: Az etikus hacker k�pes�t�s jelent�s el�nyt adhat a munkaer�piacon

Minden adat kint van a weben

Az International Council of Electronic Commerce Consultants (EC-Council) �s a Netacademia k�z�tti meg�llapod�s �rtelm�ben a febru�r 25-t�l indul� etikus hacker k�pz�sek megfelelnek az EC-Council �ltal akkredit�lt tematik�nak, �gy CEH vizsg�t is lehet tenni elv�gz�s�ket k�vet�en. F�ti Marcell, a Netacademia alap�t�ja �s �gyvezet�je szerint, aki maga is k�pzett Microsoft rendszerm�rn�k (MCSE), a CEH vil�gszerte elismerten bizony�tja, hogy birtokl�ja megfelel� tud�ssal rendelkezik sz�m�t�g�pek �s h�l�zatok biztons�gi tesztel�s�re �s a sebezhet�s�gek kiv�d�s�re.

F�ti szerint jelenleg tetten�rhet� piaci el�nyt jelent az, ha valaki rendelkezik CEH min�s�t�ssel, ahogyan a v�llalatokban �s m�s szervezetekben egyre ink�bb tudatosul elektronikusan t�rolt adataik jelent�s�ge, kritikus volta -- vagyis digit�lis vagyonuk, ahogyan a Netacademia fogalmaz. A munk�ltat�k fel�li kereslet mellett a CEH min�s�t�s �rt�k�t annak ritkas�ga adja: az orsz�gban maroknyi szakember rendelkezik ilyen pap�rral. Eddig mintegy 50 ember vett r�szt az etikus hacker tanfolyamon, k�zt�k bankok, nagyv�llalatok informatikusaival.

F�ti szerint m�g kor�bban a szoftverekben t�tong� r�sek szolg�ltatt�k a t�mad�sok els�dleges forr�s�t, addig az elm�lt �vek sor�n a meghat�roz� szoftverfejleszt�k �ltal tett er�fesz�t�sek eredm�nyek�nt minimaliz�l�dik a szoftverek hackelhet�s�ge. A t�mad�sok egyre ink�bb a biztons�gi szempontb�l �tgondolatlan webes implement�ci�k fel� fordulnak, valamint az �zemeltet� hanyags�g�ra p�ly�znak. Ahogyan F�ti fogalmaz, ma minden adat kint van a weben, mind�ssze az egyes felhaszn�l�k hozz�f�r�se korl�tozott, az �zemeltet�k �s alkalmaz�sfejleszt�k �p�tenek korl�tokat. A probl�ma egyik forr�sa, hogy a webes szolg�ltat�sok �rdek�ben az adatokat hozz�f�rhet�v� kell tenni k�v�lr�l.

A hat�rt v�dik

Egy megfelel�en megtervezett �s be�ll�tott webes rendszer eset�ben azonban t�bbnyire felesleges k�zdeni a t�mad�nak a technik�val, tette hozz� F�ti. Mint elmondta, tapasztalatai �s a hazai �zemeltet�k fel�l kapott visszajelz�sek alapj�n a biztons�gi int�zked�sek ma egy�rtelm�en az internet �s intranet hat�rvonal�ra koncentr�lnak, �s ott pr�b�lnak �thatolhatatlan falat �p�teni a jogosulatlan hozz�f�r�sekkel vagy szolg�ltat�smegtagad�sos t�mad�sok ellen. Ek�zben a h�l�zatok bel�lr�l sokkal t�madhat�bbak, amib�l k�vetkez�en a t�mad�nak mind�ssze be kell jutnia a szervezetbe.

Nagy�rt�k� adatvagyon eset�ben a t�mad�k ak�r �ll�sokra is jelentkeznek ez�rt a v�llalatokhoz, de gyakoribbak az alkalmazottak �tejt�s�t c�lz� "social engineering" pr�b�lkoz�sok, mikor kulcsadatokat, jelszavakat szednek ki a naiv dolgoz�kb�l. Szint�n tipikus t�mad�si m�dszer F�ti szerint, hogy a c�gek �p�leteinek k�zel�ben sz�nd�kosan pendrive-okat hagynak a t�mad�k, melyen valamilyen rosszindulat� k�d tal�lhat�. Hozz�tette, meglep�dn�nk, hogy egy telefonos besz�lget�st m�melve, k�v�val a kez�nkben h�ny c�ghez be lehet jutni ak�r egy t�rgyal�sra is -- mindez fell�p�s k�rd�se.

Tanuls�gos az �rd�glakat

B�r a legjobban v�dett IT-rendszerek eset�ben "bel�lr�l" �rdemes pr�b�lkozni, a legt�bb esetben egy tapasztalt hacker rendk�v�l k�nnyen, n�h�ny �ra alatt hozz�f�r ak�r kritikus adatokhoz a weben kereszt�l. A Netacademia �s a Microsoft egy�ttm�k�d�s�vel l�trehozott �rd�glakat j�t�k ilyen tipikus, "buta" hib�kkal is rendelkez� helyzeteket produk�l feladatokk�nt. Az els� r�seket ak�r egy amat�r is k�pes kihaszn�lni, de a k�z�ps�kn�l is az URL hackel�s, deface �s SQL injekci� sem ig�nyel rendk�v�l m�ly tud�st, mind�ssze hi�nyos be�ll�t�sokra, implement�ci�ra van sz�ks�g.

A 12 p�lya v�ge fel� azonban m�r kifejezetten neh�zz� v�lnak ezeknek az egy�bk�nt sz�nd�kosan hagyott a r�seknek a kihaszn�l�sa. Az �rd�glakat utols� p�ly�j�t eddig 207 embernek siker�lt megcsin�lnia, ami F�ti szerint v�ratlanul sok magyar viszonylatban. F�ti elmondta, hogy az �rd�glakatot hostol� szerver ak�r teljes eg�sz�ben t�madhat�, jogi k�vetkezm�nyei "a j�t�kon k�v�li" pr�b�lkoz�soknak sincsen, eddig azonban nem siker�lt "megbor�tani" a szervert. T�bbsz�r elhangzott azonban, hogy t�rt�ntek m�r olyan hackel�sek egyes p�ly�kon, melyeknek m�dj�t maguk sem ismerik, �s v�ratlanul �rt�k �ket. A Netacademia a j�v�ben tov�bbi p�ly�kat tervez az �rd�glakatra, hogy fenntartsa az �rdekl�d�st, tov�bb tesztelje a hazai hacker k�z�ss�get, valamint hogy tapasztalatokat �p�tsen.

A tanfolyam �t napot vesz ig�nybe, �s nett� 395 ezer forintot k�st�l, a legels� febru�r 25-�n indul, kiv�telesen amerikai el�ad�val, angol nyelven. A tematika itt olvashat�. F�ti elmond�sa alapj�n a CEH-kurzus platformf�ggetlen m�dszereket taglal t�bbnyire, ugyanakkor a Netacademia els�sorban Microsoft-szoftverekkel foglalkozik, �gy a tesztel�skor haszn�lt platform els�sorban Windows.

Sz�nt� Zolt�n �rt�kes�t�si �s marketingvezet� elmondta, hogy a j�v�ben specifikus k�pz�seket is terveznek, vagyis kifejezetten h�l�zati szakemberek sz�m�ra, vagy k�l�nb�z� platformokr�l, �gy dedik�lt Linux, Windows, UNIX ismeretek is megszerezhet�k lesznek. Hosszabb t�von k�ts�gtelen�l ig�ny mutatkozik az alkalmazottak oktat�s�ra is, �gy ebben az ir�nyban is �p�tkezni fognak.