Bryter sig in av goda skäl

Inte alla hackare som attackerar företag är skurkar; vissa får betalt för att göra det av sitt mål. I en tjänst som kallas penetrationstestning försöker ett säkerhetsföretag komma åt eller kontrollera en klients system för att avslöja svagheter som kan utnyttjas av en riktig angripare.





Spana efter problem: Brian Holyfield, medgrundare av Gotham Digital

Vissa typer av företag är lagligt skyldiga att genomgå penetrationstester, men många andra väljer dem också, säger Brian Holyfield, medgrundare av Gotham Digital Science , ett företag baserat i New York som är specialiserat på denna tjänst. Holyfield sa till Tom Simonite, Teknikgranskning s IT-redaktör för hårdvara och mjukvara, att Gotham under några stora jobb distribuerar tre av sina hackare mot ett företag i veckor i taget.

BARN : Varför behövs penetrationstestning? Kunde du inte bara berätta för ett företag vilka sårbarheter en angripare skulle leta efter?



Holyfield: Vi letar inte efter standardsårbarheter. För det mesta letar vi efter sårbarheter på kodnivå i anpassade applikationer. Alla har webbappar nu, och verkligheten är att brandväggen gör lite för att skydda dem.

Vilka typer av företag arbetar du med?

Vi arbetar främst med bank och finans, hälsovård och mjukvaruleverantörer. Alla sajter och system som accepterar kreditkort förväntas genomföra tester om de gör fler än ett visst antal transaktioner per år. Men många företag är inte tvungna att göra detta. Den största marknaden vi betjänar är företag som tillhandahåller mjukvara som en tjänst. De tillfrågas av kunder om vad de gör för att säkerställa att det är säkert.



Är kunder rädda för att frivilligt bli hackade?

Första gången någon går igenom detta, finns det en nivå av nervositet och till och med paranoia. Vi måste arbeta för att få dem att lägga undan sina egon och förstå att det inte är en vi-mot-dem-övning; vi försöker inte få någon att se dålig ut. När ett penntest är över är kunderna i allmänhet glada över att vi hittade problemet före skurken.

Vad är ett bra exempel på sårbarheter du har hittat?



I ett nyligen engagemang komprometterade vi en marknadsföringswebbplats för en stor finansiell institution som kördes på en oparpad webbserver. Den servern användes som en hopppunkt för att gå igenom brandväggen och få anslutning till system på deras interna nätverk.

Vi upptäckte att ett av kontona [taget från] webbservern (vi hade knäckt lösenordet) också var en administratör på valvet som lagrar allas lösenord för det nätverket. Vi kunde logga in som vem som helst. En bra lärdom här är att bara för att ett system inte är kritiskt betyder det inte att servern kan skrivas av ur ett säkerhetsperspektiv. När du väl får tillgång till perimeterboxen har du vanligtvis många fler alternativ för att attackera viktigare system, eftersom du nu är bakom brandväggen. Den andra lärdomen är vikten av att inte använda samma lösenord på olika system.

När din attack är över, vad presenterar du för kunden?



Vi har alltid en skriftlig rapport och steg-för-steg-skärmdumpar och instruktioner som vi kan lämna till en utvecklare och säga, så här gör du. Efter penetrationstestet tillför vi mervärde genom att göra det tydligt exakt vad som behöver göras. Det kan jämföras med en klassisk säkerhetsrevision som tenderar att vara tungt vägd mot bästa praxis.

Är de människor som gör detta för de goda annorlunda än de onda?

Det kräver inte bara specialiserade färdigheter utan också en viss typ av person. Det är inte så att människor är bra på sitt jobb lika mycket som det är deras hobby, vad de lever och andas. De har en önskan att inte bara ta reda på hur något fungerar utan att ta reda på hur man använder något [för ett ändamål] som det inte var avsett för.

Det är en fin linje mellan någon med den passionen bara för intressets och kunskapens skull och någon som kommer att orsaka skada eller försöka tjäna pengar. När vi letar efter talanger är en del av vår rekryteringsprocess en mycket strikt bakgrundskontroll för att leta efter en mörk sida. Det har varit många fall där vi känner väldigt begåvade människor som vi helt enkelt inte kan anställa.

Blir penetrationstestning vanligare?

Ja, det börjar bli mycket mer mainstream. Ett tecken på det är hur det blir lättare för människor att få tillstånd från sin internetleverantör, som måste veta det så att de kan förstå att det inte är en riktig attack. Idag gör infrastrukturföretag som Amazon det väldigt enkelt. Om du är värd i Amazons moln är det lika enkelt att få tillstånd för ett penetrationstest som att fylla i ett enkelt webbaserat formulär.

Kan penetrationstester ha förberett Sony för de senaste attackerna där användardata stals?

Ett penetrationstest fokuserar vanligtvis på ytterdörren, men det finns massor av fönster. Jag tror att Sony faktiskt var inriktat specifikt. Social ingenjörskonst och spjutfiske [skapa meddelanden för att lura en viss person att avslöja känslig data] kunde ha använts mot individer med tillgång till data. Att testa socialtekniska attacker är ett alternativ för ett penntest, men de flesta går inte på det. De känner redan till riskerna.

Dölj