Kontrowersyjna Szkoła Hakerów

Odkąd ponad rok temu pojawił się na polskim rynku zestaw edukacyjny Szkoła Hakerów określany przez jego wydawcę jako „kurs hackingu bez cenzury”, trwa zagorzała dyskusja między jego przeciwnikami i zwolennikami. Na samym początku, pojawiały się głosy, że zestaw to fikcja – tak wypowiadali się Ci, którzy twierdzili, że hacking to coś w rodzaju wiedzy tajemnej, nie dostępnej zwykłemu śmiertelnikowi. W krytykach przodowali młodzi, samozwańczy „hakerzy”, którym bynajmniej nie podobało się to, że ktoś w prosty i przystępny sposób przedstawia techniki i metody działań hakerów z prawdziwego zdarzenia.

Po pozytywnych recenzjach Szkoły Hakerów na łamach prestiżowego czasopisma „Hakin9”, czy w portalu Hacking.pl, nie można było już mieć wątpliwości zarówno co do istnienia zestawu, jak i jego wartości dla użytkowników. W szczegóły tego, co można znaleźć i czego się nauczyć z zestawu Szkoły Hakerów wnikać nie będziemy – o tym każdy może przeczytać na stronie www.szkolahakerow.pl – postaramy się natomiast odpowiedzieć na pytanie, dlaczego kurs hackingu stał się przedmiotem tak wielu kontrowersji i krytyk.

Jak Szkoła Hakerów wywołała burzę
Nie tyle sam zestaw Szkoły Hakerów budzi prawdziwe kontrowersje, co jego możliwe zastosowania. Niestety takich kontrowersji uniknąć się na da. Szkoła Hakerów to kurs hackingu – zarówno technik ataku, jak i obrony. Hacking to zarówno sztuka tworzenia zabezpieczeń, jak i ich łamania. Nie jest możliwe przedstawienie tych zagadnień osobno. Chcąc zdobyć umiejętności audytowania i „łatania” systemów, trzeba poznać techniki i metody przełamywania zabezpieczeń. W przeciwnym wypadku, nie będziemy w stanie przewidzieć, jakich sposobów użyje „agresor” w celu kompromitacji systemu. Jedyną metodą jest poznanie skutecznych technik przeprowadzania ataku. Ten właśnie element szkolenia (bardzo rozbudowany i kompleksowo przedstawiony) budzi największe kontrowersje. Często w dysputach toczonych na forach czy listach dyskusyjnych padał argument, że Szkoła Hakerów to niebezpieczne narzędzie w niepowołanych rękach. Tego typu argumentacja jest po części trafna. Prezentując techniki przeprowadzania ataków na serwery, witryny internetowe czy metody „podsłuchiwania” ruchu sieciowego, pojawia się ryzyko niewłaściwego wykorzystania tej wiedzy przez użytkownika. Kontrowersje są o tyle duże w tym przypadku, że każdy korzystający z zestawu Szkoła Hakerów dostaje praktyczny instruktarz krok-po-kroku, jak przeprowadzać te ataki. Choć dołączony do zestawu Szkoleniowy System Operacyjny ma na celu umożliwienie „przećwiczenia” ataków bez powodowania szkód, to równie dobrze może on zostać użyty przez nawet niedoświadczoną osobę, jak „baza wypadowa” do przeprowadzania ataków jak najbardziej prawdziwych, oraz szkodliwych. Krytyka jest tym bardziej ostrzejsza, że praktyczne zastosowania technik o których mówi podręcznik, dokładnie (i na przykładach) pokazane są na filmach instruktażowych, które są częścią kursu. Taki sposób przedstawienia zagadnień pozwoli użytkownikowi na przeprowadzenie ataków, nawet bez zrozumienia tego, na czym ataki te polegają.

Ze względu na ogólną ideę szkolenia, autorzy nie mogli zrezygnować z formy „instruktarzu krok-po-kroku” mimo ryzyka, że ktoś je wykorzysta w niewłaściwych celach. Dlaczego? Specjalistyczne publikacje pisane dla programistów, a dotyczące zagadnienia hackingu są już od dawna dostępne i każdy może je zakupić w księgarniach. Twórcom Szkoła Hakerów chodziło o coś innego. Szkoła Hakerów jest szkoleniem dla każdego. Zaczynając od programistów i administratorów którzy chcą zabezpieczyć swoje sieci i aplikacje, a kończąc na osobach, które jedynie chcą zdobyć odpowiedź na pytanie „czym tak naprawdę zajmuje się haker?”.

Szkoła Hakerów dzięki formie zestawu instruktażowego, zadowala wszystkich – mniej lub bardziej - zainteresowanych hackingiem. Wyjaśnijmy to na przykładzie: Lekcja Szkoły Hakerów Jeden z rozdziałów podręcznika opisuje atak umożliwiający „przejęcie kontroli” nad stroną www – popularnym forum dyskusyjnym. Na samym początku, bez przygotowania, użytkownik staje przed kompleksowym i bardzo ogólnym zadaniem: Przeprowadź skuteczny atak na stronę. W „zwykłym” podręczniku IT security, takie zagadnienie byłoby opisane językiem zrozumiałym tylko dla wytrawnych programistów z dużą praktyką. Najpierw podstawy teoretyczne, następnie możliwe scenariusze ataku. W Szkole Hakerów jest dokładnie odwrotnie: przedstawiony jest konkretny, skuteczny scenariusz ataku. Najpierw użytkownik uczy się, jak badać stronę, wyszukiwać słabe punkty. Następnie, krok po kroku, zostają przedstawione techniki wykorzystane do osiągnięcia celu. Atak kończy się przejęciem kontroli nad bazą danych witryny (a przy pewnych konfiguracjach serwera – nad wszystkimi jego zasobami).

Wszystko to oczywiście odbywa się „interaktywnie” - użytkownik nie tylko czyta i ogląda, lecz w trakcie nauki ma okazję sam wypróbować skuteczność prezentowanej techniki. Dzięki tego typu lekcjom, każdy odnosi jakąś korzyść. Zwykły, „ciekawski” czytelnik ma okazję przeprowadzić prawdziwy, hakerski atak – choćby nawet nie chciałoby mu się poświęcić godziny czasu na to, by zrozumieć wszystkie detale tego, co właśnie zrobił. Autorzy nie omijają zagadnień programistycznych – gdy takie się pojawiają, opisują dokładnie i intuicyjnie działanie wykorzystanego oprogramowania i skryptów. Dla leniwych – skrypty są oczywiście dołączone do płyty z systemem i gotowe do wykorzystania, dla mniej leniwych – istnieje możliwość obejrzenia kodu, wprowadzenia własnych poprawek i ulepszeń. Jest też zadanie dla najbardziej ambitnych – tworzenie od podstaw własnych skryptów i exploitów, na podstawie wskazówek zawartych w szkoleniu. Innymi słowy – najpierw przeprowadzamy skuteczny atak, dopiero później poznajemy szczegóły tego, w jaki sposób to zrobiliśmy.

Nauka w ten sposób staje się o wiele prostsza i po prostu ciekawsza. Oczywiście wszystko po to, aby poznać „słabe punkty” używanych przez nas aplikacji oraz metody ich zabezpieczenia przed „włamywaczami”; a sposób najskuteczniejszy – to poznać punk widzenia agresora. Dzięki temu, każdy spośród 22 rozdziałów i filmów instruktażowych stanowi zarówno świetne wprowadzenie do zagadnień hackingu dla początkujących, jak i zbiór praktycznych i pomocnych wskazówek i „trików” dla bardziej zainteresowanych. Wbrew pozorom – nie szkodzi Jest jeszcze jedno ciekawe zjawisko – zjawisko społeczne, można by rzec – o którym warto wspomnieć. Wielu spośród użytkowników zestawu, zakupiło go w celu poznania technik „szkodliwych”: przechwytywania haseł skrzynek e-mail, „włamywania” się na strony internetowe, czy podsłuchiwania rozmów Gadu-Gadu. Już po niedługim czasie okazywało się, że te same osoby zupełnie zmieniają swoje nastawienie – mimo że zdobyły umiejętności, o których wcześniej marzyły, to nie wykorzystują ich niewłaściwie; co więcej – zwracają uwagę użytkownikom z mniejszym stażem na to, że tego typu praktyki są po prostu nieetyczne i „nie-hakerskie”. Wbrew obawom niektórych, odważne przedsięwzięcie Szkoły Hakerów odnosi sukces. Dzięki rzetelnemu i „nieocenzurowanemu” przedstawieniu poszukiwanej przez wielu wiedzy, udało się zaszczepić w użytkownikach postawę etycznego hakera; hakera, który nie szkodzi, lecz ciągle z ciekawością poszukuje wiedzy,nowych umiejętności i rozwiązań.

Zgodnie z intencją autorów szkoleń, które zawiera Szkoła Hakerów, zestaw powinien być traktowany jako kurs z zakresu bezpieczeństwa komputerowego. Przede wszystkim, autorom chodziło o przedstawienie możliwych zagrożeń, oraz skutecznych technik obrony przed nimi.

Szkoła Hakerów - zestaw edukacyjny http://www.szkolahakerow.pl/

Podręcznik: 426 stron, oprawa miękka, ISBN: 83-9237-450-9 Płyty: System (SSO) - LiveCD, Filmy instruktażowe - 217 minut, płyta DVD Wydawca: Wydawnictwo CSH, Kwidzyn