Eu escrevi antes sobre as duas metades da área de estudantes hackers ; O lado de aprendizagem positivo, atrás do hacking ético, e o lado onde hackers black hat atacam sites na tentativa de ganhar exposição e causar danos.
Há um punhado de universidades que oferecem cursos de graduação em hacking ético, o lado de hackers que os alunos aprendem a hackear para evitar ataques de fora. Não só isso, implicações de segurança e concepção de procedimentos de segurança em redes e perímetros corporativos são parte integrante neste processo de aprendizagem.
Falei com Christopher Laing, líder do programa de Segurança Digital e professor na Northumbria University sobre o curso que oferecem, o conteúdo, os pré-requisitos e como esses estudantes da próxima geração vão para o local de trabalho e mesmo fora da arena de segurança.
Como o hacking ético pode mudar os caminhos para os estudantes, mas também para as empresas, governos e corporações?
Se você quer dizer como o hacking ético pode mudar a forma como as organizações lidam com a segurança de computadores / dados – em suma, não pode. Somente a legislação, a pressão dos negócios de seguros, a perda de reputação ou o PCI DSS podem mudar a forma como as organizações lidam com os dados de forma segura.
Enquanto um programa como o “Ethical Hacking for Computer Security” da Universidade Northumbria pode fornecer aos indivíduos as habilidades de alta tecnologia necessárias para garantir a infra-estrutura de uma organização, não pode forçar as empresas a fazê-lo. Legislação e multas são óbvias e dado que governo e empresas possuem tentativas lamentáveis de garantir os dados públicos, como um requisito necessário. Seguro não é tão óbvio – mas as companhias de seguros estão agora começando a ver os dados como um bem muito valioso; um que tem um custo de substituição.
Se você deixou sua casa destrancada e tinha algo para ser roubado – como você acha que sua companhia de seguros iria ver isso? Da mesma forma, se dados valiosos foram roubados / perdidos, então as companhias de seguros podem começar a perguntar sobre o nível de proteção que estava no lugar para evitar tal ocorrência.
Perda de reputação também não é tão óbvio, mas se uma organização (HM Revenue & Customs, US militar, Banco de Nova York Mellon) perde seus dados pessoais, você iria usá-los novamente? E, finalmente, o PCI DSS – um padrão de segurança de transação de cartão de crédito, que fornece proteção para usuários individuais, desde que a empresa processa mais de 20.000 transações de cartão de crédito por ano.
Pequenos varejistas on-line que realizam menos de 20.000 transações de cartão de crédito anualmente não são cobertos por este padrão de segurança – mas eu entendo que isso vai mudar, e isso terá um grande impacto sobre a maneira em que os pequenos e médios varejistas online conduzirá seus negócios.
Quão extensos são os módulos e o acesso ao equipamento?
Os alunos têm o seu próprio laboratório “state-of-the-art” dedicado, onde realizaram pesquisas, projetos individuais e trabalho de caso, o trabalho inclui testar um aplicativo de segurança web antes da comercialização; coleta de informações e avaliação de vulnerabilidade para empresas regionais, nacionais e internacionais. O laboratório está equipado com o mais recente hardware e software necessários para os seus estudos – de fato o nosso equipamento tão up-to-date “atualizado”, de hardware que emprestamos para a Unidade de Crimes Informáticos da Polícia Northumbria .
Quanta experiência e trabalho prático são aplicados?
O programa na Northumbria é um curso de sanduíche (modularizado) e, como tal, durante o seu ano de colocação, esperam se dos os alunos a realização de trabalho real para empresas reais (por exemplo, PricewaterhouseCoopers, 7Safe, etc) e serão pagos em dinheiro real. Se eles não possuem habilidades práticas extensas, então eles não serão tão altamente procurados.
Tipicamente, um módulo de 20 créditos consistiria em aproximadamente 100 horas de trabalho de laboratório prático; 50 horas de estudo / pesquisa independente; 50 horas de seminários e palestras, incluindo palestras de especialistas industriais.
Como você prevê um potencial empregador vendo um CV com “Ethical Hacking”; a palavra “hacking” não trará automaticamente conotações negativas?
Depende do tipo de emprego que está sendo procurado – “hacking ético” seria um elemento essencial de um currículo voltado para empresas que se comprometem a desenvolver políticas / procedimentos ou, de fato, auditoria e a proteção dos ativos de informação / dados de uma organização. Dada a natureza especializada de um programa de hacking ético para a segurança de computadores’, então eu esperaria que a maioria dos graduados de um programa desse tipo dirigisse seu emprego buscando empresas que precisassem de suas habilidades específicas.
E fora do perímetro da empresa de segurança? Será que as pessoas que decidem trabalhar em outros setores sofrem com um CV especializado?
Eu concordo que alguns graduados de tal programa podem não ter nenhum desejo de trabalhar dentro da indústria de segurança de computador. Nesta situação, o seu currículo pode parecer um pouco estranho, mas lembre-se, para ser um especialista em segurança da informação exigirá um conhecimento detalhado das redes de computadores e sistemas operacionais, incluindo o conhecimento aprofundado das implicações legais e evidência de segurança digital – habilidades que a maioria das empresas exigem.
Que etapas são aplicadas aos estudantes antes do início do curso, para garantir que os selecionados não vão ser desonestos?
Os estudantes de medicina não são examinados, e Harold Shipman foi o maior assassino em massa deste país; Na última contagem em torno de 236. Não é ético que exista cortes particulares, embora não examinamos todo o corpo estudantil universitário e não podemos insistir que uma determinada fatia de estudante sofra um requisito de entrada adicional. Os alunos que são um programa de aprendizagem baseado no trabalho (isto é, professores, médicos, etc.) e que terão contato com indivíduos vulneráveis (crianças, etc.) são obrigados a ter um cheque CRB, mas este é um requisito legal e não parte do Universidade.
Será que uma verificação de antecedentes criminais (CRB) pode ser mesmo eficaz?
A maioria dos alunos acabou de sair da escola, e duvido que um cheque CRB revelaria muito – não ofereceria nenhuma indicação de possível ‘rogueness’, (desonestos, nocivos). Além disso, mesmo que tivessem antecedentes criminais, restringindo seu acesso a um programa educacional por causa dessa condenação, é ilegal (com algumas exceções, com base no tipo de condenação e curso a ser estudado). Devo salientar que fornecemos ambientes de aprendizagem e ensino que enfatizam a ética positiva de ser um “hacker ético” ao longo de todo o programa.
Qual é a probabilidade de um estudante de pós-graduação em Ethical Hacking transformar em black hat?
Eu não tenho ideia – mas quem teria acreditado que um membro da profissão dedicado a salvar a vida, se tornaria o maior assassino em massa da Grã-Bretanha? Tudo o que podemos fazer é fornecer um ambiente de aprendizagem e ensino que enfatiza os aspectos positivos de ser um “hacker ético”.
Vale a pena notar que os alunos se sentem muito positivos sobre o programa dando / ou tendo um “valor para a sociedade”. Deve-se também notar que os alunos não têm nada menos que desprezo pelos “script-kiddies”; Eles sentem que adquiriram um conjunto de habilidades de alta tecnologia, um nível de compreensão de como as redes e sistemas de computadores funcionam, e uma atitude profissional e ética para com as necessidades empresariais, que esses “script-kiddies” nunca terão, nem terão Capacidade de obter.
Alguns dos alunos já estão planejando iniciar sua própria empresa de segurança da informação quando se formam – um sinal claro de que o enfatizar positivo está tendo um efeito.
Fonte: http://www.zdnet.com/article/ethical-hacking-the-next-generation-security-specialists/
