W warsztatach organizowanych przez Sotware Konferencje uczestniczą głównie - jak twierdzi Andrzej Chłodziński - szefowie działów IT z dużych firm: banków, towarzystw ubezpieczeniowych, przedsiębiorstw energetycznych czy operatorów telekomunikacyjnych, dla których sprawy bezpieczeństwa zasobów informacyjnych mają strategiczne znaczenie. "Chcą wiedzieć na jakie niebezpieczeństwa może być narażony ich system i jakimi metodami można najskuteczniej im zapobiegać" - twierdzi Andrzej Chłodziński. Jego zdaniem wiedza zdobyta na tego typu zajęciach pozwala na lepszą, dokładniejszą ocenę rozwiązań proponowanych przez działające na rynku firmy komputerowe. "Szef działu IT jest bardziej świadomy plusów i minusów oferowanych programów czy urządzeń, wie, na co zwracać większą uwagę w funkcjonowaniu wykorzystywanego oprogramowania, o co pytać firmy oferujące zabezpieczenia, na ile wierzyć ich zapewnieniom i argumentom" - mówi Andrzej Chłodziński.

Przeciwnicy tego rodzaju szkoleń wytaczają ciężkie armaty, stawiając pytanie, czy nie byłoby dziwne, gdyby legalnie działająca firma reklamowała się, że organizuje kurs skutecznych technik włamywania się do mieszkań czy samochodów. Jeszcze więcej wątpliwości budzi nauczanie pisania takich narzędzi, w szczególności wirusów komputerowych. Czy do zwalczania ospy rzeczywiście trzeba uczyć się sposobów tworzenia nowego, bardziej śmiertelnego wirusa tej choroby?

Takie dramatyczne porównania można mnożyć. Jednak nie przemawiają one do osób popierających tego rodzaju szkolenia, bowiem ich zdaniem porównuje się tutaj obszary zupełnie do siebie nieprzystające, zaś chwytliwa analogia jest całkowicie fałszywa. Czy rzeczywiście?

Hakerski marketing

Mirosław Maj, kierownik CERT Polska, zwraca uwagę na pewien ważny aspekt zagadnienia. "Zupełnie inaczej podchodzi się do ataku na system komputerowy niż do jego obrony. Hakera interesuje jedynie znalezienie jednej «dziury» w systemie, administrator musi znać wszystkie. W obu przypadkach myślenie idzie w dwóch różnych kierunkach" - wyjaśnia Mirosław Maj. Jego zdaniem różnica ma również charakter technologiczny - do obrony używa się zupełnie innych narzędzi niż do ataku. Poza tym obrona jest trudniejsza niż atak, gdyż do jego przeprowadzenia wystarczy użyć tylko jednego, gotowego narzędzia, zaś zapewnienie bezpieczeństwa wymaga przewidywania wielu możliwych wariantów.

Nie jest przekonująca, w opinii Mirosława Maja, argumentacja, że znajomość narzędzi hakerskich może posłużyć do symulowania ataków na własny system. "Narzędzi hakerskich jest cała masa i trudno znać je wszystkie. Myślenie o ochronie systemu musi bazować na szerokiej znajomości mechanizmów jego funkcjonowania" - twierdzi Mirosław Maj. Uważa on, że popularność kursów poświęconych technikom ataków na systemy komputerowe jest efektem gloryfikacji wizerunku hakera jako superspecjalisty od komputerów, tego, kto posiada ogromną wiedzę z tej dziedziny. Firmy szkoleniowe wykorzystują tę sytuację dla celów marketingowych. Traci się jednak w ten sposób moralne wyczucie, co jest działaniem niedozwolonym. "Młodzi ludzie nie mają potem żadnych oporów moralnych przed włamaniem się do czyjegoś systemu" - ocenia Mirosław Maj.

Negatywnie o tego typu inicjatywach wypowiadał się kilka miesięcy temu na łamach Computerworld Robert Kośla, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. Jego zdaniem organizowanie takich szkoleń nie prowadzi do zwiększenia poziomu wiedzy w zakresie zabezpieczeń. "To typowo komercyjne działanie nastawione na żądnych wrażeń młodocianych włamywaczy, dla których ochrona systemów teleinformatycznych jest zadaniem przewyższającym ich umiejętności - nie od dziś wiadomo że łatwiej niszczyć niż chronić. Na szczęście poziom merytoryczny tzw. warsztatów jest na tyle niski, a cena na tyle wysoka, że nie powinny być uznawane za ogólnie dostępny specjalistyczny kurs dla hakerów" - twierdził Robert Kośla.