CIA-háromszög – a biztonság 3 alapköve (közérthetően)

A legtöbb biztonsági döntés lefordítható erre a három célra: Bizalmasság (ne lássa illetéktelen), Integritás (ne tudják megváltoztatni), Rendelkezésre állás (működjön, amikor kell).

• Bizalmasság (Confidentiality) – „Ki láthatja az adatot?”
  Példa: ügyféladatok, jelszavak, számlák, családi képek. Eszközök: titkosítás (pl. TLS), jogosultságok (ki mire férhet hozzá).
• Integritás (Integrity) – „Megváltozhat-e észrevétlenül?”
  Példa: átírt bankszámlaszám, módosított rendelési összeg, hamisított log (napló). Eszközök: ellenőrzések, aláírások, naplóvédelem.
• Rendelkezésre állás (Availability) – „Működik-e, amikor szükség van rá?”
  Példa: weboldal leáll, szolgáltatás lassú, DDoS támadás, tárhely betelik. Eszközök: redundancia, mentés/visszaállítás, túlterhelés elleni védelem.

Alapfogalmak – „emberi” értelmezéssel

• Támadási felület – minden „bejárat”, ahol be lehet jutni.
  Portok, bejelentkezési űrlapok, API-k, bővítmények, külső integrációk.
• Fenyegetés – mi történhet rossz esetben?
  Példa: zsarolóvírus, adatszivárgás, jogosulatlan belépés.
• Sebezhetőség – konkrét hiba, amit ki lehet használni.
  Példa: gyenge jelszó, hibás jogosultság, rossz input-kezelés.
• Kitettség – mennyire könnyű elérni a hibát?
  Belső hálózatból elérhető? Nyilvános internetről is? Kell hozzá belépés?
• Csökkentés (mitigation) – mit teszünk, hogy ne legyen baj?
  Felesleges szolgáltatások leállítása, „default deny” elv (alapból tiltunk), frissítés, naplózás.

Kockázat = Hatás × Valószínűség. A „hatás” lehet pénz, leállás, bírság, hírnévkár; a „valószínűség” pedig az, mennyire reális a támadás.

Kontroll = olyan intézkedés, ami csökkenti a kockázatot (technikai, adminisztratív, fizikai). Példák: kódellenőrzés (code review), jelszóházirend, beléptető rendszer.

Iparági keretek – miért jók ezek?

• NIST CSF 2.0 – egy „térkép”, ami segít rendszerezni: mit csinál egy jó biztonság.
  Fő területek: Govern (irányítás), Identify, Protect, Detect, Respond, Recover. Haszon: priorizálás, önellenőrzés.
• ISO/IEC 27001 – biztonsági „menedzsment rendszer”: szabályok, szerepek, kockázatkezelés, audit.
  Haszon: bizonyítható rend, megfelelőség, következetes működés.
• OWASP – közösségi tudásbázis webes biztonságról.
  OWASP Top 10: a leggyakoribb webes hibák. OWASP API Top 10: API-hibák (pl. hibás jogosultság).
• OWASP WSTG – webalkalmazás tesztelési kézikönyv lépésről lépésre.
  Minden fejezet: cél, módszer, ellenőrzőlista, bizonyítékok gyűjtése.

Biztonság a fejlesztésben (SDLC) – miért nem elég a „végén tesztelni”?

A legolcsóbb hiba az, amit még a tervezésnél kiszúrsz. Ezért beszélünk fenyegetésmodellezésről (pl. STRIDE), biztonságos kódolásról, és automatikus ellenőrzésekről (SAST/DAST/IAST/SCA) a CI/CD folyamatban.
Egyszerűen: ne a kész házban keresd a statikai hibát – tervezéskor jobb.

Jogi és etikai keretek – hogyan lesz korrekt egy teszt?

• Írásos engedély & hatókör – mit, mikor, meddig és hogyan tesztelsz.
• GDPR – csak szükséges személyes adat, lehetőleg tesztadatokkal dolgozz.
• NIS2 – kritikus ágazatok kötelezettségei (szervezetfüggő).
• CVD – sérülékenység felelős bejelentése; CVSS – súlyosság pontszám (mindig üzleti kontextussal).

Cybersecurity Tools – mik ezek és mire valók?

Ezeket az eszközöket a szakemberek nem „rombolásra”, hanem mérésre, ellenőrzésre és bizonyítékgyűjtésre használják. Ugyanúgy, ahogy egy villanyszerelőnek van multimétere, egy biztonsági szakembernek is van „szerszámosládája”.

• Wireshark – hálózati forgalom „röntgenje”: megmutatja, mi megy át a hálózaton.
• Nmap – „ajtópróba”: milyen portok vannak nyitva, milyen szolgáltatások futnak.
• Burp Suite / OWASP ZAP – webes forgalom vizsgálata: űrlapok, belépések, API hívások tesztelése.
• Nessus / OpenVAS – sebezhetőség-keresők: ismert hibák, rossz beállítások megtalálása.
• Snort – hálózati riasztó (IDS/IPS): gyanús forgalom esetén jelez vagy blokkol.
• OSSEC – gépszintű riasztó (HIDS): fájlmódosítás, gyanús belépés, szabályszegés.
• Splunk – logok „központi irányítópultja”: összegyűjt, kereshetővé tesz, riaszt.
• Metasploit – laborban támadás-szimuláció: megmutatja, mit jelent egy hiba a gyakorlatban.
• John the Ripper / Hashcat – jelszó-ellenőrzés: mennyire törhető egy jelszó (csak saját mintán).

A legtöbb szerver Linuxon fut, ezért az etikus hackeléshez (és a védekezéshez is) fontos érteni: ki mit csinálhat, mi van kinyitva a külvilág felé, és hol látszik nyoma a gyanús viselkedésnek.

• Disztró (Linux változat): Ubuntu LTS / Debian Stable ajánlott.
  Nem muszáj Kali/Parrot – a lényeg, hogy célzottan telepítsd az eszközöket és tudd, mi fut a gépen.
• Jogosultságok: a rendszer egyik legfontosabb védelmi rétege.
  Mit olvashatsz/írhatsz/futtathatsz (rwx), mit csinál a sudo, mi az a setuid/setgid/sticky.
• Naplózás: „mi történt a gépen?”
  journalctl = eseménynapló; logrotate = logok rendben tartása; fail2ban = bruteforce próbálkozások tiltása; AIDE = fájl-ellenőrzés.
• Tűzfal: „mi jöhet be a gépre?”
  Alapelv: ami nem kell, legyen tiltva. Csak a szükséges portokat engedjük.

Miért fontos a tűzfal? Mert a támadások jelentős része egyszerűen a „nyitva hagyott ajtókon” jön be.

Tipp: ha nem tudod, kell-e egy port, inkább ne nyisd ki. Előbb működjön biztonságosan kicsiben, aztán nyiss csak indokkal.

A laborkörnyezet egy biztonságos tanulópálya. Itt lehet gyakorolni úgy, hogy nem sértesz törvényt, és nem okozol kárt. A labor célja: valós helyzetek modellezése, kontrollált módon.

• Izoláció: a labor legyen leválasztva a „valódi” hálózatról.
  Host-only / NAT: a célgépek ne lógjanak ki közvetlenül az internetre.
• Snapshot stratégia: állapotmentés gyakorlatok előtt/után.
  Ha valamit „szétbontasz”, egy kattintással visszaállítható.
• Célrendszerek (szándékosan sebezhető tanuló rendszerek):
  OWASP Juice Shop (web), DVWA (web), Metasploitable2 (általános gyakorló gép).

Miért jók ezek? Mert nem „éles” rendszeren tanulsz, mégis valódi hibákon gyakorolsz, és közben megtanulod, hogyan kell dokumentálni a lépéseket.

OSINT = nyilvános forrásból történő információgyűjtés. Ez nem „varázslat”: sokszor az emberek és cégek túl sok mindent hagynak kint az interneten. Például: elfelejtett tesztoldal, nyilvános dokumentum, metaadatok, kiszivárgott konfiguráció.

Mit nézünk ilyenkor? Domain- és aldomain-listák, IP-k, nyilvános repo-k, dokumentumok metaadatai, technológiák nyomai. (Ha egy forrás használata csak engedéllyel jogszerű, akkor azt csak engedéllyel használjuk.)

AI mint rendszerező (nem mint „kitaláló”): Az AI-t itt úgy használd, mint egy rendező asszisztenst: te gyűjtöd az adatot, az AI pedig segít kategorizálni, összefüggéseket találni, és kockázati megjegyzéseket fűzni hozzá.
Fontos: az AI ne generáljon „új tényeket” – csak a meglévőt rendezze.

Példa kérdés (AI-hoz): „Itt egy lista a talált domainekről és technológiákról. Csoportosítsd őket, írd mellé, melyik miért lehet kockázatos (pl. régi verzió, admin felület, publikus login).”

Itt jön a „digitális térképrajzolás”: megértjük, mi érhető el egy célrendszeren, és hogyan kommunikálnak egymással a gépek.

• Módszertan: passzív → aktív.
  Először figyelünk (passzív), utána kérdezünk (aktív). Mindent időbélyeggel jegyzőkönyvezünk.
• Nmap: portok, szolgáltatások, verziók.
  Közérthetően: „milyen ajtók nyitottak, mi fut mögöttük, és mennyire friss?”
• tcpdump / Wireshark: forgalom rögzítése és elemzése (PCAP).
  Közérthetően: „mit beszél a gép a hálózaton?” Fontos: személyes adatok (PII) minimalizálása.

Eszközök a „Cybersecurity Tools” listából: itt tipikusan az Nmap (felderítés) és a Wireshark (forgalomelemzés) a két alapeszköz.

Tipp: a rögzített forgalom (PCAP) olyan, mint egy „fekete doboz” — később visszanézhető bizonyíték.

A webalkalmazások hibái gyakran nem „bonyolult hackek”, hanem egyszerű logikai gondok: rossz jogosultság, rossz adatkezelés, nem megfelelő ellenőrzés. Az OWASP WSTG segít abban, hogy ne találomra nézzünk, hanem rendszerezve.

OWASP WSTG: cél, módszer, ellenőrzőlista, kimenet (bizonyíték) minden fejezetnél.

• Hozzáférés-kezelés hibái (Broken Access Control, API-ban BOLA/BOPLA)
  Közérthetően: „láthat-e a user olyat, amit nem szabad?” Példa: más felhasználó rendeléseinek megnyitása.
• Kriptográfia hibái, titokkezelés
  Közérthetően: jelszavak, kulcsok ne legyenek kódban, ne legyen gyenge titkosítás, ne legyen nyíltan tárolt token.
• Injekciók (SQLi/command/LDAP)
  Közérthetően: „a felhasználói bevitelből parancs lesz.” Védekezés: paraméterezett lekérdezések, szigorú validálás.
• Naplózás/monitorozás hibái
  Ha nincs nyom, nincs észlelés. A támadó csendben marad.

Eszközök: webes tesztelésnél a „Cybersecurity Tools” listából tipikus a Burp Suite vagy az OWASP ZAP. Ezek „középre állnak” a böngésző és a weboldal között, és megmutatják a kéréseket/válaszokat.

Itt fontos a szemlélet: a cél nem az, hogy „romboljunk”, hanem hogy érthetően demonstráljuk a kockázatot. Sok döntéshozó akkor érti meg a hibát, amikor látja: „ebből tényleg adatvesztés lehet”.
Mindez kizárólag laborban vagy engedéllyel, szigorú hatókör mellett.

• Metasploit: támadás-szimulációs keretrendszer.
  Közérthetően: „szerszámkészlet”, amivel egy ismert hibát le lehet modellezni (laborban), hogy látszódjon a hatás.
• sqlmap: SQL injection automatizálás (csak labor!)
  Oktatásban a lényeg: bemutatni, miért veszélyes. Valós rendszeren tilos engedély nélkül.
• Pwntools: saját demonstrációk, PoC-ok gyors összeállítása.
  PoC = „bizonyíték”, hogy a hiba valós, és reprodukálható.

Eszközök a listából: itt a legtipikusabb a Metasploit. Mindig verzió-ellenőrzéssel, jegyzőkönyvvel, és „minimális hatással”.

A jelszavak témája sokszor félreértett: nem az a kérdés, hogy „feltörhető-e”, hanem az, hogy mennyi idő alatt. A gyenge jelszó olyan, mintha a kulcsot a lábtörlő alá tennéd.

• Helyes jelszótárolás: sózott, iterált hash (bcrypt/scrypt/Argon2), megfelelő „költséggel”.
  Közérthetően: ha kiszivárog az adatbázis, a jelszó akkor se legyen „kikövetkeztethető” gyorsan.
• John the Ripper / Hashcat: jelszó-ellenőrzés saját mintán.
  Oktatásban megmutatjuk: mennyit számít egy hosszabb jelszó, egy mondat, vagy egy jelszókezelő.
• Aircrack-ng: WiFi biztonság tesztelése (csak saját, izolált hálón).
  Cél: megérteni, mi a különbség a rossz és a jó WiFi beállítások között.

Eszközök a listából: itt kapcsolódik a John the Ripper (jelszóteszt). A cél nem „törés”, hanem a jelszópolitika és a tárolás minőségének mérése.

Az IoT eszközök (routerek, kamerák, okoseszközök) belül gyakran „mini Linuxok”. A firmware sokszor egy komplett fájlrendszer, amit ki lehet bontani és elemezni.

binwalk segít azonosítani, hogy mi van egy firmware-ben (könyvtárak, busybox, konfigurációk).
Fontos: licencfeltételek, felelősségi kérdések, és csak engedéllyel / saját eszközön.

Gyakorlati cél: megtanulni felismerni a veszélyes mintákat (hardcoded jelszavak, régi komponensek, nyitott szolgáltatások), és javaslatot adni a frissítésre/leváltásra.

A biztonsági munka értéke nem csak az, hogy „találtunk valamit”, hanem hogy érthetően át tudjuk adni azoknak is, akik nem technikaiak. Egy jó jelentés a döntéshozás eszköze.

• Jó jelentés felépítése:
  Executive summary (vezetői összefoglaló), módszertan (pl. OWASP WSTG hivatkozások), találatok (leírás, reprodukció, hatás, valószínűség, javítás), következtetések, mellékletek (bizonyítékok).
• CVSS + kontextus:
  A pontszám mellé mindig kell üzleti érték, hozzáférés, kompenzáló kontrollok, valós támadási út.
• Karrier utak:
  Pentester, AppSec, CloudSec, Blue Team/DFIR, SecOps. Gyakorlás: CTF/HTB/THM, nyílt projektek, blog.

Eszközök a listából: a jelentésben sokszor bizonyíték (PCAP, log, képernyőkép) jelenik meg. Itt jön képbe a Splunk (logok) és a Wireshark (forgalom), mert ezek adják a „kézzel fogható” nyomokat.

Ez egy gyakorlati „melyik szerszám mire jó?” lista. Nem kell mindent egyszerre megtanulni: először értsd a célt, és csak utána jöjjön az eszköz.

• Nmap – portok/szolgáltatások feltérképezése („milyen ajtók vannak?”).
• Wireshark / tcpdump – hálózati forgalom elemzése, PCAP rögzítés („mit beszél a hálózat?”).
• Burp Suite / OWASP ZAP – webes tesztelés („mit küld a böngésző és mit válaszol a szerver?”).
• Nessus / OpenVAS – ismert sebezhetőségek, rossz beállítások keresése („mire figyeljünk elsőként?”).
• Snort – hálózati behatolás-észlelés/megállítás (IDS/IPS) („riasztó a hálózaton”).
• OSSEC – host alapú védelem („riasztó a gépen”).
• Splunk – loggyűjtés és elemzés („biztonsági irányítópult”).
• Metasploit – laborban hatás bemutatása („mit jelent a hiba a gyakorlatban?”).
• John the Ripper / Hashcat – jelszó-ellenőrzés saját mintán („mennyi idő alatt törhető?”).
• Aircrack-ng – WiFi tanulólabor (csak saját/izolált hálózaton).
• Podman – laborgépek/gyakorló appok gyors indítása.
• pwntools – PoC-ok gyors prototípusozása (labor).
• binwalk – firmware/IoT elemzés (saját eszköz/engedély).

• Etika & jog:
  engedély, hatókör, adatkezelés (GDPR), CVD, naplózás, titoktartás, bizonyítékok kezelése.
• Laborhigiénia:
  izoláció, snapshot, visszaállítás, kifelé ne szivárogjon forgalom, külön jelszavak.
• Dokumentáció:
  dátum/idő, eszközverziók, konfiguráció, lépések, bizonyítékok, reprodukálhatóság.

Hálózati forgalomfigyelő (packet sniffer)

Megmutatja, milyen adatcsomagok mennek át a hálózaton: ki kivel kommunikál, milyen adat megy át, van-e gyanús forgalom. Olyan, mintha „belehallgatnál” az internetes beszélgetésekbe.

Hálózat- és portszkenner

Megmondja, milyen portok vannak nyitva, milyen szolgáltatások futnak, és mennyire sebezhető egy gép. Olyan, mintha végigpróbálnád egy ház összes ajtaját és ablakát.

Behatolási tesztelő keretrendszer

Valódi támadásokat szimulál, hogy kiderüljön, egy rendszer tényleg feltörhető-e. Etikus hackerek használják, hogy még a bűnözők előtt megtalálják a hibákat.

Webalkalmazás-biztonsági tesztelés

Megmutatja, lehet-e adatot ellopni, kódot injektálni vagy feltörni a bejelentkezést. A weboldalak „röntgengépe”.

Sebezhetőség-kereső

Automatikusan átvizsgálja a rendszert elavult programok, rossz beállítások és ismert hibák után. „Itt baj lesz, ezt frissíteni kell!”

Behatolás-észlelő (IDS/IPS)

Valós időben figyeli a hálózatot, és riaszt vagy blokkol, ha támadást, vírust vagy gyanús forgalmat észlel. Digitális riasztórendszer.

Host-alapú védelem (HIDS)

A gépen történő fájlmódosításokat, belépéseket és rendszereseményeket figyeli, és azonnal szól, ha valami gyanús.

Log-elemző és SIEM

Szerverekből, tűzfalakból és alkalmazásokból gyűjt adatokat, majd elemzi és riaszt támadás vagy rendellenesség esetén. A kiberbiztonság „irányítóterme”.

Nyílt forráskódú sebezhetőség-szkenner

Automatikusan megmutatja, hol vannak „lyukak” a rendszerben.

Jelszótesztelő

Ellenőrzi, mennyire erős egy jelszó, és mennyire könnyű feltörni – rendszergazdák használják a gyenge jelszavak kiszűrésére.