„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" TÁMOP-4.1.1.C-12/1/KONV-2012-0005 projekt „Ágazati felkészítés a hazai.

Slides:



Advertisements
Hasonló előadás
A kölcsönös befolyásolás
Advertisements

Vírusok, kémek és egyéb kártevők
„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Az elektronikus közigazgatási rendszerek biztonsága
Hogyan vernek át nap, mint nap?
okostelefon a vezeték nélküli Hálózatok zártságának vizsgálatában
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Mennyire projekt érett a mai magyar társadalom? 1022 Budapest, Bimbó út 3. Telefon/fax:
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek” Kun Árpád vezető rendszermérnök, CEH Budapest, Január 28.
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Erőállóképesség mérése Találjanak teszteket az irodalomban
Mobil eszközök alkalmazása vállalati környezetben
Jogában áll belépni?! Détári Gábor, rendszermérnök.
10 állítás a gyerekek internethasználatáról
Cég RegisztrálásaCég Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4. Lépés | Céges Felhasználó Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4.
Mérés és adatgyűjtés Kincses Zoltán, Mingesz Róbert, Vadai Gergely 10. Óra MA-DAQ – Műszer vezérlése November 12., 15. v
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
5.2. Próbavizsga Próbáld ki tudásod!
Erdődi László, PhD, CEH, SSCP
Darupályák tervezésének alapjai
Közösségi portálok használata
Közösségi oldalak használata
A LÁTHATATLAN PÉNZ TITKAI
„Nem is gondoljuk, milyen egyszerű feltörni” A Neumann János Számítógép-tudományi Társaság részére Budapest, Rácz Bencze ügyvezető Fusiongate.
VII. Nemzetközi Médiakonferencia „A média hatása a gyermekekre és fiatalokra" szeptember Balatonalmádi Fiatal group leaderek Facebook használati.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
2014. július Tóth Nándor, Kecskeméti Főiskola - Informatika Hálózati Csoport Hiba észlelése Hiba észlelése Bejelentés Elfelejtődik Hibakeresés,
szakmérnök hallgatók számára
Vezetéknélküli hálózatok biztonsága
Tanuló szervezet.
A háború és a modern fegyveres erő
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
, levelezés … kérdések - válaszok Takács Béla 2008.
4. Feladat (1) Foci VB 2006 Különböző országok taktikái.
2007. május 22. Debrecen Digitalizálás és elektronikus hozzáférés 1 DEA: a Debreceni Egyetem elektronikus Archívuma Karácsony Gyöngyi DE Egyetemi és Nemzeti.
Topológia felderítés hibrid hálózatokban
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
ÉRDEKEGYEZTETÉS ÉRDEKKÉPVISELET
20).7-es szint Rákóczi 2. sz. barlang előtt
A klinikai transzfúziós tevékenység Ápolás szakmai ellenőrzése
Létezik valamilyen emberi alkotás, amely megközelíti a természet szépségét? Talán a zene! Kapcsolja be a hangszórókat! Automatikus diatovábbítás.
Windows Server 2008 Távoli elérés – I.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Szoftverjog és etika, adatvédelem
1 TANULÁSI TÍPUS TESZT.
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
Ingyenes,Multi funkcionális tűzfal szoftver
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" YYYY. MM. DD Előadás címe TÁMOP C-12/1/KONV projekt.
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Advanced Next gEneration Mobile Open NEtwork ANEMONE Promóciós Nyílt Nap A teszthálózat használata 2008 április 22. Nováczki Szabolcs
A web site minősítése Források: Bokor Péter szakdolgozata (2002) és a benne megadott hivatkozások: Dotkom Internet Consulting: Üzleti weboldalak elemzése,
Adatbiztonság, adatvédelem, kockázatelemzés
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Tűzfal (firewall).
avagy a zártság dilemmái
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
Biztonság kábelek nélkül Magyar Dénes május 19.
Hálózati biztonság Készítette: Füzesi Tamás Konzulens: Varga Krisztián.
Az Ethical Hacking szükségessége – paranoia faktor Budai László IT Biztonságtechnikai tanácsadó.
Telephelyek információbiztonsági felülvizsgálata szervezeti összeolvadás esetén Cseh Zsolt tanácsadó XXXVII. Szakmai fórum szeptember 16.
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„ÖSSZEFOGÁSBAN AZ ÉSZAK- HEGYHÁTÉRT”- EFOP
GDPR és a szikla 1. személyes felelősség megvalósítása
Előadás másolata:

„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" TÁMOP C-12/1/KONV projekt „Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" TÁMOP C-12/1/KONV projekt Adatbiztonság a méréstechnológiában képzők képzése Szerző: Dr. Németh L. Zoltán

1. Előadás Dr. Németh L. Zoltán 3. Előadás A sérülékenységek felkutatátásának módszerei

Ismétlés I. - Az informatikai biztonság alapvető céljai 3 1. C = Confidentiality (bizalmasság) Csak azok érhessék el az információt, akik arra jogosultak. Pl. titkosított adattovábbítás és tárolás. 2. I = Integrity (sértetlenség) Védelem az adatok jogosulatlan módosítása ellen. Pl. beszúrás, törlés, helyettesítés adatbáziskezelés, pénzügyi tranzakciók lebonyolítása során. 3. A = Avalability (rendelkezésre állás) Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl. IDS/IPS, webserver terheléselosztás, naplózás. E három legalapvetőbb cél elérése és fenntartása jelenti az informatikai biztonságot. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Ismétlés II. 4 Kockázatok (Risks) Sérülékenységek (Vulnerabilities) Kihasználások (Exploits) Incidens (Incidents) Védelmi mechanizmusok (Security Controls) Biztonsági szabályzatok Biztonság – kényelem – funkcionalitás Fizikai – logikai – adminisztratív védelem Prevention – Detection – Correction Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Sérülékenységek keresése 5 A sérülékenység-keresés eszközei: 1. Vulnerability Assesment (Sérülékenységek felmérése) 2. Vulnerability Scanning (Sérülékenységek szkennelése) 3. Penetration Testing (Behatolásteszt, Etikus hackelés) Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

6 A sérülékenységek kezdeti és rendszeres felmérése rendszer, hálózat vagy a szervezet működését illetően. Elengedhetetlen része az általánosabb kockázatelemzési tervnek. Alapja a tervek, dokumentációk, folyamatok áttekintése, pl. biztonsági szabályzatok, napló bejegyzések, beszerzési, bevezetési, tesztelési folyamatok, interjúk a személyzettel. Általában belső vizsgálat és manuális tevékenység, bár külső szakértők és automatikus eszközök segíthetik. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés Vulnerability Assesment

7 Automatikus sérülékenység-keresők (vulnerability scanners) segítségével, pl. Nessus, Nmap, Nikto, OpenVAS, CoreInpact, Nexpose, Retina, SAINTS, Acunetix, AppScan. Passzív módszer, csak a sérülékenységek összegyűjtése a célja, nem a kihasználásuk. Sok téves riasztást (False Positive) adhat, melyeket ellenőrizni kell. Alkalmazása: rendszeresen (pl. negyedévente), változtatások bevezetése után. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés Vulnerability Scanning I.

Vulnerability Scanning II. 8 Általában jó kiindulási alapot nyújt a sérülékenység keresés másik két módszeréhez (felmérés, penteszt) is. A rendszerek nagy mérete nem akadály. Bizonyos, könnyen azonosítható sérülékenységek kiszűrésére ideális, pl.: nyitott portok azonosítása, frissítések és foltozások (Updates and Patches) naprakészségének ellenőrzése, (gyári) alapbeállítások használatának kiszűrése, gyenge jelszavak kiszűrése, kívülről hozzáférhető érzékeny adatok keresése, helytelen biztonsági beállítások, konfigurációs hibák, stb. felkutatása. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

9 Behatolásteszt = Etikus hackelés. Aktív technika, célja a sérülékenységek összegyűjtésén túl, azok kihasználhatóságának bizonyítása is. A támadó gondolkodásmódját és eszközeit követve pontosabb képet kapunk a rendszer tényleges biztonságáról, a sérülékenységek egymásra épüléséről és azok hatásáról (Impact). Segítségével tesztelhető a szervezet támadásra adott reagálása (Incident Response) is. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés Penetration Testing I. – Ethical Hacking

10 Az etikus hacker hozzáértésére épül, de alkalmaz automatikus eszközöket, pl. sérülékenység-keresőket. Alkalmazása: kiemelt biztonsági igény esetén, ha már biztonságosnak véljük a rendszerünket… Mivel valós támadás, a rendszer működését, óhatatlanul is veszélyeztetheti, ezért hatáskörét szigorúan meg kell határozni, teszt környezetben is végezhető, komoly szakértelmet és körültekintést igényel. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés Penetration testing II.

Ki a hacker? 11 Ezen majdnem olyan jót lehet vitatkozni, mint hogy mi a szerelem. Az emberek többségében a hackerekről az elsötétített szobában, csuklyában több monitor előtt görnyedő titokzatos bűnöző képe él. És sajnos ez sok tekintetben igaz. Nem kevesen keresik ezzel a kenyerüket a világon, de… Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Hackerek 12 Jó vagy rossz céltól függetlenül a hackelés lényege ugyanaz: Speciális szaktudással, eszközökkel és technikákkal az informatikai védelmi kontrollok kijátszása és betörés a rendszerekbe. Sokszor a hackelés sikere azon múlik, hogy a rendszerek nem csak úgy viselkednek, működnek, ahogy azt a tervezőjük gondolta.,,Hackers do things, you don’t expect to do!” (A hackerek olyan dolgokat tesznek, melyekre ön nem számít.) Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés Nem működik jelszó nélkül. Működik az, csak máshogy!!!

A hackerek megkülönböztetése I. 13 White hat: az etikus hackerek, biztonsági szakemberek. Black hat: a bűnözők, pl. ipari kémek, terroristák. Gray hat: kíváncsiságból, vagy tehetségük elismeréséért hackelők, nem élnek vissza a hibákkal, a gyártókat/üzemeltetőket értesítik, de nincs megbízásuk, esetenként pénzt kérnek a javításokért. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hackerek megkülönböztetése II. 14 Blue hat: a különböző rendszereket még megjelenés előtt tesztelik (Blueprint testing). Script kiddies: csak mások kész eszközeivel hackelnek, anélkül, hogy értenék őket, az igazi hackerek áltatában lenézik őket. MÁS megközelítés: Hacker (white hat) ↔ Cracker (black hat). Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Etikus hackelés 15 Mitől etikus egy hacker? - Ez nem erkölcsi kérdés: Akinek az általa tesztelt rendszerek feltörésére az üzemeltetőtől írásos megbízása van. Az a célja, hogy a bűnözők gondolkodásmódját követve, és eszközeit használva vizsgálja a sérülékenységeket. Így számos kockázat jól felmérhető. Az etikus hacker mindig dokumentálja cselekedeteit : a támadás minden egyes lépését és jellemzőit. Maximálisan tiszteletben tartja megbízója érdekeit, pl. titoktartás, a rendszer-kiesések elkerülése, stb. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

De honnan jön az elnevezés? 16 Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés ‘The Last Stand’ westernfilm jófiú white hat rosszfiú black hat Így mindenki első pillantásra látta, hogy kinek kell szurkolni. Hackereknél is: Van megbízásod vagy sem? Ez ilyen egyszerű.

Mi a baj a gray hat kategóriával? I. 17 A kalapod színét igazából nem te mondod meg. Ha egy rendszer a „tesztelésed” alatt összeomlik, utólag hiába magyarázod, hogy csak,,jót akartál”. Igen, több gray/back hat hackerből lett később híres biztonsági szakember (Néhány évet azért rendszerint ültek ők is börtönben…). Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Mi a baj a gray hat kategóriával? II. 18 De még többen egyszerűen börtönbe kerültek, anélkül, hogy híressé váltak volna. Soha ne csináljatok illegális pentesztet! Jóval könnyebb valakit lebuktatni, mint azt sokan gondolnák… A,,nagyoknak” azért vannak eszközeik… Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hackelés motivációi I Munka, megbízás: white hat 2. Kíváncsiság, hobbi, elismerés : gray hat 3. Illegális jövedelem : black hat 4. Legális jövedelem : bounty programs 5. Nemzetközi/Ipari/Politikai kémkedés Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hackelés motivációi II Hadviselés (kiberháború): fizetett vagy önkéntes katonák 7. Hacktivizmus: valamilyen csoport vagy mozgalom politikai, vallási, társadalmi céljainak eléréséért. 8. Jótékonyság – Hackers for Charity Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hackelés fázisai I. 21 I. Előkészítés (Preparation) Tájékozódás, szerződéskötés, titoktartás, tisztázandók: hatáskör, időkeret, időtartam, támadásfajták (eszközök), előzetes információk, kapcsolattartók. II. Felmérés (Assement) Biztonságértékelési fázis, ez a szűkebb értelemben vett hackelés. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hackelés fázisai II. 22 III. Értékelés (Conclusion) Biztonsági jelentés (Report) készítése: mit, hogyan tesztelt, milyen sérülékenységekre bukkant, a kockázatok értékelése, javítási javaslatok. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A felmérés 5 lépése Felderítés (Reconaissance) 2. Szkennelés (Scanning and Enumeration) 3. A hozzáférés megszerzése (Gaining access) 4. A hozzáférés megtartása (Maintaining Access) 5. A nyomok eltűntetése (Covering Tracks) Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Felderítés (Reconaissance) I. 24 Információgyűjtés a célpontról (Target of Evaluation, ToE) anélkül, hogy hozzáérnénk. Más néven nyomkeresés (Footprinting). Alapvetően fontos, bármennyire is vonzóbb lenne egyből nekiesni… A teljes penteszt idejének 90% -át kiteheti! A bűnözőknek, sajnos, általában bőven van idejük… Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Felderítés (Reconaissance) II. 25 CÉL a tesztelt rendszer - általában egy vállalat - feltérképezése, működésének megértése. Még a támadás megkezdése előtt annyi releváns információ összegyűjtése, amennyi csak lehetséges a feltérképezéshez és a megfelelő támadás kiválasztásához. Számos adatról a vállalat/személy/rendszer tervezője nem is gondolja, hogy az egy hackernek mennyire hasznos lehet. Pl.: Virág (Gergely Zoltán kisfilmje) -,,Ne hagyd, hogy mindent tudjanak rólad!”Virág (Gergely Zoltán kisfilmje Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

FORRÁSOK I. 26 A szervezet hivatalos weboldala (korábbi verziók is) Intranet, extranet (partnerek), wireless, private internet elérhetősége, pl. private. company-url.com Social Media (Facebook, Twitter, stb.) Fórumok (pl. Support) Hírek, újságok, bejelentések Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

FORRÁSOK II. 27 Álláshirdetések (pl. Cisco routerhez keresnek embereket) Google (Google Hacking) Whois és társai, IP címek felderítésére DNS kiszolgálók Kukabúvárkodás (Dumpster Diving) Telefon (Social Engineering), bár ez már támadó technika Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Szkennelés (Scanning and Enumeration) I. 28 Technikai felderítés, ez már támadó (Intrusive) technika. CÉL: élő IP címek, hálózat, op. rendszerek, nyitott portok, felhasználók, szolgáltatások feldeírtése, összegyűjtése Network Scanning : (h)ping, whois, traceroot, netscan, stb. Port Scanning : nmap, unicornscan(gyors), IPEye (kicsi, hordozható), stb. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Szkennelés (Scanning and Enumeration) II. 29 Banner Grabbing : a szolgáltatások fejléc információinak összegyűjtése, ncat, telnet OS Fingerprinting, pl. nmap -o Wardialing : programmal telefonszámokon modem keresése VPN Scan, IP Phone Scan, és még sokan mások … Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hozzáférés megszerzése (Gaining Access) A sérülékenységek azonosítása, pl: gyenge jelszavak, konfigurációs beállítások megkerülhető hozzáférés-vezérlés kihasználható programozási hibák sérülékeny szolgáltatások/op. rendszer verziók, stb. 2. A sérülékenységek kihasználása behatolás jogosultság kiterjesztés (privilege escalation) szolgáltatás bénítás: DoS, DDoS,RDDoS Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hozzáférés megtartása (Maintaining Access) I. 31 A sikerrel támadott rendszer további támadások alapja lehet. Lehallgatás hálózati forgalom, jelszavak. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A hozzáférés megtartása (Maintaining Access) II. 32 Programok telepítése, hogy felfedezés esetén ismét hozzá tudjon férni a rendszerhez: Backdoors (hátsó ajtók), Rootkitek (rendszer szintű kártékony programok), Trójaiak (alkalmazás szintű), védekezés: csapdák (Honeypots, Honeynets). Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A nyomok eltüntetése (Covering Tracks) I. 33 A rosszindulatú támadók általános célja. Bejelentkezési (login) és egyéb naplók (logok) törlése. A támadás során keletkezett hibaüzenetek törlése. A rendszer naplózás kikapcsolása, vagy manipulálása. Esetenként szteganográfia : adatrejtés, pl. kép vagy jangfájlokba. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

A nyomok eltüntetése (Covering Tracks) II. 34 Tunneling: rejtett csatornákon, adattovábbítás. Forensic (számítógépes kriminalisztika) és Antiforensic. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Összefoglalás I. 35 A sérülékenységek összegyűjtése az informatikai biztonság egyik alapfeladata. Ennek eszközei: Vulnerability Assesment, Vulnerability Scanning, Penetration Testing. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Összefoglalás II. 36 Ezek eltérő módszerek, és jól kiegészítik egymást. Az etikus hacker a behatolásteszt során valódi támadást szimulál, így ellenőrzött körülmények között győződhetünk meg a rendszer biztonságáról. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Összefoglalás III. 37 Bármely módszerrel is térképezzük fel a sérülékenységeket, ezután a belőlük fakadó kockázatokat mérlegelnünk kell. Majd megfelelő biztonsági ellenintézkedésekkel a kockázatokat csillapítanunk kell. Végül a csillapítás sikerességéről a teszt megismétlésével kell meggyőződnünk. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés

Hivatkozások 38 M. Walker, CEH Certified Ethical Hacker All-in- One Exam Guide, McGraw-Hill Osborne, 2011 EC-Council, Ethical Hacking and Countermeasures to Become Certified Ethical Hacker, ied-ethical-hacker. ied-ethical-hacker Virág, rövidfilm, rendezte: Gergely Zoltán ag/ ag/. Szoftverbiztonság alapjai – 2. előadás – Támadók és támadások, etikus hackelés