Чтобы узнать ответ на вопрос, содержащийся в названии этой статьи, можно обратиться в действующий при МГТУ им. Н.Э.Баумана центр компьютерного обучения “Специалист”, в котором совсем недавно открылся учебный курс "CEH: этичный хакинг и тестирование на проникновение". Автором курса является американская организация International Council of E-Commerce Consultants (EC-Council), разработавшая его вскоре после террористических атак на США 11 сентября 2001 г. EC-Council заявила, что программа курса Certified Ethical Hacker (СЕН) получила одобрение Минобороны США. В марте этого года вышла уже седьмая версия курса.
Как проинформировал менеджер по развитию бизнеса центра "Специалист" Константин Тюрин, новый курс ориентирован на ИБ-специалистов, и предназначен для того, чтобы ознакомить их с приемами и инструментами злонамеренного хакинга и способами противодействия ему. Вести курс будет Сергей Клевогин, на сегодняшний день единственный в России сертифицированный инструктор по этичному хакингу. Он сообщил, что центр "Специалист" прошел в EC-Council (первым в России) аттестацию на статус авторизованного учебного центра по курсу CEH и собственными силами перевел его на русский язык.
По мнению Сергея Клевогина, новый курс стал самым старшим в иерархии курсов по тематике информационной безопасности в структуре курсов центра "Специалист". Его программа состоит из 19 модулей (по паре занятий на модуль), занимает 40 академических часов. Стоимость обучения на курсе составляет 69 990 руб. Занятия проходят в форме лекций и семинаров. На время занятий слушатели обеспечиваются документацией, программными и аппаратными инструментами. Предоставляемую слушателям курса систематизированную информация, как сообщил Сергей Клевогин, можно либо отыскать (разумеется в не систематизированном виде) в бесплатном открытом доступе, либо купить как авторский материал.
Слушатель курсов получает документ, открывающий допуск к экзамену (платному). Экзаменационная работа содержит 150 вопросов, на ответы дается 4 часа. Для получения сертификата CEH нужно ответить на 70% вопросов. К экзамену можно получить допуск, и не занимаясь на курсе в центре "Специалист". Для этого нужно обратиться непосредственно в организацию EC-Council, заполнить необходимую форму, существенной частью которой является подтверждение (официальным письмом с места работы) того, что претендент на сертификацию проработал не менее двух лет в области защиты информации.
Как сообщил Сергей Клевогин, слушатель, изъявивший желание пройти курс, должен обладать знаниями основных сетевых протоколов и принципов работы сетевой инфраструктуры. Иначе может оказаться так, что деньги за обучение на курсе будут потрачены впустую. Однако, кроме технического уровня подготовки от претендентов в "Специалите" требуют выполнения некоторых организационных обязательств: каждый слушатель должен подписать соглашение о неприменении полученных на курсе навыков в противозаконных целях.
"И "черные", и этичные хакеры используют одни и те же технологии. Но этичного хакера отличает следование двум заповедям: для хакинга ресурса он получает разрешение от владельца и свои действия направляет на защиту ресурса, с которым работает", — пояснил Сергей Клевогин. По его мнению, следует также отличать этичный хакинг от так называемого хактивизма, апологеты которого действуют хотя и с благими намерениями, но с нарушениями приведенных им заповедей.
По мнению ведущего вирусного аналитика "Лаборатория Касперского" Сергея Голованова, открытие "Специалистом" курса по этичному хакингу является интересной, но опасной затеей. "Вопросы хакерства сегодня очень актуальны. Но обычно с людьми, обладающими такими навыками, наша компания борется", — сказал он.
Аналитик в области информационной безопасности Дмитрий Скляров, считает, что такие курсы, безусловно, нужны. Он полагает, что курс найдет своих слушателей, и они будут благодарны за те знания, которые им там дадут. Однако, по его мнению, трудно сказать, как люди, закончившие подобный курс, будут применять свои знания, поэтому слово "этичный" в контексте темы курса использовать наивно. "Знания — сила. Чем больше силы, тем больше возможностей. А куда направить силу, каждый решает сам. К сожалению, в России юридическая культура отстает от технического уровня людей. Они быстро забывают, под какими обязательствами подписывались. Могут забыть и слушатели курсов о том, что обещали не использовать полученные знания во зло. Так пусть хотя бы помнят, что действует уголовный кодекс", — сказал он.
Вспоминая недавнюю историю с трояном Stuxnet, Дмитрий Скляров обратил внимание на еще один аспект. Современное ИТ-сообщество, как он считает, вступило в состояние информационных войн, противником России, в которой, по его мнению, будет, скорее всего, весь мир. "Где-то нужно брать специалистов на ведение этих войн. Курс дает инструментарий для участия в таких противостояниях, хотя в войнах действуют уже иная этика и законы", — констатировал он.