Kérdezd meg, mit tartalmaz a díj. Kapcsolódik-e hozzá visszateszt. Benne van-e a jelentés. Van-e rövid megbeszélés a hibákról. Egy kibervédelmi szakértő óradíja magasabb lehet, de ha két óra alatt pontosan megmondja, mi a baj, az végül olcsóbb, mint egy hosszú, homályos vizsgálat.

Szakember választása biztonsági munkára

Etikus hacker választásánál a bizalom fontosabb, mint a hangzatos bemutatkozás. Nézd meg, hogyan kérdez. Kéri-e a jogosultság igazolását. Tud-e egyszerűen beszélni a kockázatokról. Elmondja-e, hogy bizonyos dolgokat nem vállal. Ez jó jel. Aki bármit megcsinál, bármilyen célponton, azt érdemes elkerülni. Sok ügyfél ott hibázik, hogy csak az árat nézi, és nem kérdez rá a munkamódszerre.

Hasznos, ha a szakembernek van gyakorlata webes rendszerekben, hálózatokban vagy incidensek első vizsgálatában. Nem kell mindenhez ugyanaz az ember. Egy webáruházhoz más tudás kell, mint egy otthoni hálózat átnézéséhez. A kiberbiztonsági szakember akkor dolgozik jól, ha a végén nem csak hibákat sorol, hanem érthető döntési alapot ad. Melyik hiba veszélyes. Melyik javítható később. Melyik igényel fejlesztőt vagy rendszergazdát.

Szolnok és környéki megbízások

Szolnok területén sok feladat távolról is elvégezhető, de bizonyos esetekben a helyszíni jelenlét praktikusabb. Ilyen a WiFi vizsgálat, egy kis iroda hálózatának áttekintése, vagy olyan eszközök ellenőrzése, amelyekhez nincs biztonságos távoli hozzáférés. Belváros, Széchenyi városrész, Tallinn, Szandaszőlős és a környező települések felől is gyakori, hogy a megbízó gyors, de nem kapkodó segítséget szeretne. A közeli helyszín előnye, hogy könnyebb egyeztetni, ha több eszközt kell látni.

A távoli munka viszont sokszor elég. Egy weboldal, szerver vagy felhős fiók vizsgálatához nem feltétlenül kell személyes találkozó. Ilyenkor a hozzáféréseket biztonságosan kell átadni, és jobb ideiglenes belépést adni, mint állandó jelszavakat küldözgetni. Szolnok környékén ez főleg kisebb vállalkozásoknál fontos, ahol nincs külön informatikai részleg, csak egy tulajdonos, aki mindent maga kezel.

Tipikus hibák és kockázatok

A leggyakoribb hiba a halogatás. Sok tulajdonos tudja, hogy a weboldal régi, a jelszavak gyengék, a mentések nincsenek ellenőrizve, mégsem lép. A másik hiba az, amikor egyetlen vírusirtótól várnak teljes védelmet. Ez kevés. A harmadik, hogy ugyanazt a jelszót használják levelezéshez, tárhelyhez és közösségi oldalhoz. Itt egyetlen kiszivárgás is elég lehet.

Etikus hacker megbízásnál problémát okozhat a rosszul megadott hatókör is. Ha a megbízó nem tudja, melyik tárhely, melyik domain, melyik fiók az övé, a munka lassabb és bizonytalanabb lesz. Jobb előre összegyűjteni a domaineket, rendszereket, kapcsolattartókat és a korábbi hibákat. Poénnak hangzik, de sok vizsgálat első órája azzal telik, hogy kiderül, pontosan ki fér hozzá mihez. Ez pénzbe kerül, pedig elkerülhető.

Jelentés és javítás után

A vizsgálat akkor ér valamit, ha utána történik javítás. Egy jó jelentés nem fióknak készül. Tartalmaz rövid összefoglalót, technikai részleteket, bizonyítékot a hibára, kockázati szintet és javasolt lépéseket. Magánügyfeleknél különösen hasznos, ha van benne közérthető rész is. Nem mindenki fejlesztő, és ez rendben van.

A javítás után érdemes visszatesztet kérni. Ez nem mindig drága, de sok félreértést megelőz. Előfordult, hogy egy ügyfél jelezte, a fejlesztője már javított mindent. A visszateszt megmutatta, hogy a hiba egyik része eltűnt, de a belépési korlátozás továbbra sem működött jól. Nem rosszindulatból történt. Egyszerűen kimaradt egy feltétel. Ilyen miatt szeretem, ha a folyamat végén van ellenőrzés. Rövid, tárgyilagos, lezárható.

Az ilyen biztonsági munka tehát nem titokzatos szolgáltatás, hanem ellenőrzött biztonsági feladat. Akkor hasznos, ha van világos cél, szabályos engedély, reális díj és érthető eredmény. Aki ezt így kezeli, kisebb eséllyel fizet felesleges körökért, és nagyobb eséllyel javítja ki azt, ami valóban veszélyes.