Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

 

Intro

Наверняка ты хотя бы раз интересовался спросом на различные «хакерские» услуги, будь то продажа/покупка траффика или веб-шеллы под дорвеи, натыкался на немыслимое число постов о предложении DDoS-атак и рассылку спама. Таких объявлений полно на любом тематическом форуме в разделе с характерным названием «Покупка/Продажа/Работа». Не составит труда провести аналогию между услугами, предоставляемыми на подобных форумах, и услугами, которые предлагают ведущие консалтинговые фирмы (их, к сожалению, до сих пор можно пересчитать по пальцам одной руки). Грубо говоря, топик «Продам доступ к серверам компании Х» мапится на «тестирование на проникновение» — процесс один и тот же (не рассматриваем мотивы, цели, законодательство).

Соответственно, DDoS, если следовать тому же принципу, отлично мапится на консалтинговую услугу «оценка отказоустойчивости Х». В 2010–2011 годы ни одна отечественная консалтинговая компания подобными услугами не занималась. Так я стал одним из product owner’ов комплекса тестирования на отказоустойчивость.

Перечень публичных услуг на одном известном форуме
Перечень публичных услуг на одном известном форуме
 

Birth of the DeathStar

Спрос рождает предложение. DDoS имел спрос на черном рынке, на белом же спроса не было. Хотя это чертовски странно, ведь один из трех китов информационной безопасности — доступность — никак не покрывался практическими проверками. Только на бумаге были расписаны угрозы, планы непрерывности бизнес-процессов, планы реализации резервирования и дублирования (в большинстве случаев в жизнь все это сразу не воплощалось — не было бюджета). И только источники бесперебойного питания стали оплотом той самой живой составляющей обеспечения доступности информации. Я решил потратить время на разработку услуги по оценке веб-приложений на отказоустойчивость.

Ты не поверишь, но несколько лет назад у пентестеров было свободное время на ресерч, на котиков и на многое другое: половина зимы и половина лета были мертвыми сезонами — когда большинство CISO уезжали в отпуска, консалтинг в сфере ИБ был не очень востребован. К счастью, сейчас это не так, точнее, сейчас это незаметно, поскольку спрос на услуги вырос. В один из таких периодов затишья была разработана клиентская и серверная часть системы, которая позволяла нагружать тестируемое веб-приложение. Серверная часть представляла собой веб-приложение, к которому раз в минуту обращались клиенты и получали новое задание, — все банально. Серверная часть была названа DeathStar, а идентификатор каждого из клиентов начинался со StormTrooper — в честь Star Wars, являюсь поклонником которых я (уже выбираю костюм, в котором пойду на премьеру в декабре, да).

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


Комментарии

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Исследователи Check Point обнаружили масштабный IoT-ботнет

Компания Check Point рассказала о новом IoT-ботнете. По оценкам специалистов, миллионы орг…