Το λογισμικό είναι εγγυημένο ότι έχει σφάλματα. Μπορεί να υπάρχουν πολλές χιλιάδες γραμμές κώδικα στο λογισμικό και το ανθρώπινο σφάλμα σημαίνει ότι τουλάχιστον μερικές από αυτές δεν θα είναι ολόκληρες όπως προβλέπεται. Ο κύκλος ζωής ανάπτυξης λογισμικού είναι μια διαδικασία σχεδιασμένη για να προσπαθήσει να ελαχιστοποιήσει αυτά τα ζητήματα με τακτικές δοκιμές.
Το πρόβλημα είναι ότι οι δοκιμές γίνονται συχνά από προγραμματιστές, οι οποίοι μπορεί να έχουν μάθει πώς να κωδικοποιούν κάτι αλλά μπορεί να μην έχουν μάθει ασφαλείς πρακτικές κωδικοποίησης. Ακόμη και σε πλήρως ελεγμένα συστήματα, η εμφάνιση ενός εξωτερικού παρατηρητή και η εισαγωγή μιας νέας προοπτικής μπορεί να βοηθήσει στον εντοπισμό νέων προβλημάτων.
Ένας συνηθισμένος τρόπος με τον οποίο γίνεται αυτό είναι μέσω μιας δοκιμής διείσδυσης, που συνήθως συντομεύεται σε pentest. Αυτό περιλαμβάνει έναν επαγγελματία, ηθικό χάκερ, έναν pentester, να εξετάσει το σύστημα και να βρει τυχόν προβλήματα ασφαλείας.
Συμβουλή: Είναι "pentest" και "pentester", όχι "pentest". Ένας pentester δεν δοκιμάζει στυλό. Το "Pen-test" είναι ελαφρώς πιο αποδεκτό από το "pen test" αλλά γενικά θα πρέπει επίσης να αποφεύγεται.
Ο στόχος κάθε pentest είναι να εντοπίσει όλα τα τρωτά σημεία ασφαλείας στο σύστημα που ελέγχεται και να τα αναφέρει στον πελάτη. Συνήθως, ωστόσο, οι δεσμεύσεις είναι κάπως χρονικά περιορισμένες με βάση το κόστος. Εάν μια εταιρεία έχει μια εσωτερική ομάδα pentester ή pentest, μπορεί να εργάζεται μόνιμα για την εταιρεία. Ωστόσο, πολλές εταιρείες με την κλίμακα για αυτό έχουν ένα ευρύ χαρτοφυλάκιο συστημάτων που πρέπει να δοκιμαστούν. Αυτό περιλαμβάνει τόσο τα προϊόντα που πωλούνται όσο και τα επιχειρηματικά συστήματα της εταιρείας.
Ως εκ τούτου, δεν μπορούν να περνούν όλο τον χρόνο τους δοκιμάζοντας ένα πράγμα. Πολλές εταιρείες προτιμούν να προσλάβουν μια εξωτερική εταιρεία διεκδίκησης για να εκτελέσει τη δέσμευση. Αυτό εξακολουθεί να είναι χρονικά περιορισμένο με βάση το κόστος. Το κόστος οφείλεται στο γεγονός ότι το pentest είναι μια πολύ χειρωνακτική διαδικασία και ότι το σύνολο δεξιοτήτων είναι ανεπαρκές.
Συνήθως, ένα pentest θα καλύπτεται σε ένα συγκεκριμένο χρονικό πλαίσιο. Αυτό γίνεται με βάση τον εν λόγω στόχο και πόσο χρόνο χρειάζεται για να είστε εύλογα σίγουροι ότι έχετε βρει τα πάντα. Το χρονοδιάγραμμα για την εύρεση τρωτών σημείων είναι γενικά μια καμπύλη καμπάνας. Δεν υπάρχουν πολλά πράγματα αμέσως καθώς ο pentester κοιτάζει γύρω από την εφαρμογή. Στη συνέχεια, η συντριπτική πλειονότητα των ευρημάτων μπορεί να επιτευχθεί εντός μιας συγκεκριμένης χρονικής κλίμακας πριν μειωθούν. Σε κάποιο σημείο, το κόστος του να αφιερώσετε περισσότερο χρόνο για να ψάξετε δεν αξίζει την πιθανότητα ότι δεν υπάρχει τίποτα άλλο να βρείτε.
Μερικές φορές, ακόμη και η αναφερόμενη τιμή για τον προτεινόμενο χρόνο είναι υπερβολική. Σε αυτήν την περίπτωση, το τεστ μπορεί να είναι "χρονικό πλαίσιο". Εδώ ο πελάτης αποδέχεται ότι δεν δοκιμάζει τόσο όσο συνιστάται, αλλά θέλει οι διεισδυτές να κάνουν ό,τι καλύτερο μπορούν σε μειωμένο χρονικό διάστημα. Συνήθως, αυτό περιλαμβάνεται ως προειδοποίηση στην έκθεση.
Ορισμένα εργαλεία είναι διαθέσιμα για αυτόματη εκτέλεση δοκιμών ασφαλείας. Αυτά μπορεί να είναι χρήσιμα. Ωστόσο, συχνά έχουν υψηλά ποσοστά ψευδώς θετικών και ψευδώς αρνητικών. Αυτό σημαίνει ότι πρέπει να αφιερώσετε χρόνο ψάχνοντας για την επαλήθευση ζητημάτων, γνωρίζοντας ότι μπορεί να μην είναι ολοκληρωμένη. Τα περισσότερα από αυτά τα εργαλεία αναζητούν συγκεκριμένους δείκτες, όπως γνωστές ευάλωτες εκδόσεις λογισμικού ή γνωστές ευάλωτες λειτουργίες. Ωστόσο, υπάρχουν πολλοί τρόποι για να μην είναι πραγματικά ζητήματα ή να μετριαστούν στην πράξη.
Τα τρωτά σημεία ασφαλείας μπορούν να συνδυαστούν από ένα σωρό φαινομενικά αβλαβή κομμάτια. Ο καλύτερος τρόπος για να το εντοπίσετε αυτό είναι μέσω της χειρωνακτικής ανθρώπινης προσπάθειας. Οι pentesters χρησιμοποιούν εργαλεία, αλλά ξέρουν πώς να ερμηνεύουν τα αποτελέσματα, να τα επαληθεύουν χειροκίνητα και να εκτελούν ανεξάρτητες μη αυτόματες ενέργειες. Αυτή η μη αυτόματη προσπάθεια διαχωρίζει ένα pentest από μια σάρωση ευπάθειας ή αξιολόγηση ευπάθειας.
Συνήθως, ένα pentest περιλαμβάνει τη δοκιμή ενός ολόκληρου προϊόντος όπως θα αναπτυσσόταν. Στην ιδανική περίπτωση, αυτό συμβαίνει σε ένα πραγματικό περιβάλλον παραγωγής. Ωστόσο, αυτό δεν είναι πάντα πρακτικό. Πρώτον, υπάρχει ο φόβος ότι το pentest θα μπορούσε να χτυπήσει τον στόχο εκτός σύνδεσης. Γενικά, αυτός ο φόβος είναι ουσιαστικά αβάσιμος. Τα Pentest γενικά δεν δημιουργούν υπερβολική κίνηση δικτύου, ίσως το ισοδύναμο μερικών επιπλέον ενεργών χρηστών. Επίσης, οι pentesters δεν θα δοκιμάζουν σκόπιμα για ζητήματα τύπου άρνησης υπηρεσίας, ειδικά σε περιβάλλοντα παραγωγής. Αντίθετα, συνήθως θα αναφέρουν ύποπτα προβλήματα άρνησης παροχής υπηρεσιών για να επιτρέψουν στον πελάτη να το διερευνήσει μόνος του.
Επιπλέον, αξίζει να σημειωθεί ότι εάν το σύστημα είναι συνδεδεμένο στο Διαδίκτυο, υπόκειται συνεχώς σε «δωρεάν επιθέσεις» από πραγματικούς χάκερ μαύρου καπέλου και τα bots τους. Ένας άλλος λόγος για να αποφύγετε περιβάλλοντα παραγωγής είναι τα ζητήματα απορρήτου με τα ζωντανά δεδομένα χρήστη. Οι Pentesters είναι ηθικοί χάκερ βάσει NDA και συμβάσεων, αλλά εάν υπάρχει ένα δοκιμαστικό περιβάλλον και είναι παρόμοιο, μπορεί να χρησιμοποιηθεί.
Συμβουλή: Η «δωρεάν διείσδυση» είναι ένας περίεργος τρόπος αναφοράς στην επίθεση από μαύρα καπέλα στο Διαδίκτυο.
Οι Pentests μπορούν να εκτελεστούν κατά οποιουδήποτε τεχνολογικού συστήματος. Οι ιστότοποι και η υποδομή δικτύου είναι οι πιο συνηθισμένοι τύποι δοκιμών. Μπορείτε επίσης να λάβετε δοκιμές API, δοκιμές "χοντρό πελάτη", δοκιμές για κινητές συσκευές, δοκιμές υλικού και πολλά άλλα.
Ρεαλιστικά, οι ασκήσεις phishing, OSINT και red team σχετίζονται αλλά ελαφρώς διαφορετικές. Πιθανότατα γνωρίζετε την απειλή του phishing. Ορισμένες δοκιμές περιλαμβάνουν δοκιμές για να δουν πώς ανταποκρίνονται οι εργαζόμενοι στα μηνύματα ηλεκτρονικού ψαρέματος. Παρακολουθώντας τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν –ή όχι– με το phish, μπορείτε να μάθετε πώς να προσαρμόζετε τη μελλοντική εκπαίδευση στο phishing.
Το OSINT σημαίνει Νοημοσύνη ανοιχτού κώδικα. Μια δοκιμή OSINT περιστρέφεται γύρω από την απόξεση δημοσίως διαθέσιμων πληροφοριών για να δει πώς μπορούν να συλλεχθούν πολύτιμα δεδομένα και πώς θα μπορούσαν να χρησιμοποιηθούν. Αυτό συχνά περιλαμβάνει τη δημιουργία λιστών εργαζομένων από μέρη όπως το LinkedIn και τον ιστότοπο της εταιρείας. Αυτό μπορεί να επιτρέψει σε έναν εισβολέα να εντοπίσει ανώτερα στελέχη που μπορεί να είναι καλοί στόχοι για μια επίθεση spear-phishing, phishing ειδικά προσαρμοσμένη στον μεμονωμένο παραλήπτη.
Μια δέσμευση της κόκκινης ομάδας είναι συνήθως πολύ πιο σε βάθος και μπορεί να περιλαμβάνει ορισμένα ή όλα τα άλλα στοιχεία. Μπορεί επίσης να περιλαμβάνει δοκιμή φυσικής ασφάλειας και τήρηση της πολιτικής ασφαλείας. Από την πολιτική πλευρά των πραγμάτων, αυτό περιλαμβάνει κοινωνική μηχανική. Αυτό προσπαθεί να σας πείσει να μπείτε στο κτίριο. Αυτό μπορεί να είναι τόσο απλό όσο να κάνετε παρέα στον χώρο του καπνίσματος και να επιστρέψετε με τους καπνιστές μετά από ένα διάλειμμα καπνού.
Μπορεί να είναι να υποδύεστε έναν υπάλληλο ή να ζητάτε από κάποιον να σας πάρει μια πόρτα ενώ έχετε ένα δίσκο για φλιτζάνια καφέ. Από την πλευρά της φυσικής ασφάλειας, μπορεί να περιλαμβάνει ακόμη και προσπάθεια εισβολής, δοκιμή κάλυψης κάμερας, ποιότητα κλειδαριών και παρόμοια. Οι δεσμεύσεις της κόκκινης ομάδας συνήθως περιλαμβάνουν μια ομάδα ανθρώπων και μπορούν να διαρκέσουν πολύ μεγαλύτερες χρονικές κλίμακες από τις κανονικές πεντέτες.
Μια κόκκινη ομαδική άσκηση μπορεί να φαίνεται λιγότερο ηθική από μια τυπική δοκιμασία. Ο ελεγκτής κυνηγάει ενεργά ανυποψίαστους υπαλλήλους. Το κλειδί είναι ότι έχουν άδεια από την ηγεσία της εταιρείας, συνήθως από το επίπεδο του διοικητικού συμβουλίου. Αυτός είναι ο μόνος λόγος που είναι εντάξει για έναν κόκκινο teamer να προσπαθεί πραγματικά να εισβάλει. Τίποτα δεν το επιτρέπει να είναι βίαιο, όμως. Μια κόκκινη ομαδική άσκηση δεν θα προσπαθήσει ποτέ να τραυματίσει ή να υποτάξει έναν φύλακα, να τον παρακάμψει ή να τον ξεγελάσει.
Για να αποφευχθεί η σύλληψη του κόκκινου teamer, θα φέρουν γενικά ένα υπογεγραμμένο συμβόλαιο με υπογραφές από τα μέλη του συμβουλίου έγκρισης. Εάν πιαστούν, αυτό μπορεί να χρησιμοποιηθεί για να αποδείξει ότι είχαν άδεια. Φυσικά, μερικές φορές, αυτό χρησιμοποιείται ως διπλή μπλόφα. Ο κόκκινος teamer μπορεί να έχει δύο δελτία άδειας, ένα πραγματικό και ένα ψεύτικο.
Όταν πιαστούν, αρχικά παραδίδουν το πλαστό δελτίο άδειας για να δουν αν μπορούν να πείσουν την ασφάλεια ότι είναι νόμιμη ακόμα και όταν δεν είναι. Για το σκοπό αυτό, θα χρησιμοποιεί συχνά τα πραγματικά ονόματα του διοικητικού συμβουλίου της εταιρείας, αλλά θα περιλαμβάνει έναν αριθμό τηλεφώνου επαλήθευσης που πηγαίνει σε έναν άλλον κόκκινο teamer που ενημερώνεται για να επαληθεύσει το εξώφυλλο. Φυσικά, εάν η ασφάλεια το δει αυτό, παραδίδεται το πραγματικό δελτίο άδειας. Ωστόσο, αυτό μπορεί να αντιμετωπιστεί με μεγάλη καχυποψία.
Ανάλογα με το πώς πιάστηκε ο κόκκινος teamer, μπορεί να είναι δυνατό να συνεχιστεί η δοκιμή, με την προϋπόθεση ότι έχουν παρακάμψει τον μεμονωμένο φύλακα που τον έπιασε. Ωστόσο, είναι πιθανό η ταυτότητα του ελεγκτή να «εκτιναχθεί», ουσιαστικά αφαιρώντας τον από κάθε περαιτέρω αυτοπροσώπως δοκιμή. Σε αυτό το σημείο, ένα άλλο μέλος της ομάδας μπορεί να ανταλλάξει με ή χωρίς να ενημερώσει την ασφάλεια.
Το pentest είναι μια δέσμευση κατά την οποία ένας επαγγελματίας της ασφάλειας στον κυβερνοχώρο καλείται να δοκιμάσει την ασφάλεια ενός συστήματος υπολογιστή. Η δοκιμή περιλαμβάνει τη μη αυτόματη αναζήτηση και επαλήθευση της παρουσίας τρωτών σημείων. Ως μέρος αυτού μπορούν να χρησιμοποιηθούν αυτοματοποιημένα εργαλεία. Στο τέλος της δοκιμής, παρέχεται μια αναφορά που περιγράφει λεπτομερώς τα προβλήματα που εντοπίστηκαν και παρέχει συμβουλές αποκατάστασης.
Είναι σημαντικό αυτή η αναφορά να μην είναι απλώς η αυτοματοποιημένη έξοδος από ένα εργαλείο, αλλά να έχει ελεγχθεί και επαληθευτεί χειροκίνητα. Οποιοδήποτε σύστημα υπολογιστή, υλικό, δίκτυο, εφαρμογή ή συσκευή μπορεί να δοκιμαστεί. Οι δεξιότητες που απαιτούνται για το καθένα ποικίλλουν αλλά συχνά είναι συμπληρωματικές.
Το Chrome, από προεπιλογή, δεν σας εμφανίζει την πλήρη διεύθυνση URL. Μπορεί να μην σας ενδιαφέρει πάρα πολύ αυτή η λεπτομέρεια, αλλά αν για κάποιο λόγο χρειάζεστε να εμφανίζεται η πλήρης διεύθυνση URL, Λεπτομερείς οδηγίες για το πώς να κάνετε το Google Chrome να εμφανίζει την πλήρη διεύθυνση URL στη γραμμή διευθύνσεων.
Το Reddit άλλαξε τον σχεδιασμό του για άλλη μια φορά τον Ιανουάριο του 2024. Ο επανασχεδιασμός μπορεί να δει από τους χρήστες του προγράμματος περιήγησης για επιτραπέζιους υπολογιστές και περιορίζει την κύρια ροή παρέχοντας συνδέσμους
Η πληκτρολόγηση του αγαπημένου σας αποσπάσματος από το βιβλίο σας στο Facebook είναι χρονοβόρα και γεμάτη λάθη. Μάθετε πώς να χρησιμοποιείτε το Google Lens για να αντιγράφετε κείμενο από βιβλία στις συσκευές σας.
Οι υπενθυμίσεις ήταν πάντα το σημαντικότερο σημείο του Google Home. Σίγουρα κάνουν τη ζωή μας πιο εύκολη. Ας κάνουμε μια γρήγορη περιήγηση σχετικά με τον τρόπο δημιουργίας υπενθυμίσεων στο Google Home, ώστε να μην χάνετε ποτέ να αναλαμβάνετε σημαντικά καθήκοντα.
Μερικές φορές, όταν εργάζεστε στο Chrome, δεν μπορείτε να αποκτήσετε πρόσβαση σε συγκεκριμένους ιστότοπους και εμφανίζεται το σφάλμα "Διόρθωση διεύθυνσης DNS διακομιστή δεν βρέθηκε στο Chrome". Εδώ είναι πώς μπορείτε να επιλύσετε το πρόβλημα.
Πώς να αλλάξετε τον κωδικό πρόσβασής σας στην υπηρεσία ροής βίντεο Netflix χρησιμοποιώντας το πρόγραμμα περιήγησης ή την εφαρμογή Android που προτιμάτε.
Εάν θέλετε να απαλλαγείτε από το μήνυμα Επαναφορά σελίδων στον Microsoft Edge, απλώς κλείστε το πρόγραμμα περιήγησης ή πατήστε το πλήκτρο Escape.
Η βαθιά σύνδεση είναι η μοντέρνα τεχνική ανακατεύθυνσης χρήστη. Μάθετε για τη σύνδεση σε βάθος εδώ για να τη χρησιμοποιήσετε για να αυξήσετε την επισκεψιμότητα του ιστότοπού σας ή της εφαρμογής σας.
Το AR είναι το επόμενο μεγάλο πράγμα του Διαδικτύου για ψυχαγωγία, εργασία ή επιχείρηση. Μάθετε το cloud AR με λεπτομέρειες για να γίνετε ενημερωμένος χρήστης.
Χρησιμοποιήστε το Microsoft Edge Drop και μοιραστείτε εύκολα αρχεία και μηνύματα μεταξύ συσκευών ακολουθώντας αυτά τα βήματα που είναι φιλικά για αρχάριους.
