Pánczél Zoltán / Lyukvadászok szabálykönyve



Hasonló dokumentumok
Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András

Tantárgyi programok 1. Informatikai projektmenedzsment A projektmenedzsment alapjai (a projektek típusai, életciklus, szervezet, ütemezés,

Információbiztonság minden szinten, az alkalmazás-fejlesztéstől az auditálásig.

Szabványok, ajánlások

A vizsga részei A vizsga értékelése Gyakorlat i

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

Silent Signal Kft. WebShop Tuning. Bálint. Varga-Perke

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

ÓBUDAI EGYETEM Neumann János Informatikai Kar Informatikai Rendszerek Intézet Témavezető: Bringye Zsolt

Tarantella Secure Global Desktop Enterprise Edition

INFORMATIKA. 6 évfolyamos osztály

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Népszámlálás 2011 Internetes adatgyűjtéssel

3. Milyen informatikai eszközökkel tervezné a reklámokat, milyen reklámtípust tartana a legsikeresebbnek?

1. Az informatikai eszközök használata

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Dr. Dénes Ferenc Neosys Sziklai András T-Systems. Komplex vállalati kommunikáció Egyszerűen a felhőből

A területi közigazgatás reformja és az informatika

Az E-kormányzás újabb építőköve Magyarországon: A VINGIS rendszer kialakításának tapasztalatai Katona Zoltán Molnár Attila

Tartalom. CCNA Discovery 4 9. fejezet Ajánlatkészítés

Számítógépes adatbiztonság

Nagyméretű webes projektek a felhőben

A W3C Web Payments kezdeményezése Bernard Gidon - W3C Virág Éva - W3C Magyar Iroda

SARM. Veszteségek minimalizálása visszaélés-felderítéssel. Csizmadia Attila CISA

Szoftveripar és üzleti modellek

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Adat és információvédelemi kérdések a kórházi gyakorlatban II.

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Informatika 5 8. évfolyama számára heti 1 óra. Óraterv 5 8. évfolyam 5. évf. 6. évf. 7. évf. 8. évf. Informatika heti 1 óra

IT trendek és lehetőségek. Puskás Norbert

INFORMATIKA 5. évfolyam

Fejlesztési tapasztalatok multifunkciós tananyagok előállításával kapcsolatban Nagy Sándor

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

A felhőalapú számítástechnika ismeretének és használatának empirikus vizsgálata az ausztriai és a magyaraországi vállalkozásoknál

Foglalkozási napló. Szállítmányozási ügyintéző 15. évfolyam

INFORMATIKA Helyi tantárgyi tanterv

Geoinformatikai szakember szakirányú továbbképzési szak

Közösség, projektek, IDE

Bevezető. Az informatikai biztonság alapjai II.

Alkalmazások teljesítmény problémáinak megszűntetése

Szolgáltatásaink. A rendszertervezés lehet valamilyen informatikai fejlesztés része vagy ilyen jellegű igény esetén önálló rendszerterv.

Informatikai biztonsági ellenőrzés

Információ és kommunikáció

OEP Betegéletút lekérdezés háziorvosok és vénytörténet lekérdezés patikák számára. API dokumentáció. verzió: 2.01

MINISZTERELNÖKI HIVATAL. Szóbeli vizsgatevékenység

FP7/ICT részvétel KKV-s szempontból

10. K ÖZMŰ SZERŰ IT-SZOLGÁLTATÁS

Cégünk az alábbi területen kínál ügyfelei részére világszínvonalú megoldásokat.

tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott MultiSigno Standard aláíró alkalmazás komponens 1.

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Részvételi felhívás az "LK-Székház vagyonvédelmi rendszercsere (KBE/108/2015)" tárgyú eljárásban

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

Informatika 10. évf.

A minőségirányítási rendszer fejlesztése a MÜTF-ön. Kerekes Gábor Eruditio-Hungária Kft.

elemér ISKOLAI ÖNÉRTÉKELŐ RENDSZER TANÁRI KÉRDŐÍV

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

IT BIZTONSÁG KÖZÉPTÁVÚ KIHÍVÁSAI A NAGYVÁLLALATI KÖRNYEZETBEN. (Váraljai Csaba, Szerencsejáték Zrt.) 2015

SZÁMÍTÓGÉP-HÁLÓZAT AUDIT

1. Fejezet: Számítógép rendszerek

Információbiztonsági kihívások. Horváth Tamás & Dellei László

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

Kinek szól a könyv? Hogyan épül fel a könyv? Megjelenés előtti szoftver A hálózati kézikönyv tartalma A könyv támogatása Kérdések és megjegyzések

AZ ADATBÁZIS-BIZTONSÁG ALAPJAI

Tartalomjegyzék. Áttekintés A mobil kliens első ránézésre. Fő nézetek A kezelőfelület elemei Első lépések

Távfelügyeleti rendszer minőségi kritériumai. Grade 2 Biztonsági fokozat

Cégismerteto. Ez így kicsit tömören hangzik, nézzük meg részletesebben, mivel is foglalkozunk!

BIZTONSÁGI AUDIT. 13. óra

A HÁLÓZATI TUDÁS TERJESZTÉSÉÉRT PROGRAMIRODA ALAPÍTVÁNY KÖZHASZNÚSÁGI JELENTÉS év

Károlyi Mihály Fővárosi Gyakorló Kéttannyelvű Közgazdasági Szakközépiskola június 25.

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Mérnök informatikus (BSc) alapszak levelező tagozat (BIL) / BSc in Engineering Information Technology (Part Time)

Névfeloldás hosts, nsswitch, DNS

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

Informatikai Tesztek Katalógus

A évi L. törvény végrehajtási rendelete alapján folytatott biztonsági tanúsítások tapasztalatai a szolgáltatók széles körének vizsgálata után

Üzleti kockázat minimalizálás és a biztonsági menedzsment korszerűsítése McAfee Total Protection for Enterprise-al

fájl-szerver (file server) Az a számítógép a hálózatban, amelyen a távoli felhasználók (kliensek) adatállományait tárolják.

INFORMATIKAI HÁTTÉR ÉS JÖVŐKÉP

KERESKEDELMI AJÁNLAT BUDAÖRSI VÁROSFEJLESZTŐ KFT. RÉSZÉRE KERETRENDSZERBEN KIALAKÍTOTT - PROJEKT MENEDZSMENT FUNKCIONALITÁS

Webszolgáltatások kommunikációs overhead-jének becslése

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Vékonykliens Technológia Ismertető

Üzemirányító rendszerek üzembiztonsága szeminárium

OTRS bevezetése és tapasztalatok a DF-ISZK-n

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Nemzeti Alaptanterv Informatika műveltségterület Munkaanyag március

2/2010. sz. Gazdasági Főigazgatói Utasítás a PTE belső hálózatának eléréséről

VIHIMA07 Mobil és vezeték nélküli hálózatok A mobil backhaul vezetékes technológiái 1. Mobil backhaul követelmények

- IT kompetencia felmérés elvégzése a cégcsoport tagvállalatainak informatikai szervezeteire, kompetenciamátrix kialakítása

OSINT. Avagy az internet egy hacker szemszögéből

A nyilvános kulcsú infrastruktúra önálló kialakításának szükségessége

Számítógép hálózatok

Emberek manipulálása (meggy!zése, megtévesztése), nem technikai eszközökkel tevékenységek végrehajtására bizalmas információk kiadására

INFORMATIKA. Középszint Szóbeli vizsga. A szóbeli vizsga részletes tematikája a fővárosi és megyei kormányhivatalok által szervezett vizsgákhoz 2016.

WebService tesztelés. SOAPui Pro, GreenPepper és Confluence használatával. Verhás & Verhás Szoftver Manufaktúra KNOW-HOW

11. Tétel. A színválasztásnak több módszere van:

Szabó Zoltán & Fehér Péter. & ITSMfMagyarországMagyarország

Korszerű technológiák. a szélessávú elérési hálózatok területén. Korsós András. műszaki igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Átírás:

Értékeink Alapfogalmak meghatározása Vizsgálatok információs bázis szerint Vizsgálatok kiindulási pont szerint Vizsgálatok lehetséges fajtái Vizsgálati módszertanok Vizsgálatok lépései Kérdések, tévhitek, problémák, kritikák 2

> 5 év szakmai tapasztalat minden szakterületen Hacktivity 2004,2005,2007 wargame győztes Goldenblog 2009. IT kategóriagyőztes Hacktivity 2009. Hack the Vendor győztes Offensive-Security nemzetközi hackerverseny 3. és 5. hely (> 1000 induló) Hacktivity 2010 Wargame és CtF készítője Sebezhetőségek jelentése a Zero Day Initiative program keretében CISSP, CCNA, CCNP, HCSE, ITIL, OSCP, OSCE 3

Ethical hacking Írásos megbízás, hacker technikák, biztonsági szint növelése (SE) Penetration testing Hozzáférés megszerzése, védelmi megoldások kikerülése Biztonsági felmérés Sérülékenység azonosítása, papír hack 4

Blackbox Minimális információk birtokában történő vizsgálat. Greybox Általában felhasználói hozzáférés birtokában végrehajtott ellenőrzés. Whitebox A rendelkezésre álló összes információ átadása(audit). 5

Külső vizsgálat, internet irányából Külső támadók megszemélyesítése. Belső vizsgálat, intranet irányából Rosszindulatú belső dolgozó vagy látogató lehetőségeinek vizsgálata. 6

Hálózati teszt A leggyakoribb vizsgálati típus, amely során a hálózatban található eszközök és szerverekben található sérülékenységek feltárása és kihasználása a cél. Webalkalmazás teszt Egyre több cég jelenik meg webes tartalommal interneten, valamint intraneten egyaránt a támadások jelentős része is erre a szegmensre koncentrálódik. Vezeték nélküli hálózat Illegálisan üzemeltetett vezeték nélküli hozzáférési pontok felderítése, valamint az engedéllyel használt eszközök biztonsági hiányosságainak feltárása 7

Social Engineering Emberi tényezőkre alapozott biztonsági vizsgálat. Kliens oldali biztonsági teszt Lehetséges-e a felhasználókat egy kártékony oldalra irányítani és ott egy böngésző alapú hiba segítségével átvenni az irányítást a számítógépük felett vagy hozzáférést szerezni a belső hálózathoz. Alkalmazás vizsgálatok, forráskód analízis Saját fejlesztésű vagy forráskód szinten hozzáférhető szoftverek esetében a teszt segítségével összetett hiányosságokat is sikeresen detektálni lehet. 8

Konfiguráció felülvizsgálata A konfiguráció vizsgálat során hálózati eszközök, alkalmazások és operációs rendszerek konfigurációs beállításainak felülvizsgálatával újabb biztonsági hiányosságokat lehetséges feltárni. Architektúra kialakítás felülvizsgálata A rendszerek kialakításának valamint kapcsolatának felülvizsgálatával lényeges biztonsági hiányosságokat lehetséges meghatározni. Hardening A hardening során olyan környezetfüggő konfigurációs módosításokat kell meghatározni, amely segítségével a rendszer biztonsági szintje növekszik. 9

Open Web Application Security Project (OWASP) Testing Guide Open Source Security Testing Methodology Manual (OSSTMM) NIST Special Publication 800-42: Guideline to Network Security Testing Penetration Testing Framework Open Information Systems Security Group - Information Systems SecurityAuditing Framework 10

Ajánlatkérés Fontos, hogy a megrendelőnek legyen elképzelése arról, hogy mit szeretne megvizsgáltatni, mi ellen akar védekezni. (1 db Ethical hacking vizsgálatot kérek nem működik) Ajánlat Pontosan leírja, hogy mi és hogyan (módszertan) lesz vizsgálva, az adott árért, így a teljesítés ellenőrizhető. (1 db black-box vizsgálat = X Ft nem működik) 11

Szerződés Mit, mikor, hogyan, ki Minden projekt paramétert tisztázni kell a felek között. (A vizsgálatot végző csapat semmi váratlant nem tehet.) Jelentés Vizsgálat lépései és eredményei Feltárt hibák kategórizálása és javaslat a hibák javítására Visszaellenőrzés Ügyfél igény szerint, a hibák kijavítása után. 12

A vizsgálat az első kritikus hibáig tart? Mennyivel lesz jobb a rendszer a vizsgálat után? Miért kell külsős vizsgálat, hiszen rendszeresen scanneljük a rendszereinket? Mikor érdemes sérülékenységi vizsgálatot csináltatni? Mennyi időnként érdemes a vizsgálatot megismételni? 13

Kevés a rendelkezésre álló idő Nem megfelelő hozzáférés biztosítása Minimalizált eszköz készlet Vizsgálatot végző személyek: Szakmai hozzáértése, kompetenciája Helyzetfelismerő képessége 14

Miről is volt szó? Meghatározások, fogalmak tisztázása Vizsgálathoz szükséges információk csoportja Vizsgálati irányok Vizsgálati lehetőségek, ígények Főbb módszertanok Ajánlatkérés, ajánlat, szerődés, jelentés, visszaellenőrzés Tévhitek, tipikus kérdések Kritikák, problémák az etikus hackeléssel kapcsolatban 15

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés