Jeśli czytasz ten artykuł, to najprawdopodobniej tak. Test penetracyjny jest w stanie uratować Ci skórę i zaraz się o tym przekonasz. Nie raz, nie dwa byłem świadkiem zgrzytania zębów firm i korporacji, które padły ofiarą hackerów. Kto był winny? Może hacker? Absolutnie nie. Wina leży tylko i wyłącznie po stronie firmy, która odpowiednio nie zadbała o bezpieczeństwo swoich produktów. Sprawa nabiera szczególnej powagi kiedy (jak w przypadku korporacji) do gry wchodzą dane takie jak personalia użytkowników/klientów. Niżej będę pisał głównie o webaplikacjach, jednak jeśli chodzi o pentest sieci to sprawa ma się identycznie.

Mógłbyś teraz powiedzieć: „w naszej korporacji zatrudniamy inżynierów bezpieczeństwa, po co nam w takim razie zatrudniać pen testerów?!”. Takie zdanie też już nie raz słyszałem. I wiecie co? Założyłem się kiedyś ze znajomym, że poświęcę 2 godzinki i zrobię darmowe badanie aplikacji internetowych podlegających pod jego korpo. Układ był prosty – 1 błąd bezpieczeństwa = 1 piwo. Może nie z zegarkiem w ręku, ale w jakieś 2 godzinki, bez użycia żadnych narzędzi, pracując wyłącznie manualnie kolega był zobligowany do przywiezienia mi kraty piwa ;) Kilkanaście bugów, kilka z nich w miejscach tak oczywistych, że nie problemem byłoby znalezienie ich przez pierwszego lepszego script kiddie. Jakie mogłyby wyniknąć z tego konsekwencje? Nieciekawe dla firmy, w której pracuje mój kolega, i to wszystko w 2 godziny! Dlaczego mimo posiadania w zespole inżynierów bezpieczeństwa warto wynajmować pentesterów poruszę w kolejnym artykule.

Jeśli prowadzisz małą stronę, to pentester nie skasuje Cię za usługę tak, żeby doprowadzić do Twojego bankructwa. Nie bój się pytać o wycenę pracy. Pentester też chce zarobić, więc będzie próbował się dogadać w wyniku czego, dla małej webaplikacji cena może wynieść tylko kilka stówek, a będziesz mógł spać spokojniej.

Komu by się chciało atakować moją stronę…” Oj chciałoby się. Czasem po to, żeby pochwalić się kolegom w gimnazjum a czasem po to żeby uprzykrzyć Ci życie. Wystarczy stored XSS, by narobić Ci biedy. Pojawia się komentarz a w nim kod, który zmienia wygląd (i możliwe też, że działanie) Twojej strony. Ktoś wyjątkowo zdeterminowany będzie po każdej Twojej interwencji robił to samo, dopóki błędu nie naprawisz. Jeśli naprawisz jeden, znajdzie drugi, a w międzyczasie warto by zastanowić się co pomyślą Twoi klienci. Zabawa jest fajna, dopóki ktoś z boku na to nie patrzy.

Przejdźmy teraz do sytuacji, w której prowadzisz jakiś poważny interes, np. sklep internetowy i ktoś znajduje podatność pozwalającą uzyskać dostęp do serwera i wykraść dane. Jeśli masz okazałą bazę danych a nie masz czegoś w stylu programu bug bounty (czyli programu polegającego na wynagradzaniu osób zgłaszających błędy bezpieczeństwa), to nie masz nawet co myśleć o tym, że hacker po znalezieniu podatności Cię o niej poinformuje. Jestem wyczulony na punkcie bezpieczeństwa i prywatności, w wyniku czego jeśli widzę, że ktoś nie dba o te rzeczy traci u mnie jakikolwiek szacunek. Jak można przechowywać czyjeś dane i nie dbać o nie. Tym bardziej, że sprawę tę określa ustawa o ochronie danych osobowych. Dane milionów klientów i użytkowników firm Blizzard, Ubisoft, Riot games, Rockstar games są do ściągnięcia z sieci. Nie wspominając już o sieciach sklepów i tym podobnych. Jeśli nie chcesz stracić twarzy i pieniędzy to zainwestuj w usługi jakie oferują pentesterzy. Mamy ich na polskim rynku całkiem sporą ilość więc jest w kim wybierać ;)

Jest kwestia o której musisz pamiętać – zaufanie ma swój limit.
Chcesz ryzykować? Twoja sprawa, jednak jeśli wyczerpiesz ten limit – stracisz wszystko.

Jak oceniasz artykuł?

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

brak komentarzy
Dodaj swoją opinie

Kompetencje

Certyfikat Cisco Certified Network Associate (CCNA) Routing and Switching

Polecamy

VirtualStudy.pl - technologia w zasięgu Internetu

Zasubskrybuj Newsletter

Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej (zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - Dz. U. Nr 144 poz. 1204.).

autoresponder system powered by FreshMail
 
Przeczytaj poprzedni wpis:
Czy kopie zapasowe w Androidzie są bezpieczne? Czyli o prywatności słów kilka

Członek  Electronic Frontier Foundation – organizacji mającej na celu walkę między innymi o prawo do anonimowości i prywatności – Micah Lee kilka...

Zamknij