Csatlakoznál az etikus hacker elithez? Tanulj a szakma nagy neveitől! (x)

Hirdetés

A KÜRT Akadémia hacker képzésén ütőképes támadási technológiák és védelmi intézkedések elsajátítása mellett a legjobb hallgatók éles bevetésen is kipróbálhatják magukat. Nyíltnapok: 2010. május 13. és május 27. További részletek.

(A hirdető megbízásából készített anyag.)

( crown v | 2010. 05. 03., h – 11:05 )

Ha igazan jo vagy, meg mindig jobb megeri inkognitoban maradni. Plane, ha IGAZAN jo vagy. :)

Igen, ilyen infot en sem lattam.

Ha engem erdekelne a tema, a kurzus elott biztos kiolvasnek egy ket amazonos konyvet a temarol. Legalabb, hogy ne a CSS-el ott talalkozzak eloszor, ami eleg gaz lenne :)

Ez egy jo kezdet: http://en.wikibooks.org/wiki/Information_Security_and_Risk_Management

( szorpi | 2010. 05. 03., h – 14:35 )

Ha nekem dolgozna az etikus hekker "elit", meg a "szakma nagy nevei", akkor én azért a saját weblapomat csak megnézetném velük 2 iszonyat kemény pentest között - üres óráikban - hátha találnának olyan hibát amit mások már 2009.04.28.-én felfedeztek (gondolom nagyon nem volt nehéz felfedezni) és publikálták egy ismert szakmai blogban.
Vagy azért ilyen a lap, hogy ezen gyakorolhatnak a hallgatók?

Lásd:
http://buhera.blog.hu/2009/04/28/etikus_hacking_oktatast_indit_a_kurt_is

LoL. Bár mostanra már javítva lett. De azt azért hozzá kell tenni, hogy egy nagyobbacska cégnél a marketing osztály és az etikus hekking osztály nyilván nem nagyon kommunikálnak. Az utóbbiak valszeg amúgy is csak binárisan tudnak. :) Az mondjuk nem vall túl megfontolt vezetésre, hogy a saját oldalukat nem úgy terveztetik, teszteltetik, hogy ne legyen belőle ilyen cikiség.

Sztem egy weboldal esetén nem feltétlen a "fontos adatok"-hoz való hozzáférés a lényeg. Ha valami csúnyát kirak valaki egy cég weboldalára, akkor az minden egyéb nélkül is kínos lehet szerintem. Vagy ha egy szakmabeli cégnek sqli-s az oldala. Ez kicsit olyan, mintha egy autókereskedő egy rossz autóval járna egy évig. Nem tartanád viccesnek?

A logom alapján nem úgy tűnik: 

hunger.hu 91.82.106.130 - "GET /kurt/kurthulang=hu;%20sid=028a078e909fbdf51ade94c[...]"

$ host 91.82.106.130
130.106.82.91.in-addr.arpa domain name pointer secure.kurt.hu.

Szépen ott figyel a logomban a kurt.hu session id-ja, több mint száz másik olvasóéval egyetemben. :)

Szerk.: úgy tűnik, hogy belső levelezésen terjed Kürt-nél a probléma, már 5 különböző session id van a secure.kurt.hu-tól.

Szerk.2: Kürt-nél már Ubuntus hekkereknél van a probléma! :) Eddig Windows/Chrome kliensekről nézelődtek, most már Ubuntu Jaunty + Namoroka... :p

Igazad van, egy ideális világban ez így működne. De látom a közepesnél nagyobb méretű cégek valós, messze nem ideális működése nincs igazán meg nálad...
Egy beszállító a mai magyar silánypiacon azt csinál, amit akar. Tudod hány szoftverfejlesztő/webfejlesztő beszállítónak a hígfos rendszeréről kellett már ilyesfajta véleményeket megfogalmaznom javító szándékkal?

És a management ül szépen, szétteszik a kezüket, "tudjuk hogy szar, de a sápot mi megkapjuk utána" alapon, és a beszállító következmények nélkül még évekig szállít ugyanolyan hulladékot, mint annakelőtte. De ez már nagyon nem ide tartozik szerintem...

Egy biztos, aki komolyan érdeklődik ez iránt, az úgyis ott lesz valamelyik nyílt napon, aki meg csak hőzöngeni akar, az itt szépen levezeti a feszültségét. Én a magam részéről az előbbire szavazok.

Ugye te most csak viccelsz?

Ha vannak nekik "elit etikus hackereik", akkor az lenne a minimum elvárás, hogy azokkal ránézetnek a külső beszállító által készített weboldalra, mielőtt kikerül, nem? Kicsit cipész és a lyukas cipő esete ez, kár szépíteni. Az emberekben joggal merülhet fel a kérdés, hogy azok akarják őket információbiztonsággal kapcsolatos dolgokra oktatni, akik még a saját házuk táján se tudnak rendet tartani?!

Erősen próbáltam egyébként kideríteni, hogy kik azok a hackerek, akik náluk dolgoznak és oktatni fogják a jónépet, de csak ezt találtam. Mérő László biztos remek matematikus és tuti nagyon vágja az MI témát is, de nem hacker. Az etikus hacker órarend alapján ráadásul nem is tanít, csak egyedül Frész Ferenc viszi végig az órákat egymaga. Aki szintén biztos jó információbiztonsági szakértő, de nem hacker.

Ha hackereket akarsz látni, akkor ne a Kürt nyílt napjára menjél el, hanem vagy egy külföldi elismert rendezvényre (CCC, DefCon, CanSecWest, etc.), vagy akár a hazai Hacktivityre, ott is több etikus (és kevésbé etikus :) hackert láthatsz...

Szerk.: Nem néztem elég alaposan, mégis csak van egyetlen előadás, amelyet Mérő úr tart az etikus hacker képzésen (Pszichológia: Tudatos és tudattalan gondolkodás). A "tanulj a szakma nagy neveitől" szlogen ettől még ugyanúgy vicces marad. :)

"Ha vannak nekik "elit etikus hackereik", akkor az lenne a minimum elvárás, hogy azokkal ránézetnek a külső beszállító által készített weboldalra, mielőtt kikerül, nem?"

Ha kifizetik neki a plusz munkát. Nem dolgozik mindenki szívességből. Magyarul, ha egy cégnél dolgozik valaki, aki ért valamihez, az nem feltétlen fog automatikusan ingyen dolgozni olyanon, ami nem a munkaköri kötelessége.

--
trey @ gépház

Egyrészről: félreértesz, de ez nem az én problémám.

Másrészről: a minimum elvárás az lenne, hogy a nagynevű beszállító ne egy hígfossal álljon elő, mikor rendelnek tőle valamit. Az, hogy a megrendelő utána mit kezd azzal a kupaccal, amit kapott, már csak a következő lépés. És ezzel nem mentegetni szándékozom őket, csak látom, mi megy a piacon. Hidd el, ha nem magad csinálsz valamit, nem lehet rendben tartatni. Ma kishazánk piacán nem.

Talán nem próbáltad elég erősen kideríteni, vagy nagyon jól rejtőzködnek... :) Na jó, ez vicc. De tény, hogy hiányos a kommunikációjuk, ahogy múlt évben is az volt.

Nyilván neked megvan minden lehetőséged, hogy az összes általad említett konferenciára elmenj évről évre, de sokaknak ez nem megy ily egyszerűen. És tudom, hogy nem kevés tál zabpehely kijönne ennek a kurzusnak az árából is, de konfokra járni, meg valamit komoly nekiveselkedéssel tanulni nem ugyanaz a dolog. Szerintem akit ez érdekel, az nem igazi hackert akar látni, ahogy fogalmazol, hanem azzá szeretne válni. Az, hogy ez, vagy egy CEH/CISA/CISSP tanfolyam/vizsga ebben mennyit segít, egy másik kérdés.

A vicces szlogennel egyébként egyet kell értsek, sőt, az egész további infó linken található duma szánalmas... :)

És ezzel nem mentegetni szándékozom őket, csak látom, mi megy a piacon

Ja, ezzel egyetértek, én is látom és rosszul vagyok az itthon php-ben össze-vissza tákoló webes sufni cégektől. Amit viszont nem értek, hogy egy olyan cég, amelyiknek meg van a lehetősége arra, hogy házon belül szakértőkkel átvizsgáltassa a cég fontos "imidzsét" képező weboldalt, mielőtt átvenné, miért nem teszi meg.

( KoGa v | 2010. 05. 04., k – 12:45 )

Csak engem irrital hogy televan a szoveg "a Kurt hackerei" meg "hackeles" kifejezesekkel? Oke hogy qrva nagy divatszo, de pont a hozzaertoket nem hatja meg. Mintha kozepiskolasoknak irtak volna.

( 3xtati | 2010. 05. 05., sze – 08:37 )

Amúgy véleményetek szerint ér valamit ez a képzés? (pl ad valamilyen papírt vagy végzettséget?)
____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux

Szerintem ez csak akkor térülhet meg, hogy ha nem az it bizt szakmában dolgozol, és ezzel valahogy belekerülsz. De még lehet, hogy akkor se.

Egyébként:
- nem a szakmában dolgozol és nem kerülsz be -> pénzkidobás
- a szakmában dolgozol -> akkor meg minek? 1. sokkal olcsóbb módja is van a tudás megszerzésének 2. puccosabb papírokat is lehet ennyi pénzért más tanfolyamon szerezni

Azt tudom elképzelni, hogy a szakmában dolgozol és a céged kifizeti, akkor ok, ők tudják mi kell nekik, az ingyen tamfolyam meg szinte nem lehet olyan rossz, hogy a munkavállaló ne örülne neki :)

Ennyi pénzből simán kijön szinte bármelyik puccos betűszó tanfolyam + vizsga, még lehet hogy 1-2 pótvizsga is :)
Mondjuk a CEH vagy a CISSP vagy CISA. Persze tudom, hogy ezek között igen nagy különbségek vannak és teljesen más dolgok, de ha az a fontos, hogy papír legyen, akkor ezeket szokták szeretni.

Szerintem ha valaki hacker akar lenni, és tényleg érdekli, és van hozzá érzéke - akkor ő már rég az is ;) Hiszen a hozzá szükséges tudásanyag ott van a neten, MINDENKI számára elérhető.

Egy tanfolyamtól senki nem lesz hecker. Hasznos tudásanyagot persze adhat, de olyan, hogy hacker képzés nincs. Ez csak marketing megfogalmazása jópár témakörnek az IT security téren.

Aki meg olyan helyre megy dolgozni IT területen, ahol csak papírok számítanak, az meg is érdemli. Egy gyors felvételi beszélgetésből már kiderül, hogy pénzért vett tanfolyami oklevelet lobogtatsz, vagy tényleg van közöd hozzá.