August 8, 2024
Matjaž Murn je sistemski inženir za omrežja in varnost ter certificirani etični heker. Je diplomiran inženir telekomunikacij in ima že več kot 15 let izkušenj v IT industriji, od tega 7 let v podjetju Telprom. Spomladi leta 2024 je uspešno postal certificiran etični heker (CEH) s certifikatom, ki ga podeljuje EC-Council. Gre za enega najbolj znanih certificiranj s področja etičnega hekanja, ki so ga uspešno opravili že trije Telprom sodelavci. V kratkem intervjuju Matjaž z nami deli svoje izkušnje s CEH – od odločitve za opravljanje certifikata do učenja in uporabe pridobljenega znanja pri delu.
.
Matjaž, čestitke za CEH naziv. Povej nam več o certifikatu. Zakaj si se odločil, da ga pridobiš?
CEH pomeni certificiran etični heker, certifikat, ki ga podeljuje EC-Council. Lotil sem se ga na spodbudo našega tehničnega direktorja, Davida Kavčnika, ki je omenjeni certifikat že pridobil.
.
Si imel kakšna vprašanja preden si sprejel končno odločitev?
Ja. Zanimali sta me predvsem dve stvari: kako obsežen je certifikat v smislu, koliko časa in energije mi bo vzel ter kaj točno sem bom naučil.
.
In kaj si ugotovil?
Certifikat je zelo obsežen, saj se dotakne veliko osnov, ki jih mora etični heker poznati. Predelati moraš 3000 strani ‘teorije’ in več kot 2000 strani navodil za t.i. lab-e, ki predstavljajo praktični del.
Kar se tiče časovne komponente, sem potreboval kakšno leto, da sem vse predelal in uspešno opravil izpit. Certifikat sem opravljal poleg redne službe in družinskih obveznosti.
.
Kje si pridobil vse materiale za učenje?
Obstajajo različni paketi, ki omogočajo različne dostope do pripravljalnih gradiv, od osnovnega do Pro in Elite paketa, ki ponuja največ. Jaz sem imel slednega, saj tako pridobiš dostop do vsega, od video vsebin do praktičnih primerov (laboratorija), PDF datotek, vprašalnikov z vzorčnimi vprašanji itd.
Žal skupnost znotraj njihove spletne učilnice ne obstaja, lahko pa se pridružiš posameznim forumom ali Discord skupinam. Jaz se tega nisem posluževal.
.
Je kakšen del, ki ti ni bil najbolj všeč?
Kljub temu, da je certifikat obširen, pa nudi le osnovno znanje, ki samo po sebi ni dovolj za odlično izvajanje penetracijskega testiranja. V veliko primerih so v gradivu predstavljena že zastarela orodja in tehnike. To je tako, kot da se odločiš, da boš dirkal in narediš prvi korak – izpit za avto. CEH je torej zahteven zaradi obsega, ne zaradi težavnosti vsebine.
Glede na to, kako zelo je certifikat priznan, je po mojem mnenju preveč osnoven in bi moral biti razdrobljen na več manjših certifikatov. Zato, da bi bil lažje obvladljiv in bolj podroben.
.
Koliko predznanja potrebuješ, preden se lotiš certifikata?
Čim več, da lažje razumeš, za kaj gre. Se pravi vsaj osnove, ki vključujejo tudi osnove programiranja, strojne opreme, osnovno poznavanje omrežnih protokolov in razumevanje delovanja operacijskih sistemov, domenskega okolja.
Kot strokovnjak za omrežja, mi je bil tako ta del zelo lahek, po drugi strani pa mi je del, ki je vključeval strojno opremo vzel več časa, saj sem moral najprej dobro usvojiti osnove.
.
Kako pa se lahko na primer študent loti osvajanja omenjenih področji za predpripravo na CEH?
Da dobro spozna omrežja, lahko opravi kakšen Cisco certifikat, na primer CCNA. Za operacijske sisteme naj dobro spozna tako Microsoft kot Linux sistem, saj se velika večina pentestov izvaja z orodji v Linuxu.
Kar se tiče programiranja pa lahko spoznajo Python, a ni zelo važno. Jaz sem na primer osnove programiranja dobil 15 let nazaj v srednji šoli, ko smo uporabljali čisto druge programe. Važno je, da razumejo logiko.
.
Kaj pa potem, ko že pridobiš CEH naziv, kaj so pa naslednji možni certifikati?
CEH Master. To postaneš, če poleg CEH uspešno opraviš tudi CEH Practical, torej praktični del.
Obstaja pa tudi malo morje certifikatov s področja penetracijskega testiranja. Med drugim TCM Security ponuja različne certifikate, od osnovnih do naprednih, na dobrih in modernih primerih. Žal še niso zelo poznani.
Ena izmed možnost so Offensive Security, oziroma, OffSec certifikati, kot na primer OSCP. Ti certifikati so težji od CEH. Če narediš OSWE, OSEP in OSED, pridobiš naziv OSCE³. Zaenkrat v Sloveniji po mojih informacijah še ni nikogar s tem nazivom ali pa jih je zelo malo.
.
Kako pa zdaj to uporabljaš pri svojem delu?
Trenutno smo v podjetju trije s CEH certifikatom. V našem oddelku za omrežja in varnost imamo t.i. ‘blue team’ in ‘red team’. ‘Red team’ se ukvarja s penetracijskimi testiranji, torej etičnim hekanjem. Jaz delam v drugi ekipi, ‘blue team’, kjer se ukvarjamo z vzdrževanjem sistemov strank in skrbimo, da je uspešno zaščiten pred hekerji vseh oblik. Etično hekanje tako ni del mojih vsakodnevnih službenih nalog, a mi znanje kljub temu pride prav, saj bolje razumem razmišljanje hekerjev.
Nenazadnje pa gre za enega najbolj poznanih certifikatov s področja etičnega hekanja, ki poleg znanja prinese tudi dobro referenco na trgu in izboljšajo možnosti za karierni razvoj.
.
Preberite še Intervju z Davidom Kavčnikom o tem, kaj počnejo etični hekerji