Szeptember 28-29-én került megrendezésre az Informatikai Biztonság Napja (ITBN). Kialakult bennem pár gondolat a rendezvénnyel kapcsolatban, amit most beleszórok a bitfelhőbe.
Az alábbi témakörökben voltak előadások:
- Hálózatok, virtualizáció, cloud computing
- Compliance, naplóadatok elemzése
- Adatvédelem: DLP
- Azonosság, jogosultság, titkosítás
- Alkalmazások és a WEB 2 biztonsága
- Vírusok, spam-ek elleni védelem, mentés
- Hacking és új fenyegetettségek
Ezen szekciók közül engem az első kettő és az utolsó érdekelt leginkább.
A hacking kivételével sajnos igaz volt, hogy termékbemutatóról szólt az előadások 90%. Az egyik barátom szavaival élve: értem, csak nem értem meg. Értem, mert ezek a cégek támogatásával jött/jön létre ez a konferencia. Értem, mert a cégek el akarják adni a termékeiket. "Jó volt hallani", hogy 2-3 éve a biztonsági szakértők által felvetett problémákra már van megoldás, "jó volt látni", hogy minden cég terméke/megoldása a "legjobb" a világon. Igen ezekre is szükség van, de sokkal kevesebb időben.
Viszont nem értem meg, mert szerintem nem ez lenne az elsődleges feladata ennek a rendezvénynek. A Hacking szekció szólt leginkább arról, amiről a rendezvénynek szólnia kellene, igaz az első előadás ott is kicsit termékbemutatóra sikeredett. Szóval ebben a szekcióban valósult meg elsődlegesen az, hogy a mai informatikai és információ biztonsággal kapcsolatos problémákról volt szó. Nem véletlen, hogy ez az előadássorozat volt az egyik legnézettebb. Sajnos elkövették azt a hibát a rendezők, hogy viszonylag kis terembe rakták, így elég zsúfolt volt.
Ami tetszett a rendezvény szervezésében még a reggeli plenáris kerekasztal beszélgetések.
Mindkét nap voltak workshop szekciók, ahol egy-egy órában a gyakorlatban is meg lehetett nézni néhány termék/megoldás működését. Nem tudom eldönteni, hogy sajnos-e vagy sem, de ezek közül egyiket sem volt időm megnézni.
A Hacking szekció több szempontból is roppant érdekes volt számomra. Egyrészt az előadások érdekesek voltak, megtalálhatóak voltak bennük a mai informatika/információ biztonság problémája. Másrészt minden szekció végén volt egy 20-30 perces "Szekció diskurzus", ahol az előadóknak kérdéseket lehetett feltenni. Ez volt az egyetlen hely, ahol viszonylagos parázs vita alakult ki az előadók között. Az egyik kedvencem a "hogyan hívjuk az Etikus Hackereket?" polemizálás volt. Volt aki inkább Legal Hackerek megnevezést szereti, volt aki az Etikus Hacker megnevezést. Mindkettőt szépen magyarázták is:
Legal Hacker: legálisan próbálom "feltörni" a megrendelő rendszerét, megtalálni a sérülékenységeket, ezt egy jelentésben leírom, útmutatást adok a hibák javítására.
Etikus Hacker: azért végzem el az etikus hack-et (a megbízáson túl), mert a rendszer biztonságát akarom javítani az eredményből adódó javítások, változtatások elvégzésével. Amennyiben ez azért történik, hogy adott személy eltávolítható legyen a pozíciójából, akkor nem vállalom a munkát el. Tehát etikusan járok el.
Az előadók között volt egy igazi hacker is. Ő nagyon csendben volt ekkor és értem is miért. Az előadásának egy mondatát hoznám fel. Beszélt arról is néhány mondatot, hogy nagyon felkapott lett az etikus hacking és fél év, egy év alatt Etikus Hacker vizsgát tett emberek rontják a valódi, 5-10 éves szakmai tapasztalattal rendelkező igazi hacker-ek renoméját, ugyanis azok az emberek valójában nem hacker-ek. Itt volt egy mondata, ami szerintem az ITBN legjobb mondata volt (nagyjából szó szerint): "Köpök egyet és három etikus hacker jön ki alóla".
Értem az álláspontját, mert az informatika és mérnök területen én is átéltem hasonlókat már. Ugyanúgy hívják, mégsem ugyanaz a tudás van mögötte. Az információ biztonságban (is) két irány létezik. Az egyik a valós szakmai tudással rendelkező, hacker-nek nevezhető ember, aki képes biztonsági rések megtalálására, azokat kihasználó teszt kódok előállítására és a megfelelő helyen a megfelelő szakmai színvonalon azokat bejelenteni, esetleg már a kód javítással együtt. Ezek az emberek nemcsak ismerik azokat a fogalmakat mint debug, gépi kód, assembler stb. hanem használni is tudják őket készség szinten. A másik faj, aki tudja, hogy milyen folyamatokat kell futtatni pl. egy etikus hack során, tisztában van az információ biztonság fogalmával, érti azt és használni is tudja, DE nem képes új sérülékenységeket felfedezni.
Szerintem mindkét típusra szükség van, csak az egyik hacker a másik meg biztonsági szakember. A biztonsággal kapcsolatos vizsgáknak is két halmaza van:
- tanulható és lerakható gyakorlati tudás nélkül, akár egy év alatt is: pl.: CISA, CISSP, CEH
- csak sok-sok gyakorlással és gyakorlati tapasztalattal rakható le: pl.: OSCP, OSCE
Ez természetesen nem azt jelenti, hogy az első halmazban található vizsgák mögött nincs tudás, inkább azt jelenti, hogy nincs feltétlenül gyakorlati tudás és tapasztalat mögötte.
Ezért gondolom azt, hogy mind az etikus hacker, mind a legal hecker kifejezés az esetek többségében nem helytálló és teljesen jogosan sérti az igazi hacker-ek önérzetét. Én inkább valami információ biztonsági auditáló-nak nevezném. Igaz ez nem hangzik marketing szempontból olyan jól, mint az etikus hacker :)
Összefoglalva látszik, hogy sok munka van a rendezvény mögött én szeretném, ha kevesebb marketing és több szakma lenne jelen.
Bejegyzések
Szia!
VálaszTörlésKicsit pontosítom az általad megfogalmazott gondolatokat. Az IT biztonsági területnek a hackelés egy része. A CISA, CISM és CISSP minősítések nem a hackelésről szólnak, tehát nincs értelme annak kapcsán értékelni jelentőségüket. Szerintem egyébként a CISSP vizsga sikeres letételéhez kevés egy tanfolyami felkészülés illetve egy unofficial CISSP guide elolvasása, de 4-5 év informatikai biztonsági tapasztalattal és célirányos olvasással már jó esélyed van. A többi gondolattal teljesen egyetértek.
Kedves Bumika!
VálaszTörlésAbban teljesen egyetértek veled, hogy a IT biztonság nemcsak a hack-ről szól. Ha így írtam le, akkor hibáztam :) Nem így akartam. Azt akartam inkább megfogalmazni, hogy a CEH, CISA, CISSP vizsgákhoz inkább nem kell IT biztonsági gyakorlati ismeret (hiszen nincs a vizsgán gyakorlat), mint mondjuk az OSCE-hez. A CEH minősítés elnevezés tényleg nevetséges, hiszen ezek az emberek nagy része nem hacker.
Azt nem mondom, hogy egy tanfolyam elég a CISSP letételéhez, de 1év tanulás után letehető, akár kevesebb IT biztonsági gyakorlattal is.
A CISSP pont olyan vizsga, amiben az IT biztonság minden területe benne van. Az egész területet nem lehet gyakorlati úton megtanulni 4-5 év alatt sem.
Üdv:
A
Kedves A!
VálaszTörlésA CISSP-re vonatkozó részt elfogadom, bár nekem csak abban van tapasztalatom, hogy 6 évnyi IT biztonsági tapasztalattal kialakul az a rutin, amellyel a legtöbb CISSP vizsgakérdésre adott lehetséges válaszok száma 2-re szűkíthető, illetve érzék, amellyel a helyes választ is meg lehet találni.
A "CEH képzés" kapcsán Fóti Marcell, azon a szekció beszélgetésen, egy "mentegetőző" mondattal azt is megpendítette, hogy valójában nem hackerképzésről van szó, csupán arról, hogy a tanfolyami résztvevők megérthetik, milyen biztonsági fenyegetettségek léteznek, és azokat hogyan lehet kihasználni. A CEH mentségére szolgáljon, hogy nem az egyetlen olyan etikus hacker képesítés, amelyet "hackerré válás" nélkül is meg lehet szerezni. Ugyanakkor az elnevezése valóban szerencsétlen.
Üdv:
Péter
Kedves Péter!
VálaszTörlésAkkor mindenben egyetértünk :)
A CISSP-t a nyelvvizsgához tudom hasonlítani. Két ember rak le középfokú nyelvvizsgát. 1. aki valóban tudja azon a szinten, 2. aki valamennyi időt eltöltött a felkészüléssel és a vizsga napján topon van belőle (de fél év múlva a nevét sem tudja elmondani). Mindkettő leteheti a vizsgát, meglehet a papírja, de valójában csak az 1. tudja azon a szinten a nyelvet.
Másik gondolatom a CISSP-hez, hogy nagyon szerencsés az az ember, aki az IT biztonság majdnem minden területén valós szakmai tapasztalattal, gyakorlattal, tudással rendelkezik mondjuk 5-6 év alatt és így tudja letenni a vizsgát.
Üdv:
Attila