Lærer elevene å skrive virus

[Vipera]

Tror 98% minst av alle studenter innen programmering og datasikkerhet IKKE ender opp som kriminelle.

 

Tja, vil heller si at 98& av de faktisk ender opp som kriminelle. Tror nok det er en så stort prosent del av dem som laster ned ulovelig programvare/film/spill

Litt OT men

[jorgis]

Dette gir jeg en kjempestor tommel opp til, datasikkerhet er det absolutt alt for lite fokus på i høyere utdanning. Det er f.eks. fullt mulig her i Norge å ta en mastergrad innen Informatikk uten å snuble innom datasikkerhet i det hele tatt. Hadde UiB hatt et slikt kurs ville jeg meldt meg på med en gang, dette virker som veldig nyttig og spennende kunnskap.

[QBab]

Har selv "nesten" vert igjennom samme opplegget. Har aldri lært så mye om datasikkerhet som jeg gjorde da.

[Entropi]

Stemmer! En ekskriminell som har blitt lovlydig kan bli den perfekte politimann

 

Dette må du gjerne utdype litt mer. Mener du at man kan stole mer på en person som historisk sett har utvist svært dårlig dømmekraft? Eller hva med ofre for kriminelle handlinger som potensielt er nødt til å forholde seg til gjerningsmannen som politi?

 

Dette er noe av grunnen til at AV-firmaer aldri ansetter folk som har skrevet malware. Det er sikkert et og annet firma som reklamerer med "sikkerhet" som ansetter tidligere kriminelle, men jeg stoler ikke mye på dem hvis de har ekskriminelle til å sikre mitt system.

 

Dersom man tror at man må skrive malware for å forstå datasikkerhet og dens utfordringer, har man vel i utgangspunktet vist at man ikke forstår så mye av temaet selv. Det er synd, men "kulhetsfaktoren" i å skrive malware virker å være høyere i enkelte kretser enn å skrive sikre programmer. Det siste krever vel alt for mye arbeid og innsikt, tenker jeg.

[CrZy_T]

feil at de bruker skolen og andre studenter som testkaniner.

Du mener de andre elevene som også mekker mølvare? Hvilen del av lukket nettverk var det du ikke forsto?

 

Fjo, hjelper å lese alle ordene i artikkelen

[Kenny Bones]

Tror 98% minst av alle studenter innen programmering og datasikkerhet IKKE ender opp som kriminelle.

 

Tja, vil heller si at 98& av de faktisk ender opp som kriminelle. Tror nok det er en så stort prosent del av dem som laster ned ulovelig programvare/film/spill

Litt OT men

 

Nå er det jo ikke snakk om en filleting som nedlasting heller da. Det er snakk om hacking, cracking og produsering av virus/malware og spyware. Er en ganske så stor forskjell.

[Simen1]

Allikevel får han sterk kritikk for sin praksis, og enkelte sikkerhetsselskaper har sagt at de ikke vil ansette hans studenter.

Fortell hva selskapene heter så vi vet hvilke merker vi skal unngå å kjøpe sikkerhetsprodukter fra.

[Rizzla]

Er selvsagt stor sjanse for at noen av elevene på denne skolen vil bruke denne kunnskapen som de skaffer seg på uærlig vis. Likevel ønsker jeg slikt velkommen. Dette kommer på sikt til å bedre datasikkerheten for folk flest.

[Tøffe-Tetra]

trur de som er interiserte i å lage virus kan klare det fett på egenhånd, uten å lære det på skolen. jeg ser på dette som brannmenn som setter igang en brann for så å lære å slukke den.

Selv om de lærer å sette igang eksplosive branner betyr det ikke at de blir brannstiftere.

[Dahl]

Allikevel får han sterk kritikk for sin praksis, og enkelte sikkerhetsselskaper har sagt at de ikke vil ansette hans studenter.

Fortell hva selskapene heter så vi vet hvilke merker vi skal unngå å kjøpe sikkerhetsprodukter fra.

Meget godt poeng! Jeg skal undersøke litt.

[Entropi]

Først må jeg si at jeg ikke mot at folk skal lære seg datasikkerhet. Det er for få programmerere som kan noe som helst om å skrive sikker kode og det er for få systemadministratorer som kjenner mulige sårbarheter i sine systemer. Man kan ikke forvente at enhver hjemmebruker kjenner til alle sårbarheter som eksisterer i all programvaren den bruker, dette er derfor et ansvar som påligger programmererne.

 

Jeg skjønner poenget til George Ledin, at studentene skal kjenne til sårbarheter ved å selv utnytte de og på den måten bli bevisst på dem. Jeg kjenner ikke til pensumet i hans kurs, men slik det er fremlagt i denne artikkelen og i andre media, ser det ut til at han aktivt bruker det faktum at de lager egen ondsinnet kode som en salgsgimmikk overfor evt. nye studenter. Hvilke elementer er det han prøver å trekke til seg med en slik reklame? De beste? Tror ikke det. De som synes det høres kult ut å lære å lage malware? Sjansen er nok større for at det er en overvekt av disse som søker. Grunnen til dette er at om man har en grunnleggende forståelse av HW og SW arkitekturen i et gitt programmiljø (dvs. maskinarkitekturen, OSet med tilhørende biblioteker og objektformat) samt en kjent sårbarhet, er det trivielt å lage et program for å utnytte denne. Noe vanskeligere er det å finne selve sårbarheten, og da har man allerede skjønt hvordan malware utnytter sårbarhetene. Det gir dermed ingen læringsverdi å lage malware. Det er f.eks. i kunnskapen om hvordan sikkerhetshull blir funnet og man ser etter at den virkelige læringen innen datasikkerhet på dette nivået har verdi. Ikke å bruke tid på å lage et eller annet trivielt 50-linjers c-program. Det er nyttig å se på hvordan f.eks. en keylogger virker, men det er gjerne kun en systemkrok som er viktig i det tilfellet, og da er det litt bortkastet tid å bruke en uke eller to på å reimplementere denne ene kroken. Da er det faktisk bedre å se på keyloggeren og prøve å implementere et program for å f.eks. oppdage og hindre keyloggeren. Dette ligger det litt mer læring i.

 

Det eneste som er kjipt, sånn bortsett fra at studentene ikke lærer så mye om datasikkerhet som de burde, er at man risikerer 20 nye versjoner av en eller annen malware for hvert semester kurset går. Det høres ikke mye ut, tatt i betraktning at det dukker flersifrede antall varianter av malware hver dag, men jeg er fortsatt ikke komfortabel med at et universitet potensielt sprer malware på den måten.

 

Datasikkerhetsfirma lever gjerne av kundens tillit, på samme måte som banker gjør det. Jeg ville ikke stolt på en bank som aktivt ansatte svindlere til å passe på pengene mine. På samme måte er jeg ikke helt komfortabel med firma som påstår at de driver med "datasikkerhet" som ansetter folk som med viten og vilje har påført andre store frustrasjoner og tap. I tilfellet med studentene er det ikke grunnlag for å påstå at de har påført noen tap, men i prinsippet er de malwareskapere. For noen som lever av tillit er det dumt å gamble med denne når det finnes like gode, om ikke bedre, kandidater fra andre høyskoler og universiteter.

[Tåkefyrste]

Ser ikke problemet med at de lærer seg å skrive farlige programmer hvis det kan føre til noe godt. At de kan det betyr ikke at de kommer til å bruke det på en negativ måte.

Det blir jo vanlig etikk og moral. Alle mennesker kan slå ned mannen i gata eller stjele fra en butikk, men betyr det at alle gjør det?

[DarkSlayer]

Stemmer! En ekskriminell som har blitt lovlydig kan bli den perfekte politimann

 

Dette må du gjerne utdype litt mer. Mener du at man kan stole mer på en person som historisk sett har utvist svært dårlig dømmekraft? Eller hva med ofre for kriminelle handlinger som potensielt er nødt til å forholde seg til gjerningsmannen som politi?

 

Dette er noe av grunnen til at AV-firmaer aldri ansetter folk som har skrevet malware. Det er sikkert et og annet firma som reklamerer med "sikkerhet" som ansetter tidligere kriminelle, men jeg stoler ikke mye på dem hvis de har ekskriminelle til å sikre mitt system.

 

Dersom man tror at man må skrive malware for å forstå datasikkerhet og dens utfordringer, har man vel i utgangspunktet vist at man ikke forstår så mye av temaet selv. Det er synd, men "kulhetsfaktoren" i å skrive malware virker å være høyere i enkelte kretser enn å skrive sikre programmer. Det siste krever vel alt for mye arbeid og innsikt, tenker jeg.

Kunne også quoted ditt siste MEGA innlegg...

 

Tror du misforstår og bommer grovt.

 

Jeg jobber som programmerer. Kan du fortelle meg hvordan man skriver sikker kode + hvordan jeg skal teste at koden min er sikker? Hvordan finner man sikkerhetshull?

 

Kunnskap om å lage sikker kode krever kunnskap om svakheter. De fleste som har kodet litt her på hw.no har gjort det i php (jamfør antall poster i php delen). SQL injections burde dermed være et kjent emne. Jeg sier ikke at du må skrive virus for å lære hva dette er, men det vil være en større verdi for deg som programmerer å ha gjort et seriøst stykke arbeid med å hacke på den måten.

 

Det å programmere sikkert er ikke en enkel sak. De fleste som jobber med nettverks-applikasjoner har faktisk dårlige kunnskaper om hvordan nettverk/web fungerer. Dette fordi vi idag har så kule rammeverk og verktøy for altmuligrart at man slipper lett unna å tenke på slikt. En annen ting er at det tar jævli lang tid å sikre en applikasjon mot alskens faenskap - at det blir satans dyrt uten å gi et rødt øre tilbake. Så det droppes over en lav sko.

 

Disse studentene sitter ikke og pønsker ut malware. De har programmeringsoppgaver for at de skal bli bedre til å kode, for kun 0,0003% av studenter i verden er dyktige programmerere ved bachelor/master grad. Studentene er søppel, men med potensiale. De får oppgaver i å eksperimentere med sikkerhetshull for å lære om hullene, og føle i fingrene på hvordan ting funker. Det er genialt, motiverende, og direkte relevant. Noen ganger er det å se/gjøre en bedre læringsmåte enn lese om/høre om. Alle kan pugge tekst, men få kan replikere det puggede.

 

Politiet lærer jo alle skurketriksene, og bann på at de utfører en hel bønsj bare for å se resultatet. Hallo, hvordan best lage en crime-scene??? Make one.

 

Tror både politifolka og programmerer ikke lærer om teknikker som ikke er kjente, for det er langt over hode på en fersk konstabel og programmerer. Noe annet er naivt å tro. En fersk konstabel/programmerer - er forferdelig ferske selv med all kunnskap som er proppet inn i hodet dems. Ingen blir eksperter etter en utdanning. Selv elite studenter i whatever suger mot proffe som kan alt det gamle rælet og som sitter 60t uka på bleeding-edge.

 

Utdannelse er for å få deg opp og frem et stykke. Selv proffe mafia hackere i russland er neppe nyutdannede studenter. Det er folk med brutal mengde kunnskap som universitet antagelig knapt kan dekke 1% av.

[Titanic]

Hvis programmeringsstudenter på universiteter, som er den høyeste kunnskapsinstituasjonen som finnes, ikke skal få lære å lage enkle datavirus slik at de skjønner hvordan de fungerer, så ville jeg ikke følt meg veldig trygg hvis de skulle lage sikkerhetssystemer som sikret pengene mine i nettbanken min.