Je li doista moguće svladati sva znanja i vještine potrebne kako biste bili sposobni upadati u dobro zaštićene računalne sustave ili iste braniti od takvih napada, pitali smo četvoricu domaćih stručnjaka
Web je prepun svakovrsnih tečajeva, seminara i drugih oblika edukacija čiji vam autori i izvođači nude mogućnost usvajanja raznovrsnih znanja i vještina na daljinu.
Ponuda je zbilja raznovrsna, u rasponu od anonimnih pojedinaca preko platformi poput Coursere i akademije Khan do svjetski poznatih sveučilišta kao što je američko Massachusetts Institute of Technology.
Hakiranje pritom nije iznimka. Već i kratkim pretraživanjem moguće je pronaći pregršt tečajeva poput ovoga koji obećava da će vas za šaku dolara preobraziti u profesionalnog hakera.
Je li doista moguće svladati sva znanja i vještine potrebne kako biste bili sposobni upadati u dobro zaštićene računalne sustave ili iste braniti od takvih napada? Pitali smo četvoricu domaćih stručnjaka za računalnu sigurnost.
'Tečajevima je moguće steći neke vještine i neka znanja, ali za pravu hakersku naobrazbu potrebno je puno prakse. Tečajevi tog tipa samo zagrebu vrh sante računalne sigurnosti. Dobri su za stjecanje početnih znanja, ali daleko od toga da osoba koja prođe takav tečaj može sebe nazvati hakerom', rekao je tportalu Leon Juranić iz tvrtke Defense Code.
Konzultant za informacijsku sigurnost na području strateškog razvoja i upravljanja informacijskom sigurnošću te socijalnog inženjeringa u tvrtki Diverto Alen Delić smatra da nije nemoguće postati hakerom pomoću tečajeva online.
'Jedna od najboljih kuharica na svijetu, Ana Roš, učila je kuhati sama. S druge strane, većina drugih najboljih i cijenjenih kuhara na svijetu završila je najbolje kuharske škole i stjecali su ogromnu praksu prije nego što su dosegli razinu na kojoj su danas. Tako je i na području informacijske sigurnosti', kaže Delić te pojašnjava kako zasigurno postoji nedostatak i resursa i znanja da bi se dobre vještine stekle u srednjim školama i na fakultetima, pa se ljudi moraju okretati različitim resursima, tako i učenjima na daljinu.
Kako Delić ističe, svatko danas može otići na YouTube, pogledati nekoliko videa i u susjednom odvjetničkom uredu iz svog stana isprintati nešto na printer.
Ponavlja da se tu ne radi o hakerima, nego često maloljetnicima kojima je zbog općeg društvenog stanja sustav dozvolio da iz dosade nesvjesno rade kaznena djela od kojih štetu mogu imati samo oni sami.
'To nije profesionalni pristup', kaže Delić.
Najviše vještina i znanja stječe se paralelno s iskustvom i kontinuiranim učenjem koje podrazumijeva stalno prikupljanje informacija, kao i odlaske na konferencije i tečajeve gdje se provodi i praktična nastava. Takav rad podrazumijeva i puno vremena i puno financijskih resursa
Bitno je, naravno, razlikovati je li riječ o etičkom hakiranju ili znanju koje netko treba za kriminalne radnje. Ova druga skupina, ako nije sponzorirana od države ili industrijske špijunaže, vrlo vjerojatno neće imati novca za podizanje razine znanja na takav način.
Klinci s gotovim skriptama nisu hakeri
Igor Pavleković, stručnjak za tehnološke strategije u Microsoftu Hrvatska, upozorava da je kod svake edukacije važno pronaći balans između teorije i prakse. To je slučaj i s učenjem hakiranja, pri čemu treba dodati i intuitivnost, inženjerski način razmišljanja i želju za kontinuiranim učenjem kako bi se postalo dobar haker.
'Naime, vrlo je jednostavno postati tzv. script kiddie, osoba koja ne razumije informacijske sustave, već koristi gotove skripte i programe za razne maliciozne radnje na informacijskim sustavima. Današnji sigurnosni informacijski sustavi su imuni na takve napade pa više nije ni tako jednostavno provaliti u susjedov usmjernik za internet kako biste se spojili besplatno na susjedovu internetsku vezu. Hakeri ipak moraju imati malo više znanja i vještina od toga', smatra Pavleković.
Kako bi se osoba educirala za (etičkog) hakera, mora imati predispozicije i barem dobra znanja o funkcioniranju operativnih sustava i računalnih mreža. Prednost je poznavanje rada baza podataka, web aplikacija, socijalnog inženjeringa...
Teorija bez prakse ne vrijedi puno
Bojan Alikavazović, samostalni sistemski inženjer specijalist u Sektoru IP komunikacija i sigurnosti u Combisu, vjeruje kako je moguće putem tečaja online steći potrebna znanja i vještine hakiranja.
No treba uzeti u obzir da je to ipak rad s tehnologijom, a ona zahtijeva primjenu znanja u praksi ne bi li se stekao dobar uvid u mogućnosti tehnologije, njene nedostatke i načine iskorištavanja sigurnosnih propusta.
'Možemo reći da je znanje o hakiranju bez iskustva i prakse, kao i svako drugo znanje: samo potencijal koji se s praksom unapređuje', kaže Alikavazović.
Edukacijske ustanove koje provode tečajeve takvog tipa putem interneta, osim videomaterijala, često osiguravaju i daljinski pristup laboratoriju. Svaki student ima neometan pristup laboratoriju unutar kojeg na siguran način može testirati različite tehnike hakiranja, a opet bez ikakvog stvarnog rizika.
Tečajevi se ipak mogu isplatiti
Što bi tportalovi sugovornici preporučili osobama koje razmišljaju o plaćanju i pohađanju ovakvih tečajeva? Isplati li se dati novac za to?
Slažu se u ocjeni kako nije loše proći takav tečaj ako postoji zanimanje za računalnu sigurnost jer će dobiti određena znanja na temelju kojih mogu dalje graditi vlastite vještine i sposobnosti hakiranja.
Ali, upozorava Alikavazović, jeftini tečajevi često imaju ključne nedostatke: literatura nije kvalitetna, predavači su upitnog iskustva, a laboratoriji imaju prilično mali broj kompleksnih scenarija za vježbanje.
Isto tako, često u startu zahtijevaju od kandidata vladanje širokom lepezom osnovnih znanja o operativnim sustavima, mrežama i programiranju.
Delić smatra da su tečajevi poput ovog koji smo uzeli kao primjer, smiješni razmatra li ih se na profesionalnoj razini.
'Usporedbe radi, jedna od točaka koja se navodi u tečaju je socijalni inženjering, kojim se inače bavim. Za moj razvoj i edukaciju na tom području je Diverto uložio preko 120 tisuća kuna. Je li moguće istu kvalitetu dobiti za pet dolara?' zapitao se.
Na tržištu - ponajprije svjetskom, ne i hrvatskom - postoje kvalitetne edukacije koje podižu i razinu znanja i vještina. Koštaju nekoliko tisuća dolara, što za pojedinca često nije mali iznos.
Odaberite što vam se sviđa i ulažite u to
Ipak, ta znanja mogu biti ulaz za rad koji će u konačnici proizvesti iskustvo koje je ključ uspjeha na ovom području. Područje sigurnosti brzo se mijenja u vrlo kratkom vremenu i potrebno je znanja razvijati kontinuirano.
Delić svima zainteresiranima predlaže odabir grane kojom će se baviti te usjmeravanje resursa u istraživanje tog područja. 'Samoučenje je iznimno bitno, literatura postoji, a veću količinu novca ne treba nužno potrošiti odmah na početku', dodao je.
Naši se sugovornici slažu kako se isplati uložiti novac u stjecanje navedenih znanja ako kandidat kani koristiti ta znanja legalno, s ciljem zaštite informatičkog sustava, zato što stručnjaka tog profila nedostaje na tržištu rada.
'Ključna riječ je etički haker', naglašava Pavleković, 'jer valja imati na umu da je iskorištavanje tako stečenog znanja za maliciozno kompromitiranje informacijskih sustava kazneno djelo'.
S druge strane, etički hakeri tako stečena znanja hakiranja koriste za zaštitu informacijskih sustava, odnosno testiranje sigurnosti informacijskih sustava.
U tom kontekstu hakerska znanja su izuzetno vrijedna jer ako razmišljaš kao haker, znat ćeš i obraniti informacijski sustav od pravih hakera.