Kako postati certificiran etični heker

"Hacker" se ni začel kot slaba beseda, ampak se je razvil v eno, zahvaljujoč hekerjem zlonamerne vrste. Kljub temu, da se lahko zdi, da se izraz »etični hacker« zdi oksimoronski, potrdilo o certificiranem etičnem hekerju ni šala.

Certified Ethical Hacker (CEH) je računalniško potrdilo, ki označuje znanje o varnosti omrežja, zlasti pri preprečevanju zlonamernih hekerskih napadov prek preventivnih protiukrepov.

Zlonamerno hekanje je zločin v Združenih državah in večini drugih držav, vendar je za ujetje storilcev kaznivih dejanj potrebno enako tehnično znanje, kot ga imajo hekerji.

O CEH

Pooblastilo CEH je certifikat, ki je nevtralen za prodajalce za strokovnjake za informacijsko tehnologijo, ki se želijo specializirati za zaustavitev in identifikacijo zlonamernih hekerjev z uporabo istega znanja in orodij, ki jih uporabljajo kriminalci.

Že preden je bila uvedena poverilnica, so zasebna podjetja in vladne agencije najemali reformirane zlonamerne hekerje, ker so menili, da je to najboljši način za zavarovanje njihovih omrežij. Pooblastilo CEH to pomeni korak naprej in zahteva, da se tisti, ki ga zaslužijo, pisno dogovorijo, da bodo spoštovali zakon in spoštovali etični kodeks.

Pooblastilo sponzorira Mednarodni svet svetovalcev za e-poslovanje (ES-Svet), strokovna organizacija, ki jo podpira članica. Njen cilj je, glede na njegovo spletno stran, vzpostaviti in ohraniti standarde in poverilnice etičnega hekanja kot poklic in izobraževati strokovnjake za IT in javnost o vlogi in vrednosti teh strokovnjakov.

Poleg certifikacije CEH Svet ES ponuja tudi več drugih certifikatov, ki so pomembni za varnostna omrežja, pa tudi za varno programiranje, e-poslovanje in delo na računalniški forenziki. Stopnje strokovne usposobljenosti segajo od začetne ravni do svetovalca (neodvisnega izvajalca).

Kako postati CEH

Študenti, ki imajo najmanj dve leti delovnih izkušenj v zvezi z varnostjo, lahko zaprosijo za odobritev za opravljanje izpita ES. Tisti, ki nimajo dveh let izkušenj, se bodo morali udeležiti usposabljanja na akreditiranem izobraževalnem centru, prek odobrenega spletnega programa ali na odobreni akademski ustanovi. Te zahteve pripravijo kandidate za izpit in pomagajo pri odkrivanju zlonamernih hekerjev in hobistov.

Od leta 2018 se je cena tečaja za petdnevni certifikacijski tečaj znašala 850 dolarjev. Pristojbina za prijavitelje za tiste, ki želijo obiti tečaj usposabljanja, je bila 100 USD, cena vavčerjev za izpit pa je bila 950 $.

Tečaj

Program usposabljanja CEH pripravlja študente na izpit CEH 312-50. Sestavljen je iz 18 modulov, ki zajemajo 270 napadalnih tehnologij in posnemajo dejanske scenarije v 140 laboratorijih. Tečaj poteka po intenzivnem petdnevnem urniku z osem urnim treningom.

Na koncu je cilj, da so študenti pripravljeni na izpit, poleg tega, da so pripravljeni ravnati s kakršnim koli testiranjem penetracije ali etičnimi scenariji hekanja, ki pridejo v svojo IT varnostno pot.

Izpit

Izpit 312-50 traja štiri ure, obsega 125 vprašanj z več možnimi odgovori in testira kandidate za CEH na naslednjih 18 področjih:

• Uvod v etični vdor
• Odtis in izvidovanje
• Omrežja za skeniranje
• Štetje
• Sistemski vdor
• Grožnje z zlonamerno programsko opremo
• Njuškanje
• Socialni inženiring
• Zavrnitev storitve
• Ugrabitev seje
• Hekiranje spletnih strežnikov
• Hekiranje spletnih aplikacij
• Injekcija SQL
• Hekiranje brezžičnih omrežij
• Hekiranje mobilnih platform
• Izogibanje IDS-ju, požarnim zidom in medpotovkam
• Računalništvo v oblaku
• Kriptografija

Job Outlook

IT varnost je hitro rastoče področje, in ameriški urad za statistiko dela (BLS) načrtuje rast delovnih mest po stopnji 28 odstotkov za desetletje, ki se konča leta 2026. To je veliko več kot 7-odstotna rast delovnih mest, predvidena za vse poklice skupaj. Srednja letna plača za IT varnostne analitike, od leta 2017, je bila približno 95.000 $, glede na BLS.

Hitro iskanje na dejansko kaže, da veliko varnostnih opravil zahteva ali priporoča poverilnico CEH, tako da bodo kandidati, ki jih imajo, bolj tržni.

Večina delovnih mest, ki jih strokovnjaki, ki so kandidati za CEH, izvajajo kandidate prek preverjanj ozadja ali strožjih preiskav varnosti osebja (PSI). Varnostna dovoljenja bodo verjetno potrebna pri vladnih agencijah ali zasebnih podjetjih z vladnimi pogodbami.

Zgodbe o uspehu

Mnoge zgodbe o etičnih hekerjih, ki so odmevne, vključujejo največja tehnološka podjetja. Podjetja, kot so Apple, Google in drugi, bodo izzvali etične hekerje, da bi prekinili svoje varnostne ukrepe, da bi jim pomagali najti slabosti in naredili svoje izdelke varnejše. Pogosto ponujajo veliko denarja vsakomur, ki lahko najde slabost.

V letu 2016 je Nimbus Hosting naštel nekaj najbolj znanih zgodb o uspehu etičnih hekerjev. Med njimi so primeri varnostne ekipe, ki ponuja nagrado vsakomur, ki bi lahko prevzel iPhone ali iPad, in anonimnega hekerja, ki je dobil ime Pinkie Pie, ki je pomagal identificirati napako v Google Chromu. Vsi ti primeri ne vključujejo strokovnjakov, ki sledijo poti certifikacije CEH, vendar pa kažejo na vrednost, ki jo imajo podjetja pri zaposlovanju hekerjev, da bi pomagali okrepiti varnost omrežja.