Eu escrevi antes sobre as duas metades da \u00e1rea de estudantes hackers ; O lado de aprendizagem positivo, \u00a0atr\u00e1s do hacking \u00e9tico, e o lado onde hackers black hat\u00a0atacam sites na tentativa de ganhar exposi\u00e7\u00e3o e causar danos.<\/p>\n
H\u00e1 um punhado de universidades que oferecem cursos de gradua\u00e7\u00e3o em hacking \u00e9tico, o lado de hackers que os alunos aprendem a hackear para evitar ataques de fora. N\u00e3o s\u00f3 isso, implica\u00e7\u00f5es de seguran\u00e7a e concep\u00e7\u00e3o de procedimentos de seguran\u00e7a em redes e per\u00edmetros corporativos s\u00e3o parte integrante neste processo de aprendizagem.<\/p>\n
Falei com Christopher Laing, l\u00edder do programa de Seguran\u00e7a Digital e professor na Northumbria University sobre o curso que oferecem, o conte\u00fado, os pr\u00e9-requisitos e como esses estudantes da pr\u00f3xima gera\u00e7\u00e3o v\u00e3o para o local de trabalho e mesmo fora da arena de seguran\u00e7a.<\/p>\n
Como o hacking \u00e9tico pode mudar os caminhos para os estudantes, mas tamb\u00e9m para as empresas, governos e corpora\u00e7\u00f5es?<\/strong><\/p>\n Se voc\u00ea quer dizer como o hacking \u00e9tico pode mudar a forma como as organiza\u00e7\u00f5es lidam com a seguran\u00e7a de computadores \/ dados – em suma, n\u00e3o pode. Somente a legisla\u00e7\u00e3o, a press\u00e3o dos neg\u00f3cios de seguros, a perda de reputa\u00e7\u00e3o ou o PCI DSS podem mudar a forma como as organiza\u00e7\u00f5es lidam com os dados de forma segura.<\/p>\n Enquanto um programa como o “Ethical Hacking for Computer Security” da Universidade Northumbria pode fornecer aos indiv\u00edduos as habilidades de alta tecnologia necess\u00e1rias para garantir a infra-estrutura de uma organiza\u00e7\u00e3o, n\u00e3o pode for\u00e7ar as empresas a faz\u00ea-lo. Legisla\u00e7\u00e3o e multas s\u00e3o \u00f3bvias e dado que governo e empresas possuem tentativas lament\u00e1veis \u200b\u200bde garantir os dados p\u00fablicos, como um requisito necess\u00e1rio. Seguro n\u00e3o \u00e9 t\u00e3o \u00f3bvio – mas as companhias de seguros est\u00e3o agora come\u00e7ando a ver os dados como um bem muito valioso; um que tem um custo de substitui\u00e7\u00e3o.<\/p>\n Se voc\u00ea deixou sua casa destrancada e tinha algo para ser roubado – como voc\u00ea acha que sua companhia de seguros iria ver isso? Da mesma forma, se dados valiosos foram roubados \/ perdidos, ent\u00e3o as companhias de seguros podem come\u00e7ar a perguntar sobre o n\u00edvel de prote\u00e7\u00e3o que estava no lugar para evitar tal ocorr\u00eancia.<\/p>\n Perda de reputa\u00e7\u00e3o tamb\u00e9m n\u00e3o \u00e9 t\u00e3o \u00f3bvio, mas se uma organiza\u00e7\u00e3o (HM Revenue & Customs, US militar, Banco de Nova York Mellon) perde seus dados pessoais, voc\u00ea iria us\u00e1-los novamente? E, finalmente, o PCI DSS – um padr\u00e3o de seguran\u00e7a de transa\u00e7\u00e3o de cart\u00e3o de cr\u00e9dito, que fornece prote\u00e7\u00e3o para usu\u00e1rios individuais, desde que a empresa processa mais de 20.000 transa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito por ano.<\/p>\n Pequenos varejistas on-line que realizam menos de 20.000 transa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito anualmente n\u00e3o s\u00e3o cobertos por este padr\u00e3o de seguran\u00e7a – mas eu entendo que isso vai mudar, e isso ter\u00e1 um grande impacto sobre a maneira em que os pequenos e m\u00e9dios varejistas online conduzir\u00e1 seus neg\u00f3cios.<\/p>\n Qu\u00e3o extensos s\u00e3o os m\u00f3dulos e o acesso ao equipamento?<\/strong><\/p>\n Os alunos t\u00eam o seu pr\u00f3prio laborat\u00f3rio “state-of-the-art” dedicado, onde realizaram pesquisas, projetos individuais e trabalho de caso, o trabalho inclui testar um aplicativo de seguran\u00e7a web antes da comercializa\u00e7\u00e3o; coleta de informa\u00e7\u00f5es e avalia\u00e7\u00e3o de vulnerabilidade para empresas regionais, nacionais e internacionais. O laborat\u00f3rio est\u00e1 equipado com o mais recente hardware e software necess\u00e1rios para os seus estudos – de fato o nosso equipamento t\u00e3o up-to-date “atualizado”, de hardware que emprestamos para a Unidade de Crimes Inform\u00e1ticos da Pol\u00edcia Northumbria .<\/p>\n Quanta experi\u00eancia e trabalho pr\u00e1tico s\u00e3o aplicados?<\/strong><\/p>\n O programa na Northumbria \u00e9 um curso de sandu\u00edche (modularizado) e, como tal, durante o seu ano de coloca\u00e7\u00e3o, esperam se dos os alunos \u00a0a realiza\u00e7\u00e3o de trabalho real para empresas reais (por exemplo, PricewaterhouseCoopers, 7Safe, etc) e ser\u00e3o pagos em dinheiro real. Se eles n\u00e3o possuem habilidades pr\u00e1ticas extensas, ent\u00e3o eles n\u00e3o ser\u00e3o t\u00e3o altamente procurados.<\/p>\n Tipicamente, um m\u00f3dulo de 20 cr\u00e9ditos consistiria em aproximadamente 100 horas de trabalho de laborat\u00f3rio pr\u00e1tico; 50 horas de estudo \/ pesquisa independente; 50 horas de semin\u00e1rios e palestras, incluindo palestras de especialistas industriais.<\/p>\n Como voc\u00ea prev\u00ea um potencial empregador vendo um CV com “Ethical Hacking”; a palavra “hacking” n\u00e3o trar\u00e1 automaticamente conota\u00e7\u00f5es negativas?<\/strong><\/p>\n Depende do tipo de emprego que est\u00e1 sendo procurado – “hacking \u00e9tico” seria um elemento essencial de um curr\u00edculo voltado para empresas que se comprometem a desenvolver pol\u00edticas \/ procedimentos ou, de fato, auditoria e a prote\u00e7\u00e3o dos ativos de informa\u00e7\u00e3o \/ dados de uma organiza\u00e7\u00e3o. Dada a natureza especializada de um programa de hacking \u00e9tico para a seguran\u00e7a de computadores’, ent\u00e3o eu esperaria que a maioria dos graduados de um programa desse tipo dirigisse seu emprego buscando empresas que precisassem de suas habilidades espec\u00edficas.<\/p>\n E fora do per\u00edmetro da empresa de seguran\u00e7a? Ser\u00e1 que as pessoas que decidem trabalhar em outros setores sofrem com um CV especializado?<\/strong><\/p>\n Eu concordo que alguns graduados de tal programa podem n\u00e3o ter nenhum desejo de trabalhar dentro da ind\u00fastria de seguran\u00e7a de computador. Nesta situa\u00e7\u00e3o, o seu curr\u00edculo pode parecer um pouco estranho, mas lembre-se, para ser um especialista em seguran\u00e7a da informa\u00e7\u00e3o exigir\u00e1 um conhecimento detalhado das redes de computadores e sistemas operacionais, incluindo o conhecimento aprofundado das implica\u00e7\u00f5es legais e evid\u00eancia de seguran\u00e7a digital – habilidades que a maioria das empresas exigem.<\/p>\n Que etapas s\u00e3o aplicadas\u00a0aos estudantes antes do in\u00edcio do curso, para garantir que os selecionados n\u00e3o v\u00e3o ser desonestos?<\/strong><\/p>\n Os estudantes de medicina n\u00e3o s\u00e3o examinados, e Harold Shipman foi o maior assassino em massa deste pa\u00eds; Na \u00faltima contagem em torno de 236. N\u00e3o \u00e9 \u00e9tico que exista cortes particulares, embora n\u00e3o examinamos todo o corpo estudantil universit\u00e1rio e n\u00e3o podemos insistir que uma determinada fatia de estudante sofra um requisito de entrada adicional. Os alunos que s\u00e3o um programa de aprendizagem baseado no trabalho (isto \u00e9, professores, m\u00e9dicos, etc.) e que ter\u00e3o contato com indiv\u00edduos vulner\u00e1veis (crian\u00e7as, etc.) s\u00e3o obrigados a ter um cheque CRB, mas este \u00e9 um requisito legal e n\u00e3o parte do Universidade.<\/p>\n Ser\u00e1 que uma verifica\u00e7\u00e3o de antecedentes criminais (CRB) pode ser\u00a0mesmo \u00a0eficaz?<\/strong><\/p>\n A maioria dos alunos acabou de sair da escola, e duvido que um cheque CRB revelaria muito – n\u00e3o ofereceria nenhuma indica\u00e7\u00e3o de poss\u00edvel ‘rogueness’, (desonestos, nocivos). Al\u00e9m disso, mesmo que tivessem antecedentes criminais, restringindo seu acesso a um programa educacional por causa dessa condena\u00e7\u00e3o, \u00e9 ilegal (com algumas exce\u00e7\u00f5es, com base no tipo de condena\u00e7\u00e3o e curso a ser estudado). Devo salientar que fornecemos ambientes de aprendizagem e ensino que enfatizam a \u00e9tica positiva de ser um “hacker \u00e9tico” ao longo de todo o programa.<\/p>\n Qual \u00e9 a probabilidade de um estudante de p\u00f3s-gradua\u00e7\u00e3o em Ethical Hacking transformar em\u00a0black hat?<\/strong><\/p>\n Eu n\u00e3o tenho ideia – mas quem teria acreditado que um membro da profiss\u00e3o dedicado a salvar a vida, se tornaria o maior assassino em massa da Gr\u00e3-Bretanha? Tudo o que podemos fazer \u00e9 fornecer um ambiente de aprendizagem e ensino que enfatiza os aspectos positivos de ser um “hacker \u00e9tico”.<\/p>\n Vale a pena notar que os alunos se sentem muito positivos sobre o programa dando \/ ou tendo um “valor para a sociedade”. Deve-se tamb\u00e9m notar que os alunos n\u00e3o t\u00eam nada menos que desprezo pelos “script-kiddies”; Eles sentem que adquiriram um conjunto de habilidades de alta tecnologia, um n\u00edvel de compreens\u00e3o de como as redes e sistemas de computadores funcionam, e uma atitude profissional e \u00e9tica para com as necessidades empresariais, que esses “script-kiddies” nunca ter\u00e3o, nem ter\u00e3o Capacidade de obter.<\/p>\n Alguns dos alunos j\u00e1 est\u00e3o planejando iniciar sua pr\u00f3pria empresa de seguran\u00e7a da informa\u00e7\u00e3o quando se formam – um sinal claro de que o enfatizar positivo est\u00e1 tendo um efeito.<\/p>\n