Az etikus hacker képesítés jelentős előnyt adhat a munkaerőpiacon
Világszerte elismert hacker minősítést ad február végétől a NetAcademia. A tavaly szeptemberben indult etikus hacker kurzusok megszerezték az EC-Council minősítését, valamint az oktatóközpontban már Certified Ethical Hacker (CEH) vizsgát is lehet tenni, Magyarországon egyedüliként.
Minden adat kint van a weben
Az International Council of Electronic Commerce Consultants (EC-Council) és a Netacademia közötti megállapodás értelmében a február 25-től induló etikus hacker képzések megfelelnek az EC-Council által akkreditált tematikának, így CEH vizsgát is lehet tenni elvégzésüket követően. Fóti Marcell, a Netacademia alapítója és ügyvezetője szerint, aki maga is képzett Microsoft rendszermérnök (MCSE), a CEH világszerte elismerten bizonyítja, hogy birtoklója megfelelő tudással rendelkezik számítógépek és hálózatok biztonsági tesztelésére és a sebezhetőségek kivédésére.
Fóti szerint jelenleg tettenérhető piaci előnyt jelent az, ha valaki rendelkezik CEH minősítéssel, ahogyan a vállalatokban és más szervezetekben egyre inkább tudatosul elektronikusan tárolt adataik jelentősége, kritikus volta -- vagyis digitális vagyonuk, ahogyan a Netacademia fogalmaz. A munkáltatók felőli kereslet mellett a CEH minősítés értékét annak ritkasága adja: az országban maroknyi szakember rendelkezik ilyen papírral. Eddig mintegy 50 ember vett részt az etikus hacker tanfolyamon, köztük bankok, nagyvállalatok informatikusaival.
Fóti szerint míg korábban a szoftverekben tátongó rések szolgáltatták a támadások elsődleges forrását, addig az elmúlt évek során a meghatározó szoftverfejlesztők által tett erőfeszítések eredményeként minimalizálódik a szoftverek hackelhetősége. A támadások egyre inkább a biztonsági szempontból átgondolatlan webes implementációk felé fordulnak, valamint az üzemeltető hanyagságára pályáznak. Ahogyan Fóti fogalmaz, ma minden adat kint van a weben, mindössze az egyes felhasználók hozzáférése korlátozott, az üzemeltetők és alkalmazásfejlesztők építenek korlátokat. A probléma egyik forrása, hogy a webes szolgáltatások érdekében az adatokat hozzáférhetővé kell tenni kívülről.
A határt védik
Egy megfelelően megtervezett és beállított webes rendszer esetében azonban többnyire felesleges küzdeni a támadónak a technikával, tette hozzá Fóti. Mint elmondta, tapasztalatai és a hazai üzemeltetők felől kapott visszajelzések alapján a biztonsági intézkedések ma egyértelműen az internet és intranet határvonalára koncentrálnak, és ott próbálnak áthatolhatatlan falat építeni a jogosulatlan hozzáférésekkel vagy szolgáltatásmegtagadásos támadások ellen. Eközben a hálózatok belülről sokkal támadhatóbbak, amiből következően a támadónak mindössze be kell jutnia a szervezetbe.
Nagyértékű adatvagyon esetében a támadók akár állásokra is jelentkeznek ezért a vállalatokhoz, de gyakoribbak az alkalmazottak átejtését célzó "social engineering" próbálkozások, mikor kulcsadatokat, jelszavakat szednek ki a naiv dolgozókból. Szintén tipikus támadási módszer Fóti szerint, hogy a cégek épületeinek közelében szándékosan pendrive-okat hagynak a támadók, melyen valamilyen rosszindulatú kód található. Hozzátette, meglepődnénk, hogy egy telefonos beszélgetést mímelve, kávéval a kezünkben hány céghez be lehet jutni akár egy tárgyalásra is -- mindez fellépés kérdése.
Tanulságos az ördöglakat
Bár a legjobban védett IT-rendszerek esetében "belülről" érdemes próbálkozni, a legtöbb esetben egy tapasztalt hacker rendkívül könnyen, néhány óra alatt hozzáfér akár kritikus adatokhoz a weben keresztül. A Netacademia és a Microsoft együttműködésével létrehozott Ördöglakat játék ilyen tipikus, "buta" hibákkal is rendelkező helyzeteket produkál feladatokként. Az első réseket akár egy amatőr is képes kihasználni, de a középsőknél is az URL hackelés, deface és SQL injekció sem igényel rendkívül mély tudást, mindössze hiányos beállításokra, implementációra van szükség.
A 12 pálya vége felé azonban már kifejezetten nehézzé válnak ezeknek az egyébként szándékosan hagyott a réseknek a kihasználása. Az ördöglakat utolsó pályáját eddig 207 embernek sikerült megcsinálnia, ami Fóti szerint váratlanul sok magyar viszonylatban. Fóti elmondta, hogy az ördöglakatot hostoló szerver akár teljes egészében támadható, jogi következményei "a játékon kívüli" próbálkozásoknak sincsen, eddig azonban nem sikerült "megborítani" a szervert. Többször elhangzott azonban, hogy történtek már olyan hackelések egyes pályákon, melyeknek módját maguk sem ismerik, és váratlanul érték őket. A Netacademia a jövőben további pályákat tervez az Ördöglakatra, hogy fenntartsa az érdeklődést, tovább tesztelje a hazai hacker közösséget, valamint hogy tapasztalatokat építsen.
A tanfolyam öt napot vesz igénybe, és nettó 395 ezer forintot kóstál, a legelső február 25-én indul, kivételesen amerikai előadóval, angol nyelven. A tematika itt olvasható. Fóti elmondása alapján a CEH-kurzus platformfüggetlen módszereket taglal többnyire, ugyanakkor a Netacademia elsősorban Microsoft-szoftverekkel foglalkozik, így a teszteléskor használt platform elsősorban Windows.
Szántó Zoltán értékesítési és marketingvezető elmondta, hogy a jövőben specifikus képzéseket is terveznek, vagyis kifejezetten hálózati szakemberek számára, vagy különböző platformokról, így dedikált Linux, Windows, UNIX ismeretek is megszerezhetők lesznek. Hosszabb távon kétségtelenül igény mutatkozik az alkalmazottak oktatására is, így ebben az irányban is építkezni fognak.