A szoftver garantáltan tartalmaz hibákat. Sok ezer sornyi kód lehet a szoftverben, és az emberi tévedés azt jelenti, hogy legalább egy részük nem lesz teljes a szándék szerint. A szoftverfejlesztési életciklus egy olyan folyamat, amelynek célja, hogy ezeket a problémákat rendszeres teszteléssel minimalizálja.
A probléma az, hogy a tesztelést gyakran fejlesztők végzik, akik lehet, hogy megtanulták, hogyan kell valamit kódolni, de nem tanulták meg a biztonságos kódolási gyakorlatokat. Még az alaposan tesztelt rendszerekben is segíthet az új problémák azonosításában, ha egy külső szemlélő néz és új perspektívát hoz.
Ennek általános módja a penetrációs teszt, amelyet általában pentestre rövidítenek. Ez magában foglalja egy professzionális, etikus hackert, egy pentestert, hogy megvizsgálja a rendszert, és megtalálja a biztonsági problémákat.
Tipp: „pentest” és „pentester”, nem „tollteszt”. A pentester nem tesztel tollat. A „tollteszt” valamivel elfogadhatóbb, mint a „tollteszt”, de általában szintén kerülendő.
Bármely pentest célja, hogy azonosítsa a tesztelt rendszer összes biztonsági rését, és jelentse azokat az ügyfélnek. Általában azonban a megbízások időkorlátosak a költségek alapján. Ha egy cégnek belső pentester vagy pentest csapata van, akkor állandóan a cégnél dolgozhatnak. Ennek ellenére sok ilyen skálával rendelkező vállalat rendelkezik olyan rendszerekkel, amelyeket tesztelni kell. Ez magában foglalja mind az értékesített termékeket, mind a vállalat üzleti rendszereit.
Ezért nem tölthetik minden idejüket egy dolog tesztelésével. Sok vállalat szívesebben alkalmaz külső tesztelő céget a megbízás elvégzésére. Ez még mindig korlátozott a költségek alapján. A költségeket az a tény határozza meg, hogy a penteszt egy nagyon manuális folyamat, és hogy a készségek hiányosak.
A penteszt általában egy adott időkeretre vonatkozik. Ez a szóban forgó célpont és az alapján történik, hogy mennyi időnek kell eltelnie ahhoz, hogy ésszerűen meggyőződjünk arról, hogy mindent megtaláltunk. A sebezhetőségek feltárásának idővonala általában egy haranggörbe. Nem sok minden található azonnal, ahogy a pentester körülnéz az alkalmazásban. Ekkor a megállapítások túlnyomó többsége egy adott időskálán belül elérhető, mielőtt csökkenne. Egy bizonyos ponton a kereséssel töltött több idő költsége nem éri meg azt az esélyt, hogy ne találjon mást.
Néha még az ajánlott időre vonatkozó jegyzett ár is túl sok. Ebben az esetben a teszt „időkeretezett” lehet. Itt az ügyfél elfogadja, hogy nem tesztel annyit, mint az ajánlott, de azt akarja, hogy a behatolók a lehető legjobbat nyújtsák rövidebb időn belül. Ez általában figyelmeztetésként szerepel a jelentésben.
Egyes eszközök állnak rendelkezésre a biztonsági tesztelés automatikus végrehajtásához. Ezek hasznosak lehetnek. Azonban gyakran magas a fals pozitív és hamis negatív arányuk. Ez azt jelenti, hogy időt kell töltenie a problémák ellenőrzésével, tudva, hogy ez nem feltétlenül átfogó. A legtöbb ilyen eszköz konkrét mutatókat keres, például a szoftverek ismert sebezhető verzióit vagy az ismert sebezhető funkciókat. Számos mód van azonban arra, hogy ezek ne legyenek tényleges problémák vagy a gyakorlatban mérsékelhetők.
A biztonsági rések ártalmatlannak tűnő darabokból összeállhatnak. Ezt a legjobb módja a kézi emberi erőfeszítés észlelni. A pentesterek eszközöket használnak, de tudják, hogyan kell értelmezni az eredményeket, manuálisan ellenőrizni azokat, és független kézi műveleteket végezni. Ez a kézi lépés elválasztja a pentesztet a sebezhetőség vizsgálatától vagy a sebezhetőség felmérésétől.
A penteszt általában egy teljes termék tesztelését foglalja magában, ahogyan az telepítve lenne. Ideális esetben ez valódi termelési környezetben történik. Ez azonban nem mindig praktikus. Először is, attól tartanak, hogy a pentest offline állapotban megütheti a célpontot. Általában véve ez a félelem lényegében alaptalan. A pentesztek általában nem generálnak túl sok hálózati forgalmat, talán néhány extra aktív felhasználónak felelnek meg. A Pentesters szándékosan nem teszteli a szolgáltatásmegtagadás típusú problémákat, különösen éles környezetben. Ehelyett általában jelenteni fogják a feltételezett szolgáltatásmegtagadási problémákat, hogy az ügyfél maga vizsgálhassa meg.
Emellett érdemes megjegyezni, hogy ha a rendszer csatlakozik az internethez, akkor folyamatosan „ingyenes penteszteknek” vetik alá a valódi feketekalapos hackerek és robotjaik. A termelési környezetek elkerülésének másik oka az élő felhasználói adatokkal kapcsolatos adatvédelmi problémák. A pentesterek etikus hackerek az NDA-k és szerződések értelmében, de ha létezik és hasonló tesztkörnyezet, akkor használható.
Tipp: Az „ingyenes penteszt” tréfás módon utal arra, hogy valakit fekete kalapok támadnak meg az interneten.
A pentesztek gyakorlatilag bármilyen technológiai rendszer ellen elvégezhetők. A webhelyek és a hálózati infrastruktúra a leggyakoribb teszttípusok. Ezenkívül API-teszteket, „vastag kliens” teszteket, mobilteszteket, hardverteszteket és még sok mást is kaphat.
Valójában az adathalászat, az OSINT és a red team gyakorlatok összefüggenek, de kissé eltérnek egymástól. Valószínűleg tisztában van az adathalászat veszélyével. Egyes tesztek során tesztelik, hogyan reagálnak az alkalmazottak az adathalász e-mailekre. Ha nyomon követi, hogy a felhasználók hogyan lépnek kapcsolatba – vagy nem – az adathalászattal, meg lehet tanulni, hogyan lehet személyre szabni a jövőbeli adathalász-képzést.
Az OSINT a nyílt forráskódú intelligencia rövidítése. Az OSINT-teszt a nyilvánosan elérhető információk összegyűjtése körül forog, hogy megtudja, hogyan gyűjthetők össze értékes adatok, és hogyan használhatók fel. Ez gyakran magában foglalja az alkalmazottak listájának létrehozását olyan helyekről, mint a LinkedIn és a vállalat webhelye. Ez lehetővé teszi a támadó számára, hogy azonosítsa azokat a magas rangú személyeket, akik jó célpontjai lehetnek egy lándzsás adathalász támadásnak, amely kifejezetten az adott címzettre szabott adathalászat.
A vörös csapat elköteleződése általában sokkal alaposabb, és magában foglalhat néhány vagy minden egyéb összetevőt. Tartalmazhatja a fizikai biztonság és a biztonsági szabályzat betartásának tesztelését is. A dolgok politikai oldaláról ez magában foglalja a társadalmi tervezést. Ez megpróbálja meggyőzni az utat az épületbe. Ez olyan egyszerű lehet, mint a dohányzóhelyiségben lógni, és a füstszünet után visszatérni a dohányosokhoz.
Ez lehet hivatalnokként kiadni, vagy megkérni valakit, hogy szerezzen ajtót, miközben egy kávéscsészét cipel. A fizikai biztonsági oldalon ez akár fizikai betörési kísérletet is jelenthet, a kamera lefedettségének, a zárak minőségének és hasonlóknak a tesztelését. A vörös csapat elfoglaltságaiban általában egy csapat vesz részt, és sokkal hosszabb ideig tarthat, mint a normál pentesztek.
A piros csapat gyakorlata kevésbé tűnhet etikusnak, mint egy szokásos pentest. A tesztelő aktívan zsákmányolja a gyanútlan alkalmazottakat. A lényeg az, hogy engedélyt kapjanak a cégvezetéstől, jellemzően igazgatósági szintről. Ez az egyetlen oka annak, hogy jó, ha egy vörös csapat megpróbál ténylegesen betörni. Semmi sem engedi meg, hogy erőszakos legyen. A vörös csapat gyakorlata soha nem kísérli meg megsebesíteni vagy leigázni a biztonsági őrt, megkerülni vagy átverni őket.
A vörös csapat letartóztatásának megakadályozása érdekében általában egy aláírt szerződést visznek magukkal a jóváhagyó testületi tagok aláírásával. Ha elkapják, ez felhasználható annak bizonyítására, hogy volt engedélyük. Természetesen ezt néha dupla blöffként használják. A vörös csapatos két engedélylapot hordhat magával, egy valódit és egy hamisítványt.
Amikor elkapják, először átadják a hamis engedélyt, hogy megnézzék, meg tudják-e győzni a biztonságot, hogy jogos, még akkor is, ha nem. Ebből a célból gyakran használja a vállalat igazgatótanácsának tényleges nevét, de tartalmaz egy ellenőrző telefonszámot, amely egy másik vörös csapathoz megy, aki a fedősztori ellenőrzésére szolgál. Természetesen, ha a biztonság átlát ezen, akkor átadják a valódi engedélylapot. Ezt azonban nagy gyanakvással lehet kezelni.
Attól függően, hogy a vörös csapatost hogyan sikerült elkapni, lehetséges lehet a teszt folytatása, feltételezve, hogy megkerülték az őket elkapó biztonsági őrt. Lehetséges azonban, hogy a tesztelő személyazonosságát „lefújják”, ami lényegében eltávolítja őket minden további személyes tesztelésből. Ezen a ponton egy másik csapattag cserélhet, akár a biztonsági értesítéssel, akár anélkül.
A penteszt egy olyan elfoglaltság, amelyben egy kiberbiztonsági szakembert felkérnek, hogy tesztelje a számítógépes rendszer biztonságát. A teszt magában foglalja a sebezhetőségek kézi keresését és ellenőrzését. Ennek részeként automatizált eszközök használhatók. A teszt végén jelentés készül, amely részletezi a talált problémákat, és tanácsokat ad a helyreállításhoz.
Fontos, hogy ez a jelentés ne csak egy eszköz automatizált kimenete, hanem mindet manuálisan tesztelték és ellenőrizték. Bármilyen számítógépes rendszer, hardver, hálózat, alkalmazás vagy eszköz tesztelhető. A szükséges készségek mindegyikhez eltérőek, de gyakran kiegészítik egymást.
A Chrome alapértelmezés szerint nem mutatja meg a teljes URL-t. Lehet, hogy nem törődik túl sokat ezzel a részlettel, de ha valamilyen oknál fogva meg kell jelenítenie a teljes URL-t, lásd: Részletes utasítások arról, hogyan állíthatja be a Google Chrome-ot a teljes URL-cím megjelenítésére a címsávban.
A Reddit 2024 januárjában ismét megváltoztatta a dizájnt. Az újratervezést az asztali böngészők felhasználói láthatják, és szűkíti a fő hírfolyamot, miközben linkeket biztosít
Problémákat tapasztal a Starbucks alkalmazás használatával Apple iPhone vagy Android telefonján? Előfordulhat, hogy az alkalmazásban technikai hibák vannak, vagy az internetkapcsolat nem működik.
Izgatottan várod a ChatGPT-t, az OpenAI által kifejlesztett forradalmian új mesterséges intelligencia (AI) chatbotot? Ha regisztrál egy ChatGPT-fiókra, akkor kihasználhatja ezt a hihetetlen nyelvi modell erejét, és felfedezheti annak végtelen lehetőségeit.
Érdemes lehet YouTube-videóit megosztani az Instagramon, hogy növelje márkáját és elköteleződést generáljon, de hogyan oszthatja meg YouTube-videóit az Instagram Story-ban. Nem lehet közvetlenül megosztani YouTube-videót az Instagram Story-ban, de van mód ennek megkerülésére.
Néha csak egy GIF segítségével érheti el, hogy mit szeretne mondani, és a megfelelő kiválasztása mulatságos eredményeket hozhat. Valószínűleg már tudja, hogyan kell GIF-eket küldeni a Snapchaten, és hogyan kell GIF-et közzétenni a Facebookon, az Instagramon, a Redditen és a Twitteren, de tudtad, hogy az Instagram-bejegyzésekhez is használhatsz megjegyzés GIF-eket.
Ha a Steam kliens elakad a „Steam fiók csatlakoztatása” oldalon, akkor azt fogod tapasztalni, hogy nem tudsz túllépni ezen a képernyőn, bármit is csinálsz. A Steam különböző okok miatt jeleníti meg ezt a hibát, beleértve az alkalmazás saját rossz fájljait is.
A Google Pay megkönnyíti az érintés nélküli fizetést azáltal, hogy otthon hagyhatja a pénztárcáját, és Google Pixel készülékével fizethet. A probléma az, hogy a Google Pay időnként leáll.
Képzelje el a legrosszabb forgatókönyvet: egy teljes harc kellős közepén áll, és csapattársaival együtt kinyírja az ellenségeket balról, jobbról és középről, majd… a PS5 DualSense kontroller akkumulátora lemerül. Ha csak egy kontrollere van, akkor vezetékes módban kell játszania, vagy meg kell várnia, amíg a kontroller feltöltődik.
Azt mondják, a kíváncsiság ölte meg a macskát, de néha szeretné tudni, hogy ki nézte meg Facebook-profilját, fényképeit, bejegyzéseit és személyes adatait. Szeretné tudni, hogyan nézheti meg, ki üldözi a Facebook-profilját.
