Το λογισμικό είναι εγγυημένο ότι έχει σφάλματα. Μπορεί να υπάρχουν πολλές χιλιάδες γραμμές κώδικα στο λογισμικό και το ανθρώπινο σφάλμα σημαίνει ότι τουλάχιστον μερικές από αυτές δεν θα είναι ολόκληρες όπως προβλέπεται. Ο κύκλος ζωής ανάπτυξης λογισμικού είναι μια διαδικασία σχεδιασμένη για να προσπαθήσει να ελαχιστοποιήσει αυτά τα ζητήματα με τακτικές δοκιμές.
Το πρόβλημα είναι ότι οι δοκιμές γίνονται συχνά από προγραμματιστές, οι οποίοι μπορεί να έχουν μάθει πώς να κωδικοποιούν κάτι αλλά μπορεί να μην έχουν μάθει ασφαλείς πρακτικές κωδικοποίησης. Ακόμη και σε πλήρως ελεγμένα συστήματα, η εμφάνιση ενός εξωτερικού παρατηρητή και η εισαγωγή μιας νέας προοπτικής μπορεί να βοηθήσει στον εντοπισμό νέων προβλημάτων.
Ένας συνηθισμένος τρόπος με τον οποίο γίνεται αυτό είναι μέσω μιας δοκιμής διείσδυσης, που συνήθως συντομεύεται σε pentest. Αυτό περιλαμβάνει έναν επαγγελματία, ηθικό χάκερ, έναν pentester, να εξετάσει το σύστημα και να βρει τυχόν προβλήματα ασφαλείας.
Συμβουλή: Είναι "pentest" και "pentester", όχι "pentest". Ένας pentester δεν δοκιμάζει στυλό. Το "Pen-test" είναι ελαφρώς πιο αποδεκτό από το "pen test" αλλά γενικά θα πρέπει επίσης να αποφεύγεται.
Ο στόχος κάθε pentest είναι να εντοπίσει όλα τα τρωτά σημεία ασφαλείας στο σύστημα που ελέγχεται και να τα αναφέρει στον πελάτη. Συνήθως, ωστόσο, οι δεσμεύσεις είναι κάπως χρονικά περιορισμένες με βάση το κόστος. Εάν μια εταιρεία έχει μια εσωτερική ομάδα pentester ή pentest, μπορεί να εργάζεται μόνιμα για την εταιρεία. Ωστόσο, πολλές εταιρείες με την κλίμακα για αυτό έχουν ένα ευρύ χαρτοφυλάκιο συστημάτων που πρέπει να δοκιμαστούν. Αυτό περιλαμβάνει τόσο τα προϊόντα που πωλούνται όσο και τα επιχειρηματικά συστήματα της εταιρείας.
Ως εκ τούτου, δεν μπορούν να περνούν όλο τον χρόνο τους δοκιμάζοντας ένα πράγμα. Πολλές εταιρείες προτιμούν να προσλάβουν μια εξωτερική εταιρεία διεκδίκησης για να εκτελέσει τη δέσμευση. Αυτό εξακολουθεί να είναι χρονικά περιορισμένο με βάση το κόστος. Το κόστος οφείλεται στο γεγονός ότι το pentest είναι μια πολύ χειρωνακτική διαδικασία και ότι το σύνολο δεξιοτήτων είναι ανεπαρκές.
Συνήθως, ένα pentest θα καλύπτεται σε ένα συγκεκριμένο χρονικό πλαίσιο. Αυτό γίνεται με βάση τον εν λόγω στόχο και πόσο χρόνο χρειάζεται για να είστε εύλογα σίγουροι ότι έχετε βρει τα πάντα. Το χρονοδιάγραμμα για την εύρεση τρωτών σημείων είναι γενικά μια καμπύλη καμπάνας. Δεν υπάρχουν πολλά πράγματα αμέσως καθώς ο pentester κοιτάζει γύρω από την εφαρμογή. Στη συνέχεια, η συντριπτική πλειονότητα των ευρημάτων μπορεί να επιτευχθεί εντός μιας συγκεκριμένης χρονικής κλίμακας πριν μειωθούν. Σε κάποιο σημείο, το κόστος του να αφιερώσετε περισσότερο χρόνο για να ψάξετε δεν αξίζει την πιθανότητα ότι δεν υπάρχει τίποτα άλλο να βρείτε.
Μερικές φορές, ακόμη και η αναφερόμενη τιμή για τον προτεινόμενο χρόνο είναι υπερβολική. Σε αυτήν την περίπτωση, το τεστ μπορεί να είναι "χρονικό πλαίσιο". Εδώ ο πελάτης αποδέχεται ότι δεν δοκιμάζει τόσο όσο συνιστάται, αλλά θέλει οι διεισδυτές να κάνουν ό,τι καλύτερο μπορούν σε μειωμένο χρονικό διάστημα. Συνήθως, αυτό περιλαμβάνεται ως προειδοποίηση στην έκθεση.
Ορισμένα εργαλεία είναι διαθέσιμα για αυτόματη εκτέλεση δοκιμών ασφαλείας. Αυτά μπορεί να είναι χρήσιμα. Ωστόσο, συχνά έχουν υψηλά ποσοστά ψευδώς θετικών και ψευδώς αρνητικών. Αυτό σημαίνει ότι πρέπει να αφιερώσετε χρόνο ψάχνοντας για την επαλήθευση ζητημάτων, γνωρίζοντας ότι μπορεί να μην είναι ολοκληρωμένη. Τα περισσότερα από αυτά τα εργαλεία αναζητούν συγκεκριμένους δείκτες, όπως γνωστές ευάλωτες εκδόσεις λογισμικού ή γνωστές ευάλωτες λειτουργίες. Ωστόσο, υπάρχουν πολλοί τρόποι για να μην είναι πραγματικά ζητήματα ή να μετριαστούν στην πράξη.
Τα τρωτά σημεία ασφαλείας μπορούν να συνδυαστούν από ένα σωρό φαινομενικά αβλαβή κομμάτια. Ο καλύτερος τρόπος για να το εντοπίσετε αυτό είναι μέσω της χειρωνακτικής ανθρώπινης προσπάθειας. Οι pentesters χρησιμοποιούν εργαλεία, αλλά ξέρουν πώς να ερμηνεύουν τα αποτελέσματα, να τα επαληθεύουν χειροκίνητα και να εκτελούν ανεξάρτητες μη αυτόματες ενέργειες. Αυτή η μη αυτόματη προσπάθεια διαχωρίζει ένα pentest από μια σάρωση ευπάθειας ή αξιολόγηση ευπάθειας.
Συνήθως, ένα pentest περιλαμβάνει τη δοκιμή ενός ολόκληρου προϊόντος όπως θα αναπτυσσόταν. Στην ιδανική περίπτωση, αυτό συμβαίνει σε ένα πραγματικό περιβάλλον παραγωγής. Ωστόσο, αυτό δεν είναι πάντα πρακτικό. Πρώτον, υπάρχει ο φόβος ότι το pentest θα μπορούσε να χτυπήσει τον στόχο εκτός σύνδεσης. Γενικά, αυτός ο φόβος είναι ουσιαστικά αβάσιμος. Τα Pentest γενικά δεν δημιουργούν υπερβολική κίνηση δικτύου, ίσως το ισοδύναμο μερικών επιπλέον ενεργών χρηστών. Επίσης, οι pentesters δεν θα δοκιμάζουν σκόπιμα για ζητήματα τύπου άρνησης υπηρεσίας, ειδικά σε περιβάλλοντα παραγωγής. Αντίθετα, συνήθως θα αναφέρουν ύποπτα προβλήματα άρνησης παροχής υπηρεσιών για να επιτρέψουν στον πελάτη να το διερευνήσει μόνος του.
Επιπλέον, αξίζει να σημειωθεί ότι εάν το σύστημα είναι συνδεδεμένο στο Διαδίκτυο, υπόκειται συνεχώς σε «δωρεάν επιθέσεις» από πραγματικούς χάκερ μαύρου καπέλου και τα bots τους. Ένας άλλος λόγος για να αποφύγετε περιβάλλοντα παραγωγής είναι τα ζητήματα απορρήτου με τα ζωντανά δεδομένα χρήστη. Οι Pentesters είναι ηθικοί χάκερ βάσει NDA και συμβάσεων, αλλά εάν υπάρχει ένα δοκιμαστικό περιβάλλον και είναι παρόμοιο, μπορεί να χρησιμοποιηθεί.
Συμβουλή: Η «δωρεάν διείσδυση» είναι ένας περίεργος τρόπος αναφοράς στην επίθεση από μαύρα καπέλα στο Διαδίκτυο.
Οι Pentests μπορούν να εκτελεστούν κατά οποιουδήποτε τεχνολογικού συστήματος. Οι ιστότοποι και η υποδομή δικτύου είναι οι πιο συνηθισμένοι τύποι δοκιμών. Μπορείτε επίσης να λάβετε δοκιμές API, δοκιμές "χοντρό πελάτη", δοκιμές για κινητές συσκευές, δοκιμές υλικού και πολλά άλλα.
Ρεαλιστικά, οι ασκήσεις phishing, OSINT και red team σχετίζονται αλλά ελαφρώς διαφορετικές. Πιθανότατα γνωρίζετε την απειλή του phishing. Ορισμένες δοκιμές περιλαμβάνουν δοκιμές για να δουν πώς ανταποκρίνονται οι εργαζόμενοι στα μηνύματα ηλεκτρονικού ψαρέματος. Παρακολουθώντας τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν –ή όχι– με το phish, μπορείτε να μάθετε πώς να προσαρμόζετε τη μελλοντική εκπαίδευση στο phishing.
Το OSINT σημαίνει Νοημοσύνη ανοιχτού κώδικα. Μια δοκιμή OSINT περιστρέφεται γύρω από την απόξεση δημοσίως διαθέσιμων πληροφοριών για να δει πώς μπορούν να συλλεχθούν πολύτιμα δεδομένα και πώς θα μπορούσαν να χρησιμοποιηθούν. Αυτό συχνά περιλαμβάνει τη δημιουργία λιστών εργαζομένων από μέρη όπως το LinkedIn και τον ιστότοπο της εταιρείας. Αυτό μπορεί να επιτρέψει σε έναν εισβολέα να εντοπίσει ανώτερα στελέχη που μπορεί να είναι καλοί στόχοι για μια επίθεση spear-phishing, phishing ειδικά προσαρμοσμένη στον μεμονωμένο παραλήπτη.
Μια δέσμευση της κόκκινης ομάδας είναι συνήθως πολύ πιο σε βάθος και μπορεί να περιλαμβάνει ορισμένα ή όλα τα άλλα στοιχεία. Μπορεί επίσης να περιλαμβάνει δοκιμή φυσικής ασφάλειας και τήρηση της πολιτικής ασφαλείας. Από την πολιτική πλευρά των πραγμάτων, αυτό περιλαμβάνει κοινωνική μηχανική. Αυτό προσπαθεί να σας πείσει να μπείτε στο κτίριο. Αυτό μπορεί να είναι τόσο απλό όσο να κάνετε παρέα στον χώρο του καπνίσματος και να επιστρέψετε με τους καπνιστές μετά από ένα διάλειμμα καπνού.
Μπορεί να είναι να υποδύεστε έναν υπάλληλο ή να ζητάτε από κάποιον να σας πάρει μια πόρτα ενώ έχετε ένα δίσκο για φλιτζάνια καφέ. Από την πλευρά της φυσικής ασφάλειας, μπορεί να περιλαμβάνει ακόμη και προσπάθεια εισβολής, δοκιμή κάλυψης κάμερας, ποιότητα κλειδαριών και παρόμοια. Οι δεσμεύσεις της κόκκινης ομάδας συνήθως περιλαμβάνουν μια ομάδα ανθρώπων και μπορούν να διαρκέσουν πολύ μεγαλύτερες χρονικές κλίμακες από τις κανονικές πεντέτες.
Μια κόκκινη ομαδική άσκηση μπορεί να φαίνεται λιγότερο ηθική από μια τυπική δοκιμασία. Ο ελεγκτής κυνηγάει ενεργά ανυποψίαστους υπαλλήλους. Το κλειδί είναι ότι έχουν άδεια από την ηγεσία της εταιρείας, συνήθως από το επίπεδο του διοικητικού συμβουλίου. Αυτός είναι ο μόνος λόγος που είναι εντάξει για έναν κόκκινο teamer να προσπαθεί πραγματικά να εισβάλει. Τίποτα δεν το επιτρέπει να είναι βίαιο, όμως. Μια κόκκινη ομαδική άσκηση δεν θα προσπαθήσει ποτέ να τραυματίσει ή να υποτάξει έναν φύλακα, να τον παρακάμψει ή να τον ξεγελάσει.
Για να αποφευχθεί η σύλληψη του κόκκινου teamer, θα φέρουν γενικά ένα υπογεγραμμένο συμβόλαιο με υπογραφές από τα μέλη του συμβουλίου έγκρισης. Εάν πιαστούν, αυτό μπορεί να χρησιμοποιηθεί για να αποδείξει ότι είχαν άδεια. Φυσικά, μερικές φορές, αυτό χρησιμοποιείται ως διπλή μπλόφα. Ο κόκκινος teamer μπορεί να έχει δύο δελτία άδειας, ένα πραγματικό και ένα ψεύτικο.
Όταν πιαστούν, αρχικά παραδίδουν το πλαστό δελτίο άδειας για να δουν αν μπορούν να πείσουν την ασφάλεια ότι είναι νόμιμη ακόμα και όταν δεν είναι. Για το σκοπό αυτό, θα χρησιμοποιεί συχνά τα πραγματικά ονόματα του διοικητικού συμβουλίου της εταιρείας, αλλά θα περιλαμβάνει έναν αριθμό τηλεφώνου επαλήθευσης που πηγαίνει σε έναν άλλον κόκκινο teamer που ενημερώνεται για να επαληθεύσει το εξώφυλλο. Φυσικά, εάν η ασφάλεια το δει αυτό, παραδίδεται το πραγματικό δελτίο άδειας. Ωστόσο, αυτό μπορεί να αντιμετωπιστεί με μεγάλη καχυποψία.
Ανάλογα με το πώς πιάστηκε ο κόκκινος teamer, μπορεί να είναι δυνατό να συνεχιστεί η δοκιμή, με την προϋπόθεση ότι έχουν παρακάμψει τον μεμονωμένο φύλακα που τον έπιασε. Ωστόσο, είναι πιθανό η ταυτότητα του ελεγκτή να «εκτιναχθεί», ουσιαστικά αφαιρώντας τον από κάθε περαιτέρω αυτοπροσώπως δοκιμή. Σε αυτό το σημείο, ένα άλλο μέλος της ομάδας μπορεί να ανταλλάξει με ή χωρίς να ενημερώσει την ασφάλεια.
Το pentest είναι μια δέσμευση κατά την οποία ένας επαγγελματίας της ασφάλειας στον κυβερνοχώρο καλείται να δοκιμάσει την ασφάλεια ενός συστήματος υπολογιστή. Η δοκιμή περιλαμβάνει τη μη αυτόματη αναζήτηση και επαλήθευση της παρουσίας τρωτών σημείων. Ως μέρος αυτού μπορούν να χρησιμοποιηθούν αυτοματοποιημένα εργαλεία. Στο τέλος της δοκιμής, παρέχεται μια αναφορά που περιγράφει λεπτομερώς τα προβλήματα που εντοπίστηκαν και παρέχει συμβουλές αποκατάστασης.
Είναι σημαντικό αυτή η αναφορά να μην είναι απλώς η αυτοματοποιημένη έξοδος από ένα εργαλείο, αλλά να έχει ελεγχθεί και επαληθευτεί χειροκίνητα. Οποιοδήποτε σύστημα υπολογιστή, υλικό, δίκτυο, εφαρμογή ή συσκευή μπορεί να δοκιμαστεί. Οι δεξιότητες που απαιτούνται για το καθένα ποικίλλουν αλλά συχνά είναι συμπληρωματικές.
Έχετε κουραστεί από τη σύγκρουση συγχρονισμού πολλαπλών προφίλ στο Microsoft Edge που καταστρέφει την περιήγησή σας; Ανακαλύψτε αναλυτικές λύσεις για την επίλυση σφαλμάτων συγχρονισμού, τη συγχώνευση προφίλ και τον απρόσκοπτο συγχρονισμό σε όλες τις συσκευές. Λειτουργεί στις πιο πρόσφατες εκδόσεις του Edge!
Έχετε κουραστεί από το σφάλμα παύσης λογαριασμού του Microsoft Edge Sync που διακόπτει την περιήγησή σας; Ανακαλύψτε γρήγορα και αποτελεσματικά βήματα αντιμετώπισης προβλημάτων για να επαναφέρετε τον απρόσκοπτο συγχρονισμό σε όλες τις συσκευές. Ενημερώθηκε με τις πιο πρόσφατες διορθώσεις για μια εμπειρία Edge χωρίς προβλήματα.
Αντιμετωπίστε το ενοχλητικό σφάλμα Unrecognized Disc για παιχνίδια συμβατά με παλαιότερες εκδόσεις στο Xbox Series X|S. Ακολουθήστε τις δοκιμασμένες, βήμα προς βήμα διορθώσεις μας για να επαναφέρετε άμεσα την κλασική βιβλιοθήκη παιχνιδιών σας.
Δυσκολεύεστε με το σφάλμα επαναφοράς PIN του Microsoft Edge στα Windows Hello; Ανακαλύψτε βήμα προς βήμα λύσεις για να το επιλύσετε γρήγορα. Ανακτήστε την πρόσβαση στο πρόγραμμα περιήγησής σας χωρίς απογοήτευση – ενημερωμένο για τις πιο πρόσφατες ενημερώσεις των Windows.
Δυσκολεύεστε με την κενή λευκή οθόνη του Microsoft Edge κατά την εκκίνηση; Ανακαλύψτε αναλυτικές λύσεις για το πρόβλημα της κενής λευκής οθόνης στο Edge, από γρήγορες επαναφορές έως προηγμένες επισκευές. Επιστρέψτε στην περιήγηση ομαλά!
Οδηγός βήμα προς βήμα για τον τρόπο δημιουργίας αντιγράφων ασφαλείας δεδομένων του Microsoft Edge, όπως σελιδοδείκτες, κωδικούς πρόσβασης, ιστορικό και ρυθμίσεις, πριν από την επαναφορά συστήματος. Προστατέψτε τα απαραίτητα στοιχεία περιήγησής σας με εύκολες και αξιόπιστες μεθόδους.
Κολλήσατε με το σφάλμα Microsoft Edge Capture Card No Signal 60FPS; Ανακαλύψτε αποδεδειγμένες λύσεις για να επαναφέρετε το σήμα, να φτάσετε ομαλά τα 60FPS και να κάνετε streaming χωρίς καθυστερήσεις. Οδηγός βήμα προς βήμα για άμεσα αποτελέσματα!
Έχετε κουραστεί από το ενοχλητικό σφάλμα ρύθμισης παραμέτρων Side-by-Side του Microsoft Edge; Ανακαλύψτε απλές, βήμα προς βήμα λύσεις για να το επιλύσετε γρήγορα και να αποκαταστήσετε την ομαλή περιήγηση. Ενημερωμένο με τις πιο πρόσφατες λύσεις!
Κολλήσατε με το σφάλμα 124 του προγράμματος εγκατάστασης του Microsoft Edge; Λάβετε βήμα προς βήμα λύσεις για να επιλύσετε γρήγορα τα σφάλματα εγκατάστασης. Αποδεδειγμένες λύσεις για ομαλή εγκατάσταση του Edge στα Windows. Δεν απαιτούνται τεχνικές δεξιότητες!
Έχετε κουραστεί από το σφάλμα 124 του προγράμματος εγκατάστασης του Microsoft Edge που μπλοκάρει την εγκατάσταση των Windows 11; Ακολουθήστε τις δοκιμασμένες, εύκολες λύσεις μας για να το επιλύσετε γρήγορα και να αποκαταστήσετε την ομαλή περιήγηση. Δεν απαιτούνται τεχνικές γνώσεις!
