26. dubna v Praze otevřela Fakulta informačních technologií ČVUT zbrusu novou Laboratoř etického hackování. Sponzorem projektu se stal IT Hub společnosti NN Group (dříve ING), který se studenty spolupracuje i např. u bakalářských a diplomových prací.
Cílem laboratoře je lépe prakticky připravit studenty na práci v dnes velmi žádané IT bezpečnosti, profesi, jejíž popularita bude příští roky nepochybně ještě stoupat. Studenti se v laboratoři naučí nejen systémy bránit a spravovat, ale také na ně útočit – což jim v budoucnu umožní snáze nalézt chyby v zabezpečení díky zkušenostem z druhé strany barikády.
Princip etického hackování je jednoduchý: simulovat aktivity útočníků vyhledáváním slabin systému za účelem zvýšení bezpečnosti. Ačkoliv etické hackování není vždy legální, ve většině případů probíhá ve spolupráci s majitelem nebo administrátorem systému a s jeho vědomím; tím se stává nejen legálním, ale i etickým.
Etickým hackerům, kteří etické hackování provozují, se v anglickém slangu někdy říká také „white hat“ a mnozí z white hat hackerů samotářů se postupem času propracují do velkých firem, které si zakládají na tom nejlepším zabezpečení. Pokud totiž někdo umí systém prolomit, je tu slušná šance, že bude i vědět, jak jej lépe zabezpečit proti jedincům s podobně rozvinutými schopnostmi.
IT bezpečnost je obor budoucnosti, absolventi však musí být připraveni
Právě na výchovu budoucích bezpečnostních profesionálů s bohatými zkušenostmi z praxe – byť v kontrolovaném prostředí – se Laboratoř etického hackování zaměřuje.
Sponzoring laboratoře z rukou NN Group nikterak nepřekvapí. IT Hub se na informační bezpečnost zaměřuje a možnost přispět na vzdělání budoucích potenciálních zaměstnanců je výhodné pro obě strany.
„Laboratoř je k dispozici jak pro bakalářské, tak i pro magisterské předměty, kterými jsou například Systémová a síťová bezpečnost nebo Etické hackování,“ řekl při slavnostním otevření profesor Róbert Lórencz, vedoucí laboratoře.
V laboratoři si studenti mohou vyzkoušet napadnutí různých IT systémů, a to jak z pohledu správce systémů či obětí, tak také útočníka, který se snaží zabezpečení prolomit. Právě nalézání zranitelností a slabých míst z pozice „zločince“ je jedním z nejzajímavějších prvků laboratoře – umožňuje nový náhled na zabezpečení a dá možnost nalézt i taková slabá místa, která by na první pohled nebyla patrná.
Během otevření laboratoře nám studenti FIT ČVUT předvedli etické hackování v praxi a byl to vskutku zajímavý pohled. Především ukázal, jak překvapivě snadné může být dostat se k údajům cizích uživatelů při nedodržení bezpečnostních pokynů a nařízení firem.
Studenti se také spolu s inženýrem Ronaldem Liptákem, ředitelem IT Hubu rozpovídali o největších hrozbách dnešních počítačových systémů. Závěr byl překvapivý, ale logický: obecně nejúčinnější v proniknutí do systému větších společností jsou totiž phishing a sociální inženýrství.
Ostatně, co je snazší? Nalézt zranitelnost, proniknout přes firewall (což je opravdu velmi obtížné, neboť to lze jednoduše zaznamenat), nebo prostě přijít do firmy, dostat se přes vrátnici, sednout si k prvnímu nezabezpečenému počítači a udělat, co potřebuji?
Laboratoř etického hackování na FIT ČVUT je krok dobrým směrem: směrem ke vzdělávání ajťáků v perspektivním a do budoucna rostoucím oboru.
Autorem fotografií je Martin Dosoudil
