Hacking für Dummies

IT-Sicherheitsexperten sollten die gemeinsamen Sicherheitsschwächen wissen, dass kriminelle Hacker und böswillige Benutzer zuerst überprüfen, wenn in Computersysteme hacken. Sicherheitslücken, wie die folgenden, sollte auf Ihrer Checkliste, wenn Sie Ihre Sicherheitstests durchführen:

• Leichtgläubig und übermäßig zu vertrauen Anwender

• Ungesicherte Gebäude und Computerraum Eingänge

• Ausrangierte Dokumente, die nicht geschreddert haben und Computer-Festplatten, die nicht zerstört

• Netzwerk Umfänge mit wenig bis gar keine Firewall-Schutz

• Schlecht, unangemessene oder fehlende Zugriffs Datei- und Freigabekontrollen

• Ungepatchte Systeme, die kostenlose Tools wie Metasploit genutzt werden können

• Web-Anwendungen mit schwachen Authentifizierungsmechanismen

• Guest drahtlose Netzwerke, die die Öffentlichkeit zu verbinden in das Unternehmensnetzwerkumgebung ermöglichen

• Notebook-Computer ohne Festplattenverschlüsselung

• Mobile Geräte mit einfachen Passwörter zu knacken oder keine Passwörter überhaupt

• Schwache oder keine Anwendungs-, Datenbank- und Betriebssystem-Passwörter

• Firewalls, Router und Switches mit Standard oder leicht erraten Passwörter

Gemeinsame Anschlüsse, wie zum Beispiel TCP-Port 80 (HTTP), werden nach unten gesperrt - aber auch andere Ports übersehen werden können, und für Hacker anfällig sein. In Ihren Sicherheitstests sicher, dass diese häufig gehackt TCP und UDP-Ports zu überprüfen:

• TCP-Port 21 - FTP (File Transfer Protocol)

• TCP-Port 22 - SSH (Secure Shell)

• TCP-Port 23 - Telnet

• TCP-Port 25 - SMTP (Simple Mail Transfer Protocol)

• TCP und UDP-Port 53 - DNS (Domain Name System)

• TCP-Port 443 - HTTP (Hypertext Transport Protocol) und HTTPS (HTTP über SSL)

• TCP-Port 110 - POP3 (Post Office Protocol, Version 3)

• TCP und UDP-Port 135 - Windows-RPC

• TCP und UDP-Ports 137 bis 139 - Windows-NetBIOS über TCP / IP

• TCP-Port 1433 und UDP-Port 1434 - Microsoft SQL Server

Sie müssen erfolgreiche Sicherheitsbewertungen Ihre Systeme zum Schutz vor Hacking. Egal, ob Sie Sicherheitstests gegen Ihre eigenen Systeme Leistung erbringt oder für die von einem Dritten, müssen Sie klug und pragmatisch sein, um erfolgreich zu sein. Diese Tipps für Sicherheitsbewertungen helfen Ihnen, in Ihrer Rolle als Informationssicherheitsexperten gelingen:

• Setzen Sie sich Ziele und einen Plan zu entwickeln, bevor Sie loslegen.

• Holen Sie die Erlaubnis, Ihre Tests durchzuführen.

• Haben Sie Zugriff auf die richtigen Werkzeuge für die Aufgaben zur Hand.

• Test in einer Zeit, die für das Unternehmen am besten ist.

• Halten Sie die wichtigsten Akteure in der Schleife während Ihrer Prüfung.

• Verstehen Sie, dass es nicht möglich ist, zu erkennen, jeden Sicherheitslücke auf jedem System.

• Studie bösartige Hacker und Schurken Insider Verhaltensweisen und Taktik. Je mehr Sie wissen, wie die bösen Jungs arbeiten, desto besser werden Sie bei Prüfung Ihrer Systeme für Sicherheitslücken sein.

• Nicht übersehen, nicht-technische Sicherheit issues- sie oft zuerst ausgebeutet sind.

• Stellen Sie sicher, dass alle Ihre Tests ehrlich ist.

• Behandeln Sie andere vertrauliche Informationen der Menschen zumindest so gut wie Sie Ihre eigenen behandeln würde.

• Bringen Sie Schwachstellen, um die Aufmerksamkeit des Managements zu finden und die entsprechenden Gegenmaßnahmen so schnell wie möglich umzusetzen.

• Nicht jede Schwachstelle in der gleichen Art und Weise entdeckt zu behandeln. Es sind nicht alle Schwächen schlecht. Beurteilen Sie den Kontext der gefundenen Probleme, bevor Sie erklären, dass der Himmel fällt.

• Show-Management und Kunden, dass die Sicherheitsprüfung ist ein gutes Geschäft, und Sie sind die richtigen Profi für den Job. Sicherheitsbewertungen sind eine Investition Geschäftsziele zu erreichen, finden Sie, was wirklich zählt, und im Einklang mit den verschiedenen Gesetzen und Vorschriften - nicht über dumme Hacker-Spiele.