Наскоро приключи двумесечният курс по етично хакерство за напреднали (Advanced Ethical Hacking), организиран от СофтУни. Любомир Тулев, Главен ръководител операции по киберсигурност в AMATAS, бе лекторът на курса. С него днес обсъждаме какво е етичното хакерство, с какво въоръжава специалистите по киберсигурност и как мина курсът, за който се записаха близо 120 участници.

Иван (ИР): Любо, би ли разказал най-напред какво представлява етичното хакерство и какво мотивира участниците да се включат в курса?

Любомир Тулев (ЛТ): Както се оказа на курса, и два месеца не са достатъчни, за да си кажем всичко за етичното хакерство. С няколко думи обаче - това е онази дейност на специалистите по киберсигурност, при която действия, методи, подходи и инструменти, използвани от злонамерените хакери по света, биват прилагани за добри цели, а именно да се провери до каква степен дадена организация би издържала на потенциална хакерска атака.

Разликата между злонамерените и добронамерените (етичните) хакери е най-вече в мотивацията. Първите често търсят финансова облага, като например извличат ценна информация от дадена компания и я продават или искат откуп. Етичните хакери също търсят възможност да пробият защитните механизми на компанията, но го правят само с разрешението и знанието на ръководителите ѝ. Ако успеят, в подробен и разбираем доклад описват подхода си, за да помогнат на организацията да коригира своевременно слабостите си.

Вярвам, че възможността да опознаят нови практики, подходи и инструменти и да придобият и развият уменията, нужни на архитектите по киберсигурност и пенетрейшън тестърите, бе причина толкова специалисти да се включат в курса, който проведохме в СофтУни.

ИР: Какви теми разгледахте по време на обучението?

ЛТ: Целта на курса бе да обхване в детайли естествения път, който злонамерените хакери биха следвали при атака. Затова започнахме с теорията за киберсигурността, контролите и методите за защита.

Продължихме с основния процес, с който всеки хакер подготвя нападението си — изучаване на обекта на атака, бил той конкретен човек или компания, и събиране на всяка налична информация за него от открити източници, dark net, близки лица, служители и пр. В този етап на атаката хакерът опознава своята цел, набелязва нейните слаби страни и преценява през кои от тях може да пробие. Много време от първата лекция отделихме именно на този етап, защото обемът от информация дори само за инструментите и подходите е необятен. Някои от фундаментите в тази сфера са OSINT Framework, инструменти като Foca, Maltego, Amass и др.

Преминахме към сканирането на мрежи (network scanning) и различните техники за това, като засегнахме Nmap, Hping2/3 и други.

В следващите занятия обсъдихме риска за една компания — какво представлява, как и с какви инструменти се измерва. Отново обърнахме голямо внимание на практическата насоченост — представих различни инструменти на водещи доставчици в сферата на автоматизираното тестване за уязвимости.

Сигурен съм, че много колеги харесаха особено частта, следваща установяването на уязвимостите — а именно самия процес на хакване или установяване на достъп до една машина. Техники като кракване на пароли и ескалация на привилегии, стеганография и други, за които говорихме в третия модул, бързо спечелиха интереса на участниците в курса.

До края на курса разгледахме и дейностите, свързани с подслушване (sniffing), кражбата на MAC и IP адреси в една мрежа с цел подслушването на трафик, атаки от типа „отказ от услуга“ (DoS и DDoS). С демонстрацията на кражба на сесия (session hijacking) показах как в днешно време дори двуфакторната защита (2FA) не е достатъчно добра — и за профилите ни в социалните мрежи, и за корпоративните ни имейли. Допълнителният код за сигурност може да бъде заобиколен от злонамерените хакери при открадването на сесия на наше посещение, с което те получават достъп до и контрол над профилите ни и пощенски ни кутии.

ИР: Кои бяха най-интересните теми?

ЛТ: Определено социалното инженерство и демонстрациите на различни инструменти и подходи, например атаките на безжичните мрежи, мобилни телефони, криптография, уеб сървъри, уеб приложения. Говорихме много и за новите тенденции в киберсигурността при използването на облачни услуги, умни устройства и др.

ИР: Какво харесаха най-много участниците в курса?

ЛТ: В анонимната анкета след курса участниците споделиха, че много са харесали богатите примери от практиката ми — и като полицейски служител в отдел “Киберпрестъпност” към ГДБОП, и като експерт по киберсигурност в AMATAS, хумора и достъпността на представянето на сложните иначе концепции.

Радвам се, че прочетох и много градивна критика — да отделя още повече време на практическите задачи, да избягвам дублирането на теми с курса за начинаещи етични хакери, приключил малко преди това. Но курсът е насочен към хора с различно ниво на умения и това налага да покрием и някои базови моменти. С някои инсталирахме Kali Linux за първи път, а други имаха години практически опит зад гърба си. В такива случаи е важно да намерим правилния баланс между теория, която подготвя, и практика, която стъпва върху нея. Само така можем да сме сигурни, че всеки ще получи нужното от курса и ще успее да защити наученото на изпита.

ИР: А какво представляваше изпитът накрая?

ЛТ: С него се опитах да проверя както теоретичната подготовка, така и уменията за справяне с реална ситуация с практически задачи. Теоретичната част на изпита бе под формата на 100 въпроса. Всеки, който успя да отговори правилно на 70 от тях, бе допуснат до следващия етап.

За втория етап бях създал сценарий, при който участниците трябваше да сканират мрежата и по познат MAC адрес да открият целевата машина (host). След това трябваше да открият активните на тази машина услуги (services) и да обмислят подход за компрометиране. На нея бях вдигнал Apache и FTP сървър. За да стигнат до FTP сървъра, трябваше да намерят данните за идентификация (credentials), като последват адрес, скрит като коментар в основната страница на уеб сървъра и криптиран в base64. На този адрес имаше качен dump от “подслушван” трафик между две машини в мрежата, в който едната машина изпращаше заявки към другата с потребителските име и парола. С тях участниците в курса можеха да установят връзка до FTP сървъра, където пък бях оставил файл — архив с поставена парола. За да го отворят, трябваше да кракнат паролата. Вътре ги очакваше стеганографски файл — снимка с вграден в нея зловреден код (malware). Задачата им беше да отделят зловредния код, да му направят динамичен анализ и да открият към какви IP адреси той прави заявки.

Няколкото отделни задачи в практическата част бяха навързани в игра за търсене на улики и липсващи части от пъзел. Всъщност много се доближи до реална ситуация, с която биха се сблъскали, като продължат да се развиват в сферата на етичното хакерство.

ИР: Като стана въпрос за кариерно развитие, какво би посъветвал участниците в обучението?

ЛТ: Да не спират до тук. Бих искал да поздравя всички, които успяха да минат изпита и да защитят сертификата, но това, което видяха по време на курса, е само началото. За да се съревноваваш с хората и организациите от другата страна на “барикадата“, са нужни непрестанни усилия в учене, отдаденост, четене, четене и пак четене, следене на новостите — в технологиите, уязвимостите и хаковете, — сертифициране по CEH, ESCA, LPT, OSCP, CISSP, CCISO, CISM и други. И, не на последно място, практика. Огромна част от знанията, които аз самият съм придобил, са именно благодарение на практиката, която имах в ГДБОП и имам сега в AMATAS.

Искам да ги окуража — колкото и трудно да изглежда в началото, не се отказвайте. Точно постоянството, непрестанното трупане на опит и знания превръщат начинаещия етичен хакер в професионалист по киберсигурност.