Xakep #305. Многошаговые SQL-инъекции
Как сообщило в
понедельник агентство Associated Press, в Нью-Йорке
прошел очередной курс обучения в "хакерской
школе" компании Foundstone(Foundstone’s
hacking school). В процессе обучения студентов
школы учат взламывать компьютеры с тем,
чтобы потом они могли грамотно выстроить
защиту компьютерных систем своих компаний.
Как считают эксперты,
сейчас не существует простого программного
решения для защиты данных в Интернете.
Семинары, подобные тем, какой прошел в
Фаундстоуне, исповедуют философию, которая
может быть сформулирована таким образом: «Если
ты хочешь победить их – стань таким, как они».
В семинаре приняли
участие 31 специалист по компьютерной
безопасности, которые хотели повысить
уровень своей подготовки. Такие семинары
проходят дважды в месяц и стоят 3500 за трех-
или четырехдневный курс для одного
студента. С марта, когда начались
регулярные семинары, курс хакинга прошли
уже около 300 студентов.
В программе занятий –
тренинги на модели компьютерной сети.
Студенты учатся определять порты открытого
доступа, находить и использовать известные
«дыры» в программном обеспечении,
подбирать пароли доступа с высоким уровнем
привилегий, похищать файлы паролей с чужой
машины и расшифровывать пароли с помощью
соответствующего программного обеспечения.
Также студентов учат обходить программное
обеспечение, которое призвано отслеживать
подобные действия.
Также студенты учатся
закрывать «дыры» в программном обеспечении,
правильно выбирать пароли для доступа к тем
или иным ресурсам, отслеживать появление
хакеров на своих машинах и нейтрализовывать
их воздействие.
По мнению устроителей
семинаров, ни один программный продукт сам
по себе не может предотвратить все попытки
взлома системы. Одной из причин этого
является тот факт, что хакеры все время
выдумывают что-нибудь новенькое, а
отслеживающее и защитное программное
обеспечение не успевает за взлетами мысли
взломщиков. Поэтому системным
администраторам очень важно уметь ставить
себя на место хакера, мыслить в том же ключе
и, таким образом, более точно применять
имеющиеся средства защиты или
разрабатывать новые.
Подобные семинары
проходят также в других учебных заведениях
и компаниях. Так, например, Internet Security Systems of
Atlanta провела в Европе несколько семинаров
“Ethical Hacking” и планирует устроить их и для
американских специалистов.