Mellékleteink: HUP | Gamekapocs
Keres

Rendkívül élénk érdeklődés mellett zajlottak le a Kürt Akadémia eddigi nyílt napjai

HWSW, 2009. augusztus 19. 00:55
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

hirdetés

A fókuszban az etikus hacker képzések állnak, melyek célja, hogy a gyakorlatban is alkalmazható tudással vértezze fel a jelen és jövő IT szakembereit.

Sokszínű közönség

Az etikus hacker képzés iránt érdeklődök nem csoportosíthatóak be egy tipikus kategóriába, a megjelentek igen sokféle háttérrel és indíttatással érkeztek, mondta el Frész Ferenc, a Kürt Biztonsági Intelligencia Központjának vezetője. Az első nyílt napra leginkább a biztonsági kérdésekkel élénken foglalkozók jöttek el, akik nem csak hivatásszerűen, de hobbiból is űzik a hackerkedést, árulta el Frész. A második napra már sokkal vegyesebb társaság érkezett, ahol megjelentek már a fiatalabb szakmabeliek is, ahogyan cégvezetők is elkísérték rendszergazdáikat, hogy meggyőződjenek róla, milyen képzést terveznek finanszírozni. A harmadikra már inkább műkedvelők érkeztek, előképzettség nélkül.

Manapság még nagyon nagy a szórás a biztonsági szakmában, ami az egyes szakemberek felkészültségét és módszertanát illeti, így a vállalatok biztonsági eljárásai is rendkívül változóak, véli Frész. Az etikus hacker képzés egy egységes alapot szolgáltat, elsősorban módszertanilag, másodlagosan a biztonsági intézkedések terén. A rövidebb tanfolyam a gyakorló rendszergazdák számára szól leginkább, hogyan állítsanak fel minél hatékonyabb védelmet meglévő IT-rendszereik számára, beleértve a megfelelő naplózást az incidensek utólagos elemzéséhez, a "helyszínelőknek".

Támadási gyakorlatok

A két szemeszteres, 240 órás képzés ezzel szemben offenzív fókuszú, nem foglalkozik sokat a védekezéssel, magyarázta Frész, és etikus hacker végzettséget ad. Elsősorban tehát olyanoknak szól, akik a jövőben szervezetek IT-rendszereinek biztonsági átvilágításával kívánnak foglalkozni, akár saját vállalkozást alapítva erre a szolgáltatásra.

A képzés szorosan a gyakorlatot követi le, azaz a hallgatók alaposan megismerkednek a black-box megközelítéssel, mikor mindenféle részletesebb eligazítás nélkül mindössze annyi a feladat ismertetése, hogy egy adott céget, a megbízót fel kell térképezni. "Meg kell mutatni a megrendelőnek, hogy jogosultság nélkül lehet-e kompromittálni a rendszert" - fogalmazott Frész. A hacker lépésről lépésre halad előre, a hálózat feltérképezését követően jön a hosztok számba vétele, majd a hosztokon futó szolgáltatások elemzése, és ezt követi az egyes szolgáltatások minőségi kiértékelése. Ezt követően jöhet a részleges ismeretek és jogosultságokat adó grey-box, valamint az adminisztratív white-box megközelítés.

A kurzus során természetesen szoftveres eszközökkel is megismerkednek a hallgatók, Frész ugyanakkor leszögezte, hogy egyáltalán nem az exploitokkal, vagy az automatizált szoftveres auditáló eszközökkel foglalkoznak, ezek ugyanis mennyiségi intézkedések, megfelelő patchelési és konfigurációs politikával kezelhetőek. "A mi módszertanunkkal a még fel nem ismert sérülékenységeket is fel lehet tárni" - mondta Frész. Hozzátette, hogy "a  szoftverek nem szemantikusak, a szemantikát az ember viszi bele", vagyis egy forráskódban, például weblapban rejlő, bizonyos tervezési hibákból fakadó specifikus lehetőségeket felfedezni csak egy ember képes.

Az üzleti érdekek védelme

A Kürt nem az internetes szőnyegbombázásokkal foglalkozik, mikor botneteket építenek ki a bűnözők, és spammeléshez, szolgáltatásmegtagadásos támadásokhoz alkalmazzák azokat, hanem a sokkal nagyobb üzleti kockázattal járó célzott behatolási kísérletekkel. Ezek a kísérletek ugyanis tipikusan értékes üzleti információk után kutatnak, melyeket vagy eladhatnak, vagy megzsarolhatják vele a vállalatot. A kurzus során a délelőtti szekcióban elméleti, majd a délutániban gyakorlati oktatás folyik szimulált hálózatokon, árulta el Frész, sőt az elképzelések szerint a második félévben már lehetőség nyílhat valódi projektekben, élesben gyakorolni. A képzés része a social engineering, melyből elsősorban a phishing technikákkal foglalkozik majd.

Frész szerint 240 óra sem alkalmas arra, hogy el lehessen mélyülni az etikus hacker szakmában, a képzés leginkább eszközöket ad a résztvevők kezébe, hogy később maguk fejlesszék tovább ismereteiket a jegyzetek és ajánlott irodalmak révén. A modulok része a jogi és projektkezelési képzés is, melyek abban igyekeznek útmutatást adni, hogyan lehet és szabad hacker megbízásokat elvállalni, "mit szabad alárírni, és mit nem".

A nagyszámú érdeklődő miatt az eredetileg tervezett három nyílt napon túl még egy utolsó is tart a Kürt, augusztus 24-én újra várja az etikus hacker képzés iránt érdeklődőket budaörsi rendevzényközpontjában. A nyílt napra a Kürt Akadémia oldalán lehet jelentkezni.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.