Szerző: HWSW

2009. augusztus 19. 00:55

Rendkívül élénk érdeklődés mellett zajlottak le a Kürt Akadémia eddigi nyílt napjai

A fókuszban az etikus hacker képzések állnak, melyek célja, hogy a gyakorlatban is alkalmazható tudással vértezze fel a jelen és jövő IT szakembereit.

Sokszínű közönség

Az etikus hacker képzés iránt érdeklődök nem csoportosíthatóak be egy tipikus kategóriába, a megjelentek igen sokféle háttérrel és indíttatással érkeztek, mondta el Frész Ferenc, a Kürt Biztonsági Intelligencia Központjának vezetője. Az első nyílt napra leginkább a biztonsági kérdésekkel élénken foglalkozók jöttek el, akik nem csak hivatásszerűen, de hobbiból is űzik a hackerkedést, árulta el Frész. A második napra már sokkal vegyesebb társaság érkezett, ahol megjelentek már a fiatalabb szakmabeliek is, ahogyan cégvezetők is elkísérték rendszergazdáikat, hogy meggyőződjenek róla, milyen képzést terveznek finanszírozni. A harmadikra már inkább műkedvelők érkeztek, előképzettség nélkül.

\"\"

Manapság még nagyon nagy a szórás a biztonsági szakmában, ami az egyes szakemberek felkészültségét és módszertanát illeti, így a vállalatok biztonsági eljárásai is rendkívül változóak, véli Frész. Az etikus hacker képzés egy egységes alapot szolgáltat, elsősorban módszertanilag, másodlagosan a biztonsági intézkedések terén. A rövidebb tanfolyam a gyakorló rendszergazdák számára szól leginkább, hogyan állítsanak fel minél hatékonyabb védelmet meglévő IT-rendszereik számára, beleértve a megfelelő naplózást az incidensek utólagos elemzéséhez, a \"helyszínelőknek\".

Támadási gyakorlatok

A két szemeszteres, 240 órás képzés ezzel szemben offenzív fókuszú, nem foglalkozik sokat a védekezéssel, magyarázta Frész, és etikus hacker végzettséget ad. Elsősorban tehát olyanoknak szól, akik a jövőben szervezetek IT-rendszereinek biztonsági átvilágításával kívánnak foglalkozni, akár saját vállalkozást alapítva erre a szolgáltatásra.

A képzés szorosan a gyakorlatot követi le, azaz a hallgatók alaposan megismerkednek a black-box megközelítéssel, mikor mindenféle részletesebb eligazítás nélkül mindössze annyi a feladat ismertetése, hogy egy adott céget, a megbízót fel kell térképezni. \"Meg kell mutatni a megrendelőnek, hogy jogosultság nélkül lehet-e kompromittálni a rendszert\" - fogalmazott Frész. A hacker lépésről lépésre halad előre, a hálózat feltérképezését követően jön a hosztok számba vétele, majd a hosztokon futó szolgáltatások elemzése, és ezt követi az egyes szolgáltatások minőségi kiértékelése. Ezt követően jöhet a részleges ismeretek és jogosultságokat adó grey-box, valamint az adminisztratív white-box megközelítés.

\"\"

A kurzus során természetesen szoftveres eszközökkel is megismerkednek a hallgatók, Frész ugyanakkor leszögezte, hogy egyáltalán nem az exploitokkal, vagy az automatizált szoftveres auditáló eszközökkel foglalkoznak, ezek ugyanis mennyiségi intézkedések, megfelelő patchelési és konfigurációs politikával kezelhetőek. \"A mi módszertanunkkal a még fel nem ismert sérülékenységeket is fel lehet tárni\" - mondta Frész. Hozzátette, hogy \"a  szoftverek nem szemantikusak, a szemantikát az ember viszi bele\", vagyis egy forráskódban, például weblapban rejlő, bizonyos tervezési hibákból fakadó specifikus lehetőségeket felfedezni csak egy ember képes.

Az üzleti érdekek védelme

A Kürt nem az internetes szőnyegbombázásokkal foglalkozik, mikor botneteket építenek ki a bűnözők, és spammeléshez, szolgáltatásmegtagadásos támadásokhoz alkalmazzák azokat, hanem a sokkal nagyobb üzleti kockázattal járó célzott behatolási kísérletekkel. Ezek a kísérletek ugyanis tipikusan értékes üzleti információk után kutatnak, melyeket vagy eladhatnak, vagy megzsarolhatják vele a vállalatot. A kurzus során a délelőtti szekcióban elméleti, majd a délutániban gyakorlati oktatás folyik szimulált hálózatokon, árulta el Frész, sőt az elképzelések szerint a második félévben már lehetőség nyílhat valódi projektekben, élesben gyakorolni. A képzés része a social engineering, melyből elsősorban a phishing technikákkal foglalkozik majd.

Frész szerint 240 óra sem alkalmas arra, hogy el lehessen mélyülni az etikus hacker szakmában, a képzés leginkább eszközöket ad a résztvevők kezébe, hogy később maguk fejlesszék tovább ismereteiket a jegyzetek és ajánlott irodalmak révén. A modulok része a jogi és projektkezelési képzés is, melyek abban igyekeznek útmutatást adni, hogyan lehet és szabad hacker megbízásokat elvállalni, \"mit szabad alárírni, és mit nem\".

A nagyszámú érdeklődő miatt az eredetileg tervezett három nyílt napon túl még egy utolsó is tart a Kürt, augusztus 24-én újra várja az etikus hacker képzés iránt érdeklődőket budaörsi rendevzényközpontjában. A nyílt napra a Kürt Akadémia oldalán lehet jelentkezni.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról