+371 67847600

 

Atsauksmes

"Atzinīgi vērtējam to, ka darbinieku zināšanu pārbaudes un mācības iespējams organizēt mums izdevīgā laikā, zināšanu pārbaudes rezultātus var saņemt ļoti operatīvi, kā arī nepieciešamības gadījumā mācību laiku iespējams elastīgi mainīt, piemērojot to mūsu darba grafikam.

Mācību centra speciālisti ir pretīmnākoši un atsaucīgi."

SIA "Lursoft IT" valdes locekle,
Guna Esenberga

"Ņemot vērā, ka esmu no Ventspils, man patika, ka nodarbības (sesijas) bija iespējams apmeklēt man piemērotā laikā un tempā. Nodarbību laikā izmantotā metode, kā arī programmas, mācībspēks un personāls, novērtēju kā ļoti profesionālu. Mācības tika organizētas nepiespiestā atmosfērā un viennozīmīgi var teikt, ka savas zināšanas esmu uzlabojis."

Viktors Solovjovs, Ventspils Nafta


Ētiskie hakeri - pašlaik tehnoloģija vada cilvēku, bet jābūt ir otrādi

Lai sistēmas būtu grūtāk uzlaužamas, jau ilgāku laiku uzņēmēji sāk novērtēt ētisko hakeru pakalpojumus, kas veic ielaušanās testus un pamāca, kā izsargāties no īstiem ļaundariem. Šāda veida testi pamazām sāk kļūt arī par obligātu sastāvdaļu ISO sertifikācijas iegūšanai, kas atsevišķiem uzņēmumiem liek savu darbiniekus apmācīt par ētiskajiem jeb baltajiem hakeriem. Pašlaik Latvijā ar šādām apmācībām nodarbojas NH mācību centrs, kur topošos ētiskos hakerus sagatavo pasniedzējs Pjotrs Gubarevičs.

Sākam ar pašiem pamatiem - kas ir hakeris?

Tas ir cilvēks, kurš ļoti labi zina, kā strādā sistēma, un prot iedarbināt tās slēptās iespējas.

Arī izmantot šo sistēmu tai neparedzētā veidā?

Jā, tā varētu teikt. Nevajag gan aizmirst, ka ir "black hat" un "white hat" hakeri, kam ir atšķirīgi motīvi.

Kas nosaka to, kādā krāsā ir hakeris - melns, balts vai pelēks?

"Black hat" nodarbojas ar noziedzību - meklē internetā upurus un tehnoloģiski uz tiem iedarbojas, lai iefiltrētu viņu sistēmās dažādus vīrusus un citu programmatūru. "White hat" darbojas līdzīgi, bet viņi to dara, esot kontraktā ar resursa īpašnieku, - pārbauda drošības sistēmas un nereti arī nosaka, vai sistēmas izstrādātas saskaņā ar vispārpieņemtajiem drošības standartiem. Ļoti labs aizsardzības speciālists zinās, kā lauzt un arī kā pasargāt.

Kas ietverts "baltā" hakera apmācības programmā?

Mūsu programma ir tikai pirmais solis - kopumā soļu ir daudz, lai no iesācēja nokļūtu līdz speciālistam. Ētiskā hakera kursā apskatām vairākus uzbrukuma vektorus – ceļus, kā iedarboties uz datorsistēmu, kā arī aizsardzību, ja tie tiek izmantoti pret jums pašu.

Un beigās audzēknis saņem sertifikātu, ka viņš ir ētiskais hakeris?

Tik vienkārši tas nav - uzreiz var saņemt sertifikātu, ka kurss ir noklausīts. Lai saņemtu hakera sertifikātu, ir jānokārto eksāmens. Pie mums to var izdarīt. Speciālistiem, kam bijis iepriekšējās redakcijas sertifikāts, to ik pa trim gadiem nepieciešams atjaunināt, jo tehnoloģijas nemitīgi mainās.

Pēc kursa noklausīšanās visi kārto šo testu?

Ne vienmēr - daudziem nepietiek pieredzes, kas nepieciešama prasību izpildei. Tāpat arī šo eksāmenu noteikti nevarētu saukt par vienkāršu. Ļoti daudzi kursus apmeklē, lai vairāk uzzinātu par kiberdrošību, - eksāmenu kārto tie, kam darba devējs ir noteicis prasību pēc attiecīgā sertifikāta. Latvijā arī šīs prasības pēc drošības sertifikātiem parādījušās samērā nesen.

Tātad varētu teikt, ka uzņēmumos vadības līmenī sāk parādīties uzskats, ka ir nepieciešams nolīgt nevis "Java", PHP vai kādu citu programmētāju, kurš dara visu, bet gan kiberdrošības speciālistu?

Patlaban galvenā problēma ir, ka uzņēmumā ir kāds programmētājs vai izstrādātāju grupa, kas nodarbojas ar programmatūras izstrādi. Pēdējā laikā arvien vairāk uzņēmumu sāk darbību tiešsaistē - dažāda veida preču un pakalpojumu pasūtīšana internetā, dažādi maksājumi -, un 90% gadījumu izstrādātie risinājumi nav droši.

Tātad būtu nepieciešams speciālists no ārpuses, kas spētu objektīvi pārbaudīt izstrādāto produktu noturību pret kiberuzbrukumiem?

Nav jābūt obligāti no ārpuses - arī uzņēmuma iekšienē vajag speciālistu, kas labi pārzina uzbrukuma paveidus un palīdz uzbūvēt programmatūru vai sakārtot tā iekšējo tīklu, lai iekšējo un ārējo draudu risks tiktu samazināts līdz minimumam.

Nav prasību, ka jābūt tieši ārējam speciālistam, kas veic šādas pārbaudes?

Ar to pašlaik nodarbojas auditēšanas kompānijas, kur darbojas dažādi speciālisti, tostarp arī sertificēti hakeri.

Vai nevar būt tā, ka tie, kas pabeidz šos ētiskā hakera kursus, beigās kļūst par ļoti zinošiem kibernoziedzniekiem? Zināms, ka kibernoziedzība ir plaukstoša industrija ar ļoti pieklājīgu apgrozījumu.

Labs jautājums. To nekad nevar zināt, bet pamatā katrs kursants parakstās, ka ir pilnībā atbildīgs par to, kā izmantos iegūtās zināšanas.

Jūs pats kā pasniedzējs varat fiksēt, ka kāds no kursantiem ir tendēts uz noziedzīgu darbību veikšanu?

To nekad nevar zināt. Mūsu klienti gan lielākoties ir uzņēmumu darbinieki, nevis privātpersonas.

Pastāv arī tāds termins kā pelēkais hakeris - kas ar to tiek saprasts?

Tas ir cilvēks, kurš nodarbojas gan ar "white hat" aktivitātēm, gan arī ar kibernoziedzību. Es precīzi nepateikšu, cik bieži tas tā notiek, bet tā ir realitāte. Parasti gan melnie hakeri, sevi pilnveidojot, ar laiku kļūst par baltajiem.

Cik izplatīti ir hakeru uzbrukumi to populārajā izpratnē?

Esmu runājis ar interneta pakalpojumu sniedzējiem, un viņi saka, ka divi no trim mājas datoriem ģenerē ļaunprātīgu datu plūsmu. Citiem vārdiem sakot - tos ir nolaupījis un robotu tīklam pievienojis kāds ļaundaris.

Tas notiek, ja kāds ir nejauši uzķēries uz izsūtītas ļaunatūras. Drīzāk biju domājis uzbrukumu, kur patiešām cilvēks ielaužas manā sistēmā.

Mērķēti uzbrukumi nav īpaši izplatīti, bet tie notiek. Jo lielāks uzņēmums, jo lielāka iespēja, ka kāds strādā pie tā tīkla uzlaušanas gan no ārpuses, gan iekšpusē. Parasti arī apjomīgākās sistēmās ir lielāka nekārtība, ko hakeris var izmantot savu mērķu sasniegšanai.

Vai baltais hakeris ielaušanās gadījumā drīkst veikt pretuzbrukumu?

Daudzi hakeri strādā, lai ar savām zināšanām pasargātu uzņēmumu. Viņi apzina dažādas ievainojamības un izstrādā ziņojumu cilvēkam, kurš ir atbildīgs par riska vadību. Šajā gadījumā var iedarbināt dažādus mehānismus, kas apgrūtinātu potenciālo ielaušanos. Saprotams, ka pilnībā pasargāt sistēmas nav iespējams.

Vai ētiskais hakeris drīkst publiskot atklātās nepilnības?

Vajadzētu būt tā, ka sākumā hakeris vēršas pie izstrādātāja un paziņo, ka ir atklājis kādu ievainojamību.

Ja nu izstrādātājs pasaka, ka tās ir muļķības un ka nekādu caurumu viņa veidotajā sistēmā nevar būt?

Mēdz būt arī tā. Parasti gan notiek tā, ka izstrādātājs nāk klajā ar atjauninājumu, un tikai pēc tam hakeris drīkst publicēt atklāto ievainojamību.

Nesen pasauli pāršalca ziņa, ka atklāta kritiska ievainojamība "OpenSSL" šifrēšanas sistēmai. Kā vērtējat tās nopietnību?

Patiesību sakot, šādas ievainojamības atklāj ārkārtīgi bieži. Nav programmu bez caurumiem. Nesen bija ziņas, ka atklāta ievainojamība pārlūkam "Internet Explorer". Pilnīgi visi pārlūki ir ar ievainojamībām! Es studentiem mēdzu jautāt, kurš pārlūks viņiem patīk vislabāk, un to arī laužam!

Tad "Heartbleed" nebija "armagedons", kā to nereti dēvēja medijos?

Nē, šādi "armagedoni" notiek katru dienu.

Vairāk par kursu lasīt šeit


Pjotrs Gubarevičs

 

Copyright © 2007-2018 NH mācību centrs. All rights reserved. NH mācību centrs

NH mācību centrs Uzziniet vairāk!      Tāl.: 67847600      Adrese: Elizabetes 65-10, Rīga, LV-1011      E-pasts: office@nh.lv       Privacy Policy

Top.LV