Нещодавно студенти кафедри захисту інформації Інституту комп’ютерних технологій, автоматики та метрології взяли участь у курсі підвищення кваліфікації з етичного хакінгу в Університеті Нортумбрії в місті Ньюкасл-апон-Тайн, що у Великій Британії. Курс відбувався в межах гранту, наданого НАТО, і тривав тиждень.
Цей час студенти провели з користю, здобуваючи нові знання й досвід, а також продемонстрували свою компетентність і вміння. Вони перевірили систему безпеки університету на наявність недоліків, успішно виявили неочікувані проблеми та надали звіт ЗВО. Після завершення курсу студенти зустрілися з ректоркою Наталією Шаховською й обговорили важливі питання.
Студент 4-го курсу Олексій Грушковський, який навчається за спеціальністю «Кіберзахист» і брав участь в освітньому курсі, розповідає, що етичний хакінг — це один із засобів забезпечення безпеки на об’єктах, підприємствах і у приватних установах. Суть його полягає в тому, щоб фокусуватися на вибудовуванні захисту від того, чим його можна зламати.
— Умовно кажучи, це те саме, якби ти думав, як захистити будинок, але з погляду людини, що хоче його зламати, — пояснює Олексій. — Тому етичний хакінг — це, по суті, звичайний хакінг, але в умовлених межах, з певним регламентом і визначеними можливостями. Спочатку ви обговорюєте, як можете «ламати» зацікавлену сторону, погоджуєте терміни й таке інше. А в межах заданих термінів і обсягу роботи даєте готовий звіт про те, які вразливості в системі знайшли і як їх можна виправити.
У межах гранту в курсі брали участь як викладачі, так і студенти. Як розповідає Марта Мазуркевич, студентка 5-го курсу спеціальності «Кіберзахист», іноземні студенти Університету Нортумбрії вже були випускниками й виступали в ролі викладачів. Вони проводили навчання, читали по одній-дві лекції, а також консультували в разі запитань, пов’язаних із лекційною частиною.
Говорячи про особливості навчання в іноземному університеті, Марта зазначає, що за один навчальний день там викладають значно більше матеріалу, ніж у нас, і проводять багато практики, що дуже тішило студентів.
Олексій ділиться, що найбільше в Британії йому сподобався формат практичних занять:
— Це передусім наявність кіберлабораторії, багато комп’ютерів із різним обладнанням, на якому ти опрацьовуєш те, що дізнався буквально десять хвилин тому. Оця «свіжість» — коли ти щось дізнався і вже це робиш — насправді дуже поліпшує навчання. Зручно, коли поруч є люди, які можуть допомогти, адже щойно це виклали. Була також група викладачів і студентів, які допомагали, якщо в когось виникали проблеми, — це теж сприяло кращому засвоєнню матеріалу. Корисним було й те, що ми побачили інший підхід до навчання: поглянути на те, що ти вже робив, під іншим кутом — це цікаво для нас як майбутніх аспірантів чи викладачів і важливий етап розвитку.
Марта вважає дуже важливим створення кіберлабораторії в університеті:
— Наприклад, для кібербезпеки потрібна певна лабораторія з великою кількістю комп’ютерів. Якщо студент чогось не знає і в нього немає ноутбука, а вдома лише персональний комп’ютер, йому доводиться просити когось завантажити віртуальні машини чи потрібне програмне забезпечення. Тож він просить іншого студента допомогти йому, а тоді вже демонструє викладачеві, щоб той допоміг щось виправити. Це трохи гальмує процес навчання. А лабораторія може дуже цьому посприяти: ти прийшов, сів, зробив. Не знаєш чогось — просто йдеш до сусідньої аудиторії, стукаєш і кажеш викладачеві: «Підійдіть, будь ласка, допоможіть». Він підходить і допомагає — це набагато швидше. І з такою практикою можна швидше здобути кращий досвід.
На початку курсу учасникам продемонстрували систему безпеки кіберклініки університету — трьох з’єднаних кіберлабораторій на одному поверсі. Викладачі запевнили, що їхня кіберклініка відділена та ізольована від інших мереж, але Олексій виявив, що це не зовсім так:
— Нам сказали, що ми не можемо нікуди дістатися й нічого зробити, і всім дали однакові логін і пароль. Я подумав: якщо в нас однакові дані для входу, подивлюся, чи немає віддалених сервісів, адже у Windows є кілька, які дозволять віддалений доступ. Відповідно, знаючи логін і пароль, я спробував перевірити, чи можу зайти на якийсь інший комп’ютер. Я обрав випадкову IP-адресу, ввів дані — і зайшов на інший комп’ютер. Це вже було першою ознакою, що щось не так. Тоді я перевірив, чи можу закинути на нього якийсь файл, і виявив, що можу, бо мав повний доступ до комп’ютера, включно з адміністративними правами. Ну а потім я просто перевірив свої можливості — скільки в мене комп’ютерів. Виявилося, що йдеться не тільки про три лабораторії — я отримав доступ до робочих столів цілого поверху і на поверх вище та нижче, якщо вони ввімкнені. Там не було насправді так безпечно, як нам казали. Коли ми доповідали, були докази того, що ми справді зайшли на інший поверх.
Як зазначає Марта, усі дії Олексія були в межах етичного хакінгу:
— Усе це було на дозволених правах, а також ішлося про те, щоб Олексій сам прийшов і, можливо, спробував знайти більше вразливостей. Водночас у британському університеті повідомили, що для таких дій треба заповнити багато документації, а оскільки ми були там всього тиждень, часу впоратися з таким обсягом бюрократичної роботи не було.
Те, що зробив Олексій, було обговорене й погоджене в усній формі з представником Університету Нортумбрії. Студент не виходив за межі дозволеного, а після виконаної роботи доповів і обговорив із представниками університету все, що виявив.
Найцікавішим днем курсу учасники називають останній. На лекціях вони сповна сконцентрувалися на етичному хакінгу та дізналися багато справді нового.
Після повернення студентів з університету Нортумбрії ректорка Національного університету «Львівська політехніка» Наталія Шаховська провела зустріч, на якій вони обговорили здобутий досвід і можливості поліпшення навчання безпосередньо в нашому університеті.
Метою зустрічі було почути від студентів про нові підходи до освітнього процесу й те, як він відбувається в інших університетах, зокрема в європейських. Також обговорили сильні сторони освіти в Україні й Англії, можливості інтеграції якісних нововведень у нашу освіту та підкреслили те, що вже добре працює.
Студентка п’ятого курсу спеціальності «Кібербезпека» Тетяна Коротюкова, яка також брала участь у курсі підвищення кваліфікації, наголосила, що на зустрічі ректорка дала зрозуміти, що хоче допомогти студентам:
— Ми показали їй, чого прагнемо, яких можливостей та змін, і вона стверджувала, що дуже хоче це впровадити.
На зустрічі також порушили тему вдосконалення кафедри захисту інформації. Студенти ділилися думками, як можна поліпшити досвід навчання, а ректорка вислухала їх і запевнила, що зробить усе можливе, щоб наблизити вирішення висвітлених проблем.
Наталія Богданівна додала, що разом зі студентами прагне рухатися до кращого: вдосконалювати систему освіти, поліпшувати матеріальне забезпечення, розширювати для студентів можливості практики та інтегрувати їхній досвід у нашу освітню систему.
