Az etikus hacker témát ma egy más megvilágításból közelítjük meg. Egy előző bejegyzésben írtunk arról, hogyan lehet valakiből etikus hacker, most azt nézzük meg, hogyan és milyen eszközök segítségével dolgoznak.
Csermák Szabolcs, etikus hackerrel beszélgettünk, aki saját tapasztalatait osztotta meg velünk.
Hogyan kell elképzelni azt, amikor az etikus hackerek elkezdik vizsgálni a sérülékenységeket?
Szabolcs: Az egyik legfontosabb, amire etikus hackerként oda kell figyelni, hogy legyen egy szerződés, megbízás. A szerződéskötést megelőzi egy megbeszélés, amikor a felek tisztázzák, mi az, amit tesztelni lehet, és mi az, amit nem. A tesztelés csak ezután kezdődik. Ha a rendszerben nincsenek alapvető problémák, akkor a megbízó ebből semmit nem fog észrevenni. Hiszen fekete kalapos hackerként is az a cél, hogy ne vegyék észre, ha feltörnek egy rendszert.
A folyamat során csak jelentenek, vagy be is hatolnak a rendszerekbe, így bizonyítva a sérülékenységeket?
Szabolcs: Igen, csak scope-on belül, de mindenképpen be kell lépni. Gyakran szoktuk kérni, hogy legyen egy olyan rendszer, ami megegyezik az éles rendszerrel, vagy csak tesztadatok találhatóak benne, így a személyes adatok nem is elérhetőek számunkra. Amennyiben nem lehetséges, muszáj belépni a rendszerbe ahhoz, hogy a sérülékenység kihasználhatóságát tesztelni tudjuk, s mint gyengeséget, bele tudjuk írni a riportba.
Hogyan haladnak az etikus hackerek szisztematikusan a sérülékenységek feltárása felé?
Szabolcs: Én azt mondanám, hogyha 100%-nak vesszük az egész folyamatot, 70% az unalmas rész, a feltérképezés. Ahhoz, hogy hibát találhass, nagyon jól kell ismerned a rendszert: milyen funkciói vannak, ha beírunk valamit a keresőbe hogyan jelenik meg.
Ha megvan a feltérképezés rész, akkor lehet azon gondolkodni, hogy azt a modellt, amit te felállítottál magadnak a rendszerről, hogyan lehet megtámadni. Ha például a weboldalakról beszélünk, ahol az emberekről valamilyen adatot meg lehet szerezni, akkor máris tudjuk mit kell keresni.
Volt egy auditom, ahol apró-cseprő sérülékenységeket találtunk, de ahogy megismertük a rendszer működését, ezeket az apró hibákat össze lehetett kötni úgy, hogy a végén jelszavakat lehetett megszerezni. Ezért nagyon fontos a tesztelt felület megismerése.
Hacktify: Sokszor azt vesszük észre, hogy van egy tévhit a teszt lebonyolításával kapcsolatban. Sokan azt gondolják, hogy a csuklyás emberek ütik a billentyűzetet és két perc alatt bejutnak a rendszerbe. Ez nem így működik. Van, hogy órákon keresztül futnak scannerek. Ez egy türelemjáték, nem úgy történik, ahogy azt a filmekben látjuk. Előfordulhat, hogy amit találnak az zsákutcába vezet és nem lehet kihasználni.
Szabolcs: Igen, én ezért sem szeretek automata eszközökkel dolgozni, amik helyettem megtalálják a hibát, mert kijöhet fals pozitív, illetve fals negatív eredmény is.
A fals pozitívnál is ugyanúgy végig kell vezetni, hogy kiderüljön valóban igazi-e a hiba, ezzel pedig elveszíted azt az időt, amit nyertél. Fals negatívnál pedig előfordulhat, hogy elsiklik a figyelmünk valódi hibák felett.
Vannak olyan szoftverek, amiket az etikus hackerek használnak a munkájuk során?
Szabolcs: Rengeteg olyan eszköz van, amit használunk. Nyilván célponttól és helyzettől is függ. Én Kali Linuxot szoktam használni, mert abban szinte minden benne van.
A legtöbb audit webes rendszerekre szól, esetleg mobil appokra. Ezeknél jó az időszaki Proxy-nak a használata, ingyenes a ZAP, illetve léteznek más ingyenes lehetőségek is. Vannak olyan eszközök, amit webes felületeknél mindenképpen használunk, ilyen például az SQLMap, ami megkönnyíti a dolgunkat.
Én legtöbbször talán a Burp Suite-ot használom, a feltérképezési fázisban csak bekapcsolom, és kapok egy áttekintést arról, mibe lehetne belenyúlni, hogyan lehetne a sérülékenységeket kihasználni.
Milyen előzetes információk elengedhetetlenek a bug bounty programban való munkához?
Szabolcs: A határokat mindenképpen tudni kell. A program leírásában ez benne van, ha ez így megfelelő, akkor kezdődhet csak a munka. Egy bug bounty során erre még inkább figyelni kell, hiszen nem áll fenn közvetlen kapcsolat a megbízóval.
Van olyan megoldás, hogy le lehet tölteni egy olyan fájlt, ami behatárolja a scope-ot, így mást nem is lehet keresni.
Előzetes információként szükséges még a hiba ismerete, hiszen másképp nem is lehet rajta dolgozni, ezen kívül pedig megszokták nézni, hogy pontokért vagy jutalomért megy-e a tesztelés.
A bug bounty izgalmas tud lenni, sokat lehet belőle tanulni.
Mire kell különösen figyelniük?
Szabolcs: Ami nagyon érzékeny dolog egy tesztelés során, az a program leírásában szerepel. Ezen kívül az eszközök beállítása is az etikus hacker felelőssége, jó fényt vet rá, ha nem terheli túl a rendszert.
Meddig mehetnek el a tesztelés során, illetve a hiba bemutatásánál?
Szabolcs: Scope-on kívüli hibát természetesen nem jelenthetnek. Azonban, ha találnak egy sérülékenységet, azt mindenképpen bizonyítani kell. Ameddig ez nem történik meg, addig ez csak egy teória. Ha a megbízó vagy a bug bounty platformnál dolgozók nem tudják reprodukálni, az nem hiba.
Nagy bug bounty programoknál, hogyan hangolják össze többen a feladatokat?
Hacktify: Bug bounty-nál általában nem csapatokban szoktak dolgozni az etikus hackerek, hanem egyedül. Fontos, ha valaki megtalál egy hibát, azt jelentse be minél előbb. Ha más gyorsabban jelenti be, akkor az már csak duplikátum lesz. Az ügyfél pedig csak egyszer fizet, ezért egy kis verseny is van ebben a dologban.
Előfordul, hogy akik ismerik egymást és tetszik nekik egy program, együtt vágnak bele a tesztelésbe. Megbeszélik, ki melyik sérülékenységre megy rá, ki melyik domaint teszteli.
Szabolcs: Bug bounty-nál eddig csak egyedül dolgoztam, de auditnál volt, hogy másokkal is. Általában azt szoktuk csinálni, hogy mindenki vizsgál mindent, majd megosztjuk egymással és közösen agyalva próbálunk tovább menni.
Ilyenkor nagyon jól látszik, hogy mások hogyan dolgoznak. Bug bounty-nál talán kicsit nehezebb lehet összehangolni, de vannak rá példák.
Az eddigi bug bounty programok során, hogyan találták meg a bug-okat a hackerek?
Hacktify: Mindenkinek megvan a bevált módszere, ami alapján halad. Információt gyűjtenek, keresik a sérülékenységeket, ha valamit találnak, azt bemutatják különböző lépésekben, képernyőfotókat vagy videókat készítenek, és ezeket nyújtják be.
Szabolcs: Én alapvetően nem bug bounty-zok sokat, de ha mégis, akkor én is a bevált módszereim alapján haladok. Ez mindig alakul, tökéletesedik kicsit.
Az etikus hackereknek kötelezően kell javaslatot írni a sérülékenységhez?
Szabolcs: Ez nem egy kötelező elem, de mindenképpen ajánlott. Ha én egy megbízó vagyok, aki egyáltalán nem ért hozzá, akkor hiába kapom meg a riportot, nem tudok vele mit csinálni. Ha adunk hozzá valamilyen megoldási javaslatot, akkor a fejlesztői el tudnak indulni egy úton.
A riport átadásával azonban nem ér véget a hibának a története. Amennyiben felmerül még kérdés a megbízó részéről, megfelelő kommunikációval meg lehet oldani a problémát.
Régen volt egy ellenséges érzés az etikus hackerek felé, de szerencsére sokat fejlődött a világ és könnyebben lehet kialakítani jó partneri viszonyt.
Van lehetőség arra, hogy csak egy riportot kapjon a megbízó?
Hacktify: Bug bounty-nál a hackereknek egyénileg kell riportokat benyújtaniuk, de mi kérés szerint összegyűjthetjük őket, és heti vagy havi bontásban is küldhetjük.
Eddigi tapasztalatok alapján a külön riport küldés volt a megszokott, mert kritikus hiba esetén nem várunk, minél előbb az ügyfél tudtára hozzuk.
Tapasztalataid alapján több cég kér sérülékenység vizsgálatot? Fontosabb nekik az IT biztonság?
Szabolcs: Én úgy látom, hogy igen. Egyre nagyobb az igény a biztonságra. A COVID mindenképpen nagy löketet adott, a magyar piacot néhány évvel előrébb juttatta.
Az etikus hacker kifejezés sokszor még ma is negatív csengésű, ezért tartjuk fontosnak, hogy ennek a témakörnek is minél több részletét megismerhessétek. Több bejegyzést is írtunk a témához kapcsolódóan (Hogyan lesz valaki sikeres bug bounty hacker, Vendégblog: Interjú az etikus hackerrel – tények és titkok első kézből), olvassátok el azokat is.
