O etycznym wykorzystaniu narzędzi hakerskich w kształceniu akademickim. O roli tych narzędzi w nowoczesnych strukturach SOC. A także o budowaniu cyberświadomości studentów, rozmawiam z Kamilem Dembowskim, wykładowcą i Zastępcą Dyrektora Centrum Cyberbezpieczeństwa WSIiZ.
Kamil Dembowski – wykładowca w Katedrze Inteligentnych Systemów i Sieci, zastępca dyrektora Centrum Cyberbezpieczeństwa WSIiZ. Związany jest z obszarem cyberbezpieczeństwa, sieci komputerowych i technologii IoT. Jest pasjonatem nowoczesnych technologii z silnym zapleczem dydaktycznym i praktycznym. Od wielu lat łączy rolę wykładowcy, instruktora oraz koordynatora programów edukacyjnych z zakresu IT i cyberbezpieczeństwa na różnych poziomach kształcenia – od studiów inżynierskich po podyplomowe. Cyberbezpieczeństwo i sieci to jego główny obszar specjalizacji. Został uhonorowany tytułem Instructor Excellence Expert, przyznawanym przez Cisco najbardziej zaangażowanym i skutecznym instruktorom na świecie.
Pojęcie „narzędzia hakerskie” często budzi niepokój. Jak definiujesz to pojęcie w kontekście akademickim i czym różni się ono od profesjonalnych narzędzi testerskich wykorzystywanych w cyberbezpieczeństwie?
Kamil Dembowski: Narzędzia hackerskie to narzędzia do badania bezpieczeństwa teleinformatycznego, są dedykowane do tego celu i w sumie nie różnią się od profesjonalnych narzędzi testerskich. W kontekście akademickim jest to narzędzie służące do badania bezpieczeństwa poszczególnych stref systemu informatycznego, użytych w nim rozwiązań technicznych i programowych.
Gdzie w przypadku „narzędzi hakerskich” przebiega granica między ethical hacking a cyberprzestępczością?
KD: Granica przebiega w moralności osoby, która z nich korzysta. Przykładowo: aplikacje, oraz fizyczne narzędzia służące do testowania i pomiaru sieci, mogą również służyć do zbierania informacji, pomocy w preparowaniu fałszywych informacji czy też wykrywania luk w zabezpieczeniach. Nie wycofamy jednak tych narzędzi z rynku, ponieważ bez nich bylibyśmy ślepi w sieci.
Jak uczelnie wyższe powinny uczyć pracy z narzędziami ofensywnymi, by zachować równowagę między realizmem kształcenia a odpowiedzialnością etyczną i prawną?
KD: Właśnie w oparciu o etykę i przepisy prawa. Niestety nie ma innego rozwiązania, ponieważ te same narzędzia mogą służyć zarówno działaniom mającym na celu wzmocnienie bezpieczeństwa, jak i przełamaniu zabezpieczeń. To samo zresztą dotyczy ludzi – mogą być osobami dbającymi o bezpieczeństwo, jak i przestępcami naruszającymi porządek prawny. Dlatego granica między etycznym hackerem a hackerem jest bardzo płynna. Umiejętności mają te same, lecz zależy, jak je wykorzystają.
Jaką rolę w nowoczesnych strukturach SOC (Security Operations Center) odgrywają narzędzia do skanowania podatności, analizy zagrożeń oraz OSINT w kontekście współpracy zespołów red team i blue team?
KD: W obu przypadkach, lecz tylko na zasadzie zdefiniowanej współpracy, narzędzia te są przydatne do analizy ryzyk, użytych narzędzi i oprogramowania oraz sprawdzenia wiedzy pracowników oraz wprowadzenia polityki bezpieczeństwa informacji lub jej aktualizacji.
Czy komercyjne platformy do symulacji ataków, takie jak Cobalt Strike, zmieniają krajobraz cyberzagrożeń i wpływają na ewolucję taktyk stosowanych przez cyberprzestępców?
KD: Cobalt Strike jest narzędziem jednym w wielu – aczkolwiek bardzo popularnym. Traktowałbym je raczej jako punkt wejściowy do świata cyberzagrożeń – tak jak portale Hack The Box czy TryHackMe. Krajobraz i ewolucja taktyk oparta jest o wiele czynników: praktykę, eksperymentalną naturę ludzką, korzyści finansowe, pobudki etyczne lub polityczne, a czasami czysty przypadek. Narzędzia takie jak Cobalt Strike pomagają raczej zrozumieć otaczające nas zagrożenia, bądź uwrażliwiają nas na podatności, więc pośrednio oczywiście odnoszą się do ewolucji tej sfery cyberbezpieczeństwa, jednak wpływa na to bardzo wiele czynników. A na koniec jeszcze taka ciekawostka, kilka lat temu dość głośno było o narzędziu będącym złośliwym wariantem Cobalt Strike o nazwie Geacon, które służyło do wyciągania danych ofiar oraz tworzenia tzw. Backdoorów, jak widać odpowiednio zmodyfikowane środowiska do edukacji mogą w złych rękach stać się również zagrożeniem.
Jakie kompetencje, poza znajomością samych narzędzi, uważasz za kluczowe w kształceniu przyszłych ekspertów ds. cyberbezpieczeństwa, aby potrafili korzystać z nich w sposób odpowiedzialny i zgodny z prawem?
KD: Kluczowe jest interdyscyplinarne podejście do cyberbezpieczeństwa. Nie powinno się go hermetyzować do działań stricte informatycznych, ponieważ to tylko warstwa urządzeń i oprogramowania. Cyberbezpieczeństwo, poza informatyką, bez której nie istnieje, powinno być postrzegane przez pryzmat prawa, socjologii, bezpieczeństwa i etyki, ponieważ dopiero takie podejście do tej specyficznej dyscypliny pozwala w całościowy przegląd zagadnień z nim związanych.
Jakie korzyści z nauki obrony przed atakami hackerskimi mogą wynieść nasi studenci cyberbezpieczeństwa?
KD: Kadra naszego Centrum stara się opierać o trochę niekonwencjonalne podejście do szerzenia świadomości. Poza przekazywaniem teoretycznej i praktycznej wiedzy, często „straszymy” przykładami, paragrafami prawnymi, zmuszając studentów do autorefleksji. Takie podejście pozwala nam na wykształcenie specjalisty etycznego, świadomego i dojrzałego, który zna pełne konsekwencje swoich czynów, ale jest również w stanie zrozumieć skalę problemu z jakim się mierzymy. Cyfryzacja dotyka obecnie każdego aspektu naszego życia, dzięki zdobytej wiedzy student może zacząć postrzegać otaczający nasz świat w odrobinę inny sposób – bardziej świadomy, co pozwoli uchronić siebie samego, swoich bliskich, czy środowisko jakim się otacza ,czy w jakim pracuje.
Na koniec chciałam jeszcze spytać o nowe koła naukowe – NODE, CONECT, AEGIS, które powstały końcem ubiegłego roku. Czy któreś z nich ma coś wspólnego z cyberbezpieczeństwem?
KD: Tak, w szczególności koło AEGIS – które posiada dwie specjalistyczne sekcje “PENTEST” oraz “OSINT”. Samo koło zajmuje się tematyką cyberbezpieczeństwa (nie ograniczamy się tutaj tylko do tematyki ściśle informatycznej), a poszczególne sekcje mają właśnie na celu poszerzenie świadomości w sferze cyberzagrożeń, ataków, czy pozyskiwaniu informacji w sieci. Ważnym jest też zrozumienie konsekwencji prawnych, które dla wielu mogą być często zamazane lub niejasne.
Więcej informacji o nowych kołach naukowych znajdziesz TUTAJ.
Rozmawiała Anna Klee-Bylica, Rzecznik prasowy Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie.
Poznaj naszą ofertę:
