H@x0r

Holnap Ma lesz az utolsó nap a Netacademia Ethical Hacking tanfolyamán. Mivel ez már csak olyan fél nap lesz, nagy változások nem várhatóak – így megírhatom már most is a véleményemet.

Kezdjük azzal, hogy ennek a tanfolyamnak nagyjából annyi köze van a hackeléshez, mint a Bükkben vezetett busztúrának a hátizsákos gyalogtúrához. Ha most azt hiszed, jól megkritizáltam az egészet, akkor tévedsz: ez egy pontos, alaposan megcsiszolt hasonlat volt. Ha ugyanis körbevisznek a buszban, akkor futólag látod a Bükk részeit. És ha tetszik, akkor egy-két hét után már jöhetsz is vissza a zsákoddal – és lassan, de alaposan járhatod be a terepet.
Viszont hacker ettől a tanfolyamtól nem leszel. De még csak a vizsgától sem. Azt nem adják ilyen könnyen.
Akkor mit ad a tanfolyam? Némi szemléletet, rövid áttekintéseket – és hatalmas adag tananyagot. Lássuk a szikár számokat: a csomagban hat könyv van: 2500 oldalnyi tankönyv, 500 oldalnyi laborgyakorlat. A mellékelt cédéken olyan 3 GB hacker/cracker segédprogram, egy vizsgasegédlet, két cédényi videó és egy cédéről boot-oló linux masina található. Hatalmas anyag, az oktató meg sem próbálta teljes mennyiségben leadni. Mentünk, ahogy tudtunk, belekaptunk ebbe is, abba is. Megjegyzem, inkább network alapokról volt szó, mint konkrét hekkelésekről, dehát ugye arra épül minden. Viszont láttunk azért olyat is, a laborgyakorlatokon pl. egymás gépeit borogattuk meg.
Ami engem nagyon zavart, az a naftalinszag volt. Olyanokat hekkeltünk, hogy IIS5, IE6, SQL2000, a vizsgakérdések között is volt olyan, amelyik 2002-es(!) Windows patch-re vonatkozott. Értem én, hogy ismerkedésre jó ez is, de szívesen láttam volna, hogy mi a helyzet a mai rendszerekkel.

Mondjuk, valamennyit azért láttam.
Például Zsíros Petya előadása ütött rendesen. Nulláról indulva írt PHP-ben egy BOF exploitot, részletesen elmagyarázva, mit miért csinál. Én ugyanis eddig azt hittem, hogy a buffer overflow töréseket zöld marslakók írják – az emberek ugyanis tuti képtelenek ekkora precizitással átsurranni egy-egy kapun. Most már tudom, hogy ember is képes erre, ha van elég agya.
De megemlíthetném Agot is, aki wifi törésekről tartott egy igen érdekesnek tűnő előadást. (Azért fogalmaztam ilyen óvatosan, mert én valahol a WEP hiányosságainak boncolásakor leestem a szekérről – és az még igencsak az eleje volt. Innentől gerillamódszerekkel értettem meg részleteket az előadásból – pont annyit, hogy adott esetben a google segítségével azért boldoguljak.)

És ha már az oktatóknál járunk, ejtsünk szót a fő oktatóról is: Jan szemmel láthatóan értett az anyaghoz, jól is adott elő – de szerény véleményem szerint engedhette volna lejjebb is azt az ekevasat a mélyszántás előtt. Ahogy elnéztem, nem volt olyan inhomogén a társaság, mint általában egy tanfolyamon szokott – senki sem bánta volna, ha jobban belemegyünk néhol az anyagba. Így viszont ez az egész inkább csak vizsgára felkészítésnek tűnt.

Apropó, vizsga. Habár a tananyag rettenetesen nagy, de a vizsga ránézésre nem tűnt vészesnek. 150 kérdés, 4 óra, azt hiszem, 120 jó válasz kell. Átfutottam a próbaverziót, nagyon sok kérdés kilogikázható, ráadásul jól be is határolható, mely anyagokra kell rágyúrni a könyvből.

De szándékosan nem akarok vizsgázni belőle.
A vizsga ugyanis veszélyes – különösen, ha sikerül. Onnantól kezdve az emberen számonkérik a tudást. A vizsga speciel nem csak arra jó, hogy kompetenciát mutassunk egy-egy pályázaton. A vizsga szakértőt csinál belőlünk – olyan szakértőt, akinek kutyakötelessége naprakész tudással rendelkezni az adott területen, mert bármikor igényt tarthatnak rá. Emiatt van az, hogy én már évekkel ezelőtt megfogadtam, hogy csak abból vizsgázok, amivel hosszútávon is foglalkozni akarok. Márpedig a hekkelés nem az. Jó képben lenni, jó ismerni a technikákat – de nem jó szakértőnek lenni belőle.

Leave a Reply