Chcete pochopit bezpečnost IT? Staňte se hackerem

Martin Noska | 31.08.2012 | Bezpečnost | Žádné komentáře

V posledních letech se staly módou v oblasti školení ICT bezpečnosti takzvané kurzy pro „etické hackery“. Ty jsou postaveny na principu, že pokud chce IT odborník dokázat porazit hackera, musí i myslet jako hacker. Etický hacker pak není nic jiného, než člověk se stejnými schopnostmi jako kyberútočník, který je ovšem nezneužívá ke kyberkriminalitě.

William Ischanoe z Počítačové školy Gopas, která v Česku pořádá kurzy pro etické hackery ve spolupráci s organizací EC-Council, nastiňuje, čím je takovýto kurz specifický, co se v něm zájemci naučí a k čemu může být dobrý.

Co obnáší být etickým hackerem?

Ischanoe říká, že být hackerem není jen o technice, ale i o porozumění lidské psychice a přirozenosti, o schopnosti hledat jakékoliv mezery, které útočníkovi umožní získat přístup k požadovaným datům nebo ke know how. Aby IT odborník byl schopný pochopit, co a jak lze napadnout, musí nejdřív dobře vědět, jak v podnikovém IT co funguje. Kurzy pro hackery tedy nejsou pro začátečníky, ale vyžadují poměrně hluboké technické znalosti.

Obsah školení hackingu se velmi intenzivně mění a dá se říct, že kurz vytvořený v roce 2004 by byl svým obsahem absolutně o něčem jiném než kurz pro rok 2012. Je to dáno výraznými změnami v operačních systémech, existencí zcela nových triků útočníků a také novými cíly. Dnes je nejčastějším motivem pro hacking průmyslová špionáž a získání know how od konkurence. Základem úspěšné obrany je proto mít znalosti o útočnících, o tom jak jednají a jak probíhají typické útoky. Dále jaké jsou indikátory útoku, jejich fáze a co obvykle hacker napadá. Školení musí také reflektovat lokální situaci, protože typická situace bezpečnostního incidentu například v Asii se může od incidentu u nás zcela zásadně lišit.

Účastník kurzu by se měl naučit to, co umí běžný hacker. Tedy například tvořit malware, což není vůbec tak složité, jak to vypadá na první pohled, vysvětluje Ischanoe. Přesto cílem není vychovat z účastníka zločince, ale člověka, který je schopný pochopit a vysvětlit postupy hackerů.

Co je potřeba vědět o útocích

Útok na vaši firmu může probíhat jak zvenku, tak zevnitř. Pokud jde o útoky zevnitř, jedním z důležitých úkolů je dokázat identifikovat případného vetřelce. Ač se to zdá nepravděpodobné, nemusí jím být jen nový kolega na juniorské pozici zaplacený konkurencí, ale třeba také uklízečka. Další oblíbenou skupinou nástrojů pro útok zevnitř jsou nejrůznější cracky softwaru, které obvykle nejsou vytvořené proto, aby posloužily uživatelům, ale aby byly nástroji útočníků. Právě cracky jsou specialitou východoevropského regionu, kdy si je uživatel sám dobrovolně dopraví do PC a otevře tak dveře zcela cizí osobě. Co se týká útoků zvnějšku, ty jsou většinou mířeny na webové služby, kde je cílem útočníků obvykle jejich vyřazení z provozu. Dále pak útoky typu SQL injection, což může mít za následek například změnu cen vámi nabízených produktů na webu a populární jsou také skriptovací útoky.

Pro efektivní obranu proti těmto typům hrozeb je proto nutné znát jednotlivé kroky útočníka, co bude dělat, co bude potřebovat a jaké nástroje použije. Nejde jen o teorii, ale o reálnou praxi jako třeba to, jak skrýt svoji identitu.

Zkušenost hackera vám změní život

Kdo by se tedy měl stát etickým hackerem? William Ischanoe tvrdí, že se jedná o jedinečnou zkušenost zejména pro začínající bezpečnostní auditory, provádějící penetrační testy, kteří mají šanci v řádech týdnů získat vědomosti, jež by samostudiem shromažďovali roky. Dále pak pro vedoucí bezpečnostních projektů, kteří musejí být schopni reportovat managementu firmy o možných rizicích a hrozbách. Mohou to být ale i síťoví administrátoři, kteří pak dokáží správně identifikovat podezřelé chování a učinit správné protikroky. Není ale výjimkou ani když školení absolvuje fanoušek do IT, který chce získat zajímavé know how.

William Ischanoe je přesvědčený, že hackerské školení je doslova zážitek na celý život, během nějž se člověk naučí myslet zcela jinak a nikdy už na získané dovednosti nezapomene. Samozřejmě že i takováto školení se dají zneužít, ale je to podobné jako třeba s kurzy bojových sportů. I v jejich případě lze využít toho, co se člověk naučil třeba k tomu, aby mlátil ostatní lidi na ulicích. Tomu se nedá nikdy zabránit, ale přesto to není cílem a je vždy na konkrétním jedinci, jak se získanými znalostmi naučí, dodává Ischanoe.

Kurz pro etické hackery není akademická, ale v prvé řadě průmyslová záležitost založená na praxi a na zkušenostech. Na vysokých školách (a to i v Česku) dnes existuje řada kurzů, které se na problematiku bezpečnosti dívají spíše z teoretické roviny a pracují převážně se statistickými údaji. I když tyto znalosti z absolventa hackera neudělají, mohou být i tak v praxi užitečné a mohou se ukázat jako funkční.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


sedm + šest =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz