Informatikai Biztonság Napja 2007

A BME(IT)2 szakmai védnökségével 2007. szeptember 26-án (szerdán) – harmadik alkalommal
rendezték meg az informatikai biztonság leglátogatottabb rendezvényét, az "Informatikai Biztonság Napját":

 

Hasonlóan az előző két évhez az ITBN idén is szakma képviselőinek legszélesebb táborát vonultatta fel a gyártóktól, a rendszerintegrátorokon és tanácsadókon át egészen az állami szervezetekig és auditor cégekig.

Az ITBN 2007 rendezvényen az IT biztonsági labor "Ethical Hacking" szolgáltatását helyeztük előtérbe, de a szórólapok révén a CISSP tanfolyam és vizsga, illetve az BME (IT)2 bemutatása, éves jelentése is helyet kapott a standon.

 A konferenciára elkészült a BME (IT)2 Ethical Hacking Csoport honlapja tartalommal feltöltve, illetve elkészült a design, amelyet a szórólapokon, plakátokon is használtunk. Reklámanyagként, a névhasonlóságot alapul véve "Hacker-Pschorr" márkájú, prémium kategóriás söröket sorsoltunk ki a leadott névjegykártyák között.

 A konferenciára egy átfogó előadással és több kisebb, gyakorlati bemutatóval készültünk az "Ethical Hacking" szolgáltatást bemutatandó.

Szigeti Szabolcs átfogóbb előadásában elmondta, hogy miben más a piacon levő többi ethical hacking szolgáltatást nyújtó céghez képest a miénk, kiknek, és mennyiben tud segíteni a szolgáltatásunk igénybe vétele. Itt a nemzetközileg elfogadott auditálási módszertanokra való leképezést emelte ki, amely révén akár a BS7799 felülvizsgálat biztonsági szintjét megemelendő lehet ethical hacking szolgáltatást igénybe venni. Ez segítheti a felkészülő szervezeteket, de akár magát az auditort is. A termékközpontú módszertanok közül a Common Criteria is kiemelendő, amely bevizsgálásoknál szintén alapvető követelmény a rendszerek megadott szintű sérülékenységi vizsgálata. Természetesen, amennyiben az ügyfél nem akar a módszertanok részletességi szintjének megfelelő szolgáltatást igénybe venni, akkor olyan egyszerűbb ethical hacking vizsgálatot is kérhet, amelyet a piaci riválisok is nyújtanak. Ilyen esetekben azonban nem feltétlenül lesz teljes lefedettségű a vizsgálat (pl. egy BS7799 számos követelménye szól a hozzáférési szabályok ellenőrzéséről, azonban egy "fekete dobozos" behatolás-tesztelésnél a sérülékenység megkeresése, kihasználása, jelentése során ezek nem feltétlenül kerülnek előtérbe).

A nap folyamán három kisebb bemutatóra is sor került a standnál:

  • Pánczél Zoltán kiselőadása a módszertan tesztelése kapcsán végrehajtott pilot projekt eredményeit mutatta be (hálózat felderítése, betörések bemutatása).
  • Szabó Áron a kriptográfiát használó megoldásokhoz kapcsolódó töréseket mutatta be (jelszófájlok, vezeték nélküli hálózatok WEP/WPA törése, hash-függvények elleni támadások).
  • Adamkó Péter a közbeékelődő támadási módokról beszélt, amelyek révén akár a konferencián résztvevő, vezeték nélküli hálózatot igénybe vevő felhasználók bizalmas adatait, jelszavait is meg lehet szerezni.