Szeptember 28-29-én került megrendezésre az Informatikai Biztonság Napja (ITBN). Kialakult bennem pár gondolat a rendezvénnyel kapcsolatban, amit most beleszórok a bitfelhőbe.
Az alábbi témakörökben voltak előadások:
- Hálózatok, virtualizáció, cloud computing
- Compliance, naplóadatok elemzése
- Adatvédelem: DLP
- Azonosság, jogosultság, titkosítás
- Alkalmazások és a WEB 2 biztonsága
- Vírusok, spam-ek elleni védelem, mentés
- Hacking és új fenyegetettségek
Ezen szekciók közül engem az első kettő és az utolsó érdekelt leginkább.
A hacking kivételével sajnos igaz volt, hogy termékbemutatóról szólt az előadások 90%. Az egyik barátom szavaival élve: értem, csak nem értem meg. Értem, mert ezek a cégek támogatásával jött/jön létre ez a konferencia. Értem, mert a cégek el akarják adni a termékeiket. "Jó volt hallani", hogy 2-3 éve a biztonsági szakértők által felvetett problémákra már van megoldás, "jó volt látni", hogy minden cég terméke/megoldása a "legjobb" a világon. Igen ezekre is szükség van, de sokkal kevesebb időben.
Viszont nem értem meg, mert szerintem nem ez lenne az elsődleges feladata ennek a rendezvénynek. A Hacking szekció szólt leginkább arról, amiről a rendezvénynek szólnia kellene, igaz az első előadás ott is kicsit termékbemutatóra sikeredett. Szóval ebben a szekcióban valósult meg elsődlegesen az, hogy a mai informatikai és információ biztonsággal kapcsolatos problémákról volt szó. Nem véletlen, hogy ez az előadássorozat volt az egyik legnézettebb. Sajnos elkövették azt a hibát a rendezők, hogy viszonylag kis terembe rakták, így elég zsúfolt volt.
Ami tetszett a rendezvény szervezésében még a reggeli plenáris kerekasztal beszélgetések.
Mindkét nap voltak workshop szekciók, ahol egy-egy órában a gyakorlatban is meg lehetett nézni néhány termék/megoldás működését. Nem tudom eldönteni, hogy sajnos-e vagy sem, de ezek közül egyiket sem volt időm megnézni.
A Hacking szekció több szempontból is roppant érdekes volt számomra. Egyrészt az előadások érdekesek voltak, megtalálhatóak voltak bennük a mai informatika/információ biztonság problémája. Másrészt minden szekció végén volt egy 20-30 perces "Szekció diskurzus", ahol az előadóknak kérdéseket lehetett feltenni. Ez volt az egyetlen hely, ahol viszonylagos parázs vita alakult ki az előadók között. Az egyik kedvencem a "hogyan hívjuk az Etikus Hackereket?" polemizálás volt. Volt aki inkább Legal Hackerek megnevezést szereti, volt aki az Etikus Hacker megnevezést. Mindkettőt szépen magyarázták is:
Legal Hacker: legálisan próbálom "feltörni" a megrendelő rendszerét, megtalálni a sérülékenységeket, ezt egy jelentésben leírom, útmutatást adok a hibák javítására.
Etikus Hacker: azért végzem el az etikus hack-et (a megbízáson túl), mert a rendszer biztonságát akarom javítani az eredményből adódó javítások, változtatások elvégzésével. Amennyiben ez azért történik, hogy adott személy eltávolítható legyen a pozíciójából, akkor nem vállalom a munkát el. Tehát etikusan járok el.
Az előadók között volt egy igazi hacker is. Ő nagyon csendben volt ekkor és értem is miért. Az előadásának egy mondatát hoznám fel. Beszélt arról is néhány mondatot, hogy nagyon felkapott lett az etikus hacking és fél év, egy év alatt Etikus Hacker vizsgát tett emberek rontják a valódi, 5-10 éves szakmai tapasztalattal rendelkező igazi hacker-ek renoméját, ugyanis azok az emberek valójában nem hacker-ek. Itt volt egy mondata, ami szerintem az ITBN legjobb mondata volt (nagyjából szó szerint): "Köpök egyet és három etikus hacker jön ki alóla".
Értem az álláspontját, mert az informatika és mérnök területen én is átéltem hasonlókat már. Ugyanúgy hívják, mégsem ugyanaz a tudás van mögötte. Az információ biztonságban (is) két irány létezik. Az egyik a valós szakmai tudással rendelkező, hacker-nek nevezhető ember, aki képes biztonsági rések megtalálására, azokat kihasználó teszt kódok előállítására és a megfelelő helyen a megfelelő szakmai színvonalon azokat bejelenteni, esetleg már a kód javítással együtt. Ezek az emberek nemcsak ismerik azokat a fogalmakat mint debug, gépi kód, assembler stb. hanem használni is tudják őket készség szinten. A másik faj, aki tudja, hogy milyen folyamatokat kell futtatni pl. egy etikus hack során, tisztában van az információ biztonság fogalmával, érti azt és használni is tudja, DE nem képes új sérülékenységeket felfedezni.
Szerintem mindkét típusra szükség van, csak az egyik hacker a másik meg biztonsági szakember. A biztonsággal kapcsolatos vizsgáknak is két halmaza van:
- tanulható és lerakható gyakorlati tudás nélkül, akár egy év alatt is: pl.: CISA, CISSP, CEH
- csak sok-sok gyakorlással és gyakorlati tapasztalattal rakható le: pl.: OSCP, OSCE
Ez természetesen nem azt jelenti, hogy az első halmazban található vizsgák mögött nincs tudás, inkább azt jelenti, hogy nincs feltétlenül gyakorlati tudás és tapasztalat mögötte.
Ezért gondolom azt, hogy mind az etikus hacker, mind a legal hecker kifejezés az esetek többségében nem helytálló és teljesen jogosan sérti az igazi hacker-ek önérzetét. Én inkább valami információ biztonsági auditáló-nak nevezném. Igaz ez nem hangzik marketing szempontból olyan jól, mint az etikus hacker :)
Összefoglalva látszik, hogy sok munka van a rendezvény mögött én szeretném, ha kevesebb marketing és több szakma lenne jelen.
Bejegyzések
