Miért nem bomlanak a cégvezetők a hackerek után?

Írta: IT café
2010-05-18 11:24

A hacker lelkét ki ismeri...

Roppant érdekes cikket tett közzé Keleti Arthur biztonsági szakértő az ITBN (Informatikai Biztonság Napja) honlapján, melyben négy gyakorló hackerrel folytatott beszélgetéseit summázta. Az alábbiakban a szerző jóváhagyásával a szöveg némileg rövidített változatát közöljük.

Keleti Arthur az írás elején igyekszik tisztázni a „hacker” szó lejáratódása miatt néhány éve megjelent „etikus hacker” megnevezés értelmét: „Ha jól csinálják, az etikus hacking olyan, mint az etikátlan (legalábbis szakmailag) csak a végeredmény felhasználását tekintve különböznek. Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja és jó esetben teljességre törekszik. A hackernek ezzel szemben mások a motivációi és ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt igazán. Viszont egyben megegyeznek. Mind a ketten a figyelmünket akarják felhívni rendszereink sérülékenységére.” Ráadásul, véli Keleti, a rosszfiúkat szeretik a nők is.

A megszólaló hackerek – természetesen – nem vállalták személyazonosságukat, ezért kódokkal vannak jelezve (H1, H2, H3, H4), s mindegyikükre jellemző, hogy megbízásra, legálisan (etikus hacking) is dolgoznak a mai napig.

Vajon miért tör be valaki egy informatikai rendszerbe?

H2 szerint ez a kérdés az egyik kulcs a hackerek viselkedésének megértéséhez. A hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek. Miért hagyták nyitva, ha nem lehet bemenni? H1 szerint is minden csak látásmód kérdése. Ha megkérdezzük az embereket, hogy blicceltek-e már a tömegközlekedésen, a legtöbben igennel felelnének. De ha úgy fogalmaznánk, hogy hányan okoztak már üzleti kárt a Budapesti Közlekedési Vállalatnak, akkor már jelentősen csökkenne az igenek száma.

Akkor mégis mi választja el a jót a rossztól? Mondhatnánk, hogy a törvény és a gyakorlat. De ahogyan H1 rámutat, Magyarországon már több évtizede egy „következmények nélküli” állapot van, ami kedvez a hackereknek: „Amikor az egyik haveromat végtelenített telefonkártyával elkapták, komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak mint ő maga, amikor a tőle elvett kártyát eladták másoknak.” Különösen a hacking terén soha nem hallunk feljelentésekről, bűnesetekről és ami talán még ennél is fontosabb nem hallunk retorziókról sem. Ahogy H1 fogalmaz: „…a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele, ahhoz, hogy megnyugodjon.”

H3 a felelősségtudat hiányát, pontosabban annak újraértelmezését tartja fontos kérdésnek. „Tudom, hogy nem szép dolog feltörni egy cég rendszerét, de leszarom. A cégek is pontosan ugyanígy szarnak a biztonságra.” H4 is azon a véleményen van, hogy nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak: „Nem érdekel, hogy egy hacking nyomán kinek mennyit kell dolgozni. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség.”

Gyakran nagyon is tudatos a hacker tevékenysége. Ilyenkor sok esetben az hajtja, hogy megmutassa, mennyire sérülékeny vagy kiszolgáltatott egy rendszer. H3 szerint „ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs”, ez pedig általában felbőszíti a hackert, és piszkálja az igazságérzetét. Ahogy H2 fogalmaz: „Megcsinálják pár forintból a rendszert és drágán eladják”, miközben a valódi szakmai tudást nem fizetik meg a cégek. A hackerek szerint a legtöbb cég bármilyen közeledésükre és szaktudásuk értékbe bocsátására elutasítással reagál és feljelentéssel fenyeget, vagy 1-2 millió forintos megbízásokat dob oda nekik, ami a hackerek körében tovább erősíti azt a megérzést, hogy a valódi biztonsági szaktudásra nem árában költenek a cégek, míg a funkciók megvalósítására nagyságrendekkel többet áldoznak. H3: „Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek el, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól!”

A rossz érzéseket tovább erősíti az, hogy a valódi hackertudás látszatának köpönyegébe bújva sokan állítják ma magukról, hogy értenek a biztonsághoz, legalábbis papírjuk van róla. A srácok maguk közt csak „papírhackerként” hivatkoznak rájuk. H4 szerint ma sok rendszert inkompetens üzemeltetők felügyelnek, és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik.

A „deface” bénaság, módszerek és megközelítések

Milyen módszerekkel dolgoznak a hackerek? Követnek-e bármilyen stratégiát vagy elvet amikor akciókat hajtanak végre? Vajon jó ponton összpontosul-e a biztonsági szakemberek védelemre fordított figyelme, amikor hackerek támadásaira készítik fel egy cég infrastruktúráját?

H4 idézi fel az IRA brightoni bombamerénylete után a brit kormánynak írt levelének egy részletét „…nekünk csak egyszer kell szerencsésnek lennünk. Önöknek mindig.” A biztonságban is ez különbözteti meg a hackert és az üzemeltetőt. „Támadni mindig könnyebb” – teszi hozzá.

A deface (a weboldalak megváltoztatása) megítélésével kapcsolatban H2 elmondta, hogy soha nem tartotta igazán nagy teljesítménynek, ha valaki megváltoztatja egy oldal tartalmát. Vannak olyan webhelyek, ahol napi szinten pontozásos verseny folyik a weboldal deface-ekért, de H2 szerint ez komolytalan. Nem véletlen, hogy a nagyobb „terméssel” kecsegtető banki szférában nagyon ritkán alkalmazzák a hackerek az egyszerűbb defacing-et. Nem lebecsülve a deface politikai vagy figyelemfelhívó lehetőségeit, H2 szerint az ilyesminek akkor van értelme, ha mélyebb szakmai problémákra világít rá. Az ilyen akciók H2 véleménye szerint az üzemeltetők szakmai tekintélyét rombolják, mert el kell ismerniük saját hibáikat. Ugyanakkor a hackerek azzal is tisztában vannak, hogy legtöbb támadásukról a cégek leginkább hallgatnak. H1 megjegyzi: „Jó lenne, ha letagadhatatlan balhék lennének.”

A hackerek számára kifejezetten csemege, amikor olyan rendszerekbe törhetnek be, ahol a nyilvánvaló védelmi igény ellenére nagyon gyenge a biztonság. Ilyenek például a kórházak, ahol az asztaltársaság egybehangzó véleménye szerint a informatikai biztonság az utolsó, amire áldoznak. H3 elmesélte, hogy miként bukkant rá egy kórház tűzfalán futó torrentszerverre, ehhez többen csatlakoztak történeteikkel, egyértelműen állítva, hogy a személyes, betegadatok megszerzéséhez ma alapszintű hackertudás, egyszerű hozzáférés elégséges.

Esetek és tanulságok

Esetek, tanulságok, következmények nélkül

H4 elmesélte, hogy egy bizonyos önkormányzat szervereit hogyan radírozták le, a vezetés miképpen tagadta le a tényeket, és azt is, hogy valóban tudták, ki követte el, mégsem tettek semmit. Aztán mégis feljelentés született, erre a megvádoltak is feljelentették vádlóikat, és az eset innentől fogva amolyan hazai szitkomként laposodott bele a magyar valóságba, valódi következmények nélkül.

H2 egy másik történetében egy nyelvi akkreditációval foglalkozó szervezet rendszergazdája annyira rosszul végezte a dolgát, hogy a levelezőszerverük a világ több nagy spammerlistájára felkerült, ezáltal szép számmal gyűjtött be kitiltásokat, black list jegyzéseket is. Egy idő után már csak akkor lehetett levelezni, amikor a rendszergazda beérkezett a munkahelyére, és bekapcsolta a levelezőszervert(!). A hanyag gyakorlatnak végül az vetett végett, hogy a szervezet webszerverének online játékokra való felhasználását már a vezetőség sem nézte jó szemmel.

„Egy ismert nagy üdítőipari vállalatot figyelmeztette a másik ismert nagy üdítőipari vállalat, hogy egy bizonyos kollégájuk értékes adatokat akar nekik értékesíteni” – meséli H1. A vizsgálódás során egy kifejezetten MS Outlookra kihegyezett trójai program felhasználásával kiderült, hogy az inkriminált személy és a „jóindulatúlag” figyelmeztető cég már régebben kapcsolatban álltak, és az adatlopás már jóval ez előtt lezajlott. Amikor a cég figyelmeztette a másikat valójában csak elfedni akarta korábbi akcióját.

Az ipari kémkedés történeteihez csatlakozva H2 állítja, hogy amikor egy fizikai biztonsági cégnél dolgozott kapott olyan megkereséseket, amelyek tárgya az a cég bizalmas adatbázisainak megvétele lett volna. Nem élt a lehetőséggel.

Miért szorul háttérbe a biztonság? Hol hibázik a védelem?

A hackerek véleménye egyértelműen az, hogy a védelemért felelős szakemberek ma alulértékeltek, mind anyagilag, mind szakmailag. Az álvédelemnek és a papírpajzsoknak köszönhetően a legtöbb cég felső vezetése biztonságban érzi magát, de ez egy kétes alapokon nyugvó biztonságérzet. H4 mosolyogva meséli, hogy valamelyik elvégzett legal hacking munkája után megkérték, hogy oldja meg, hogy a riportot mindenképpen egy CISA-végzettségű kolléga írja alá, mert a vezetés úgy gondolta, hogy ettől lesz majd műszaki szempontból is megalapozott, miközben minden szakember tudja, hogy az auditor és a hacker a skála két ellentétes szélén szokott dolgozni.

A hackerek körében a szakmaiságon mindig nagy volt a hangsúly, szakmai profizmusukat, IT-biztonságra specializálódott vájt fülüket tartják ma is egyetemleges ismertetőjelüknek.

A védelem másik aspektusa a már létező biztonsági elemek hatásfoka. H3 szerint a jelenlegi vírusvédelmi technológiák kezdenek elavultak lenni: „A mai vírusirtók ritkán találnak komoly dolgokat. Egyedi vírussal szemben általában tehetetlenek” – állítja. H2 folytatja a gondolatot kiemelve, hogy a biztonsági termékek jó része sajnos csak PDF-ben létező funkciókat támogat, ezek a valóságban nem működnek hatékonyan.

H1 kiemeli, hogy a rossz ellenőrzési, auditori gyakorlat is káros lehet. Az auditorok részéről hiányosságként hozza fel, hogy nincs valódi szakmai tapasztalatuk, és a legtöbb esetben rossz irányból közelíthetik meg az IT-biztonság mély szakmai kérdéseit. Ebből általában rossz becslések születnek, ami félreviszi a védekezésre szánt költségeket, amit aztán rossz helyen és más elemekre költenek el, mint kellene. Ezt a hackerek kívülről is jól látják és ezzel csak nő a késztetésük, hogy bebizonyítsák az adott rendszer gyengeségeit.

H1 szerint a védelmet gyengítő trend még az is, hogy a fejlesztők szinte teljesen negligálják a biztonsági elemek beépítését az új alkalmazásokba. Ennek hátteréről keveset szóltak beszélgetőpartnereim, de a témát egyhangúlag az IT-biztonság egyik fundementális problémájaként azonosították.

A teljes cikk szerzője: Keleti Arthur

Azóta történt

A hacker dilemmája

Adrian Lamo feladta a hatalmat kompromittáló adatok kiszivárogtatóját, ám ezzel a tettével nagyon nehezen képes csak megbirkózni.

Társadalom 2010-06-08 43
Újdonságok a hatodik ITBN-en

IT-biztonsági díjat és előadásokra szóló pályázati lehetőséget hirdetett meg az ITBN 2010-re.

Biztonság 2010-06-09 0
Már az FBI is vizsgálódik az iPad-botrány ügyében

Szerencsére nem számítható a legsúlyosabb biztonsági incidensek közé az e-mail címek kiszivárgása, de az Apple és az AT&T viszonyát tovább ronthatja, emellett a felhasználói bizalmat is csökkentheti.

Biztonság 2010-06-11 33
„Az Apple iPad platformja egyszerűen nem biztonságos”

Az AT&T a hackereket hibáztatja, ám ők visszavágtak, és egy újabb sérülékenységgel jöttek elő, mely már az Apple-t is érinti.

Biztonság 2010-06-15 49

Előzmények

Csatlakoznál az etikus hacker elithez?

Tanulj a szakma nagy neveitől!

Promo 2010-05-03 0
Felnőtt korszakába lépett a magyar hackervilág

Az idei Ethical Hacking megmutatta, hogy e szakterületen nem vagyunk rosszabbak másoknál, és azt is, hogy a közösség nagy erő.

Biztonság 2010-05-03 4
Kétnapos lesz az idei ITBN

Változatlan helyszínen, de több és hosszabb előadással jelentkezik 2010-ben az IT-biztonsági konferencia.

Biztonság 2010-03-01 1
Népi hős lett az adóhivatalt megtámadó hacker

A lettországi válság következményeit kihasználó hacker(csoport) azzal igyekszik a társadalmi változások szereplője lenni, hogy bizalmas adatokat hoznak nyilvánosságra.

Társadalom 2010-02-25 22

Percről percre

xDefiant teszt

gp A Ubisoft évek óta készül arra, hogy belépjen a gyors iramú hero shooterek piacára is: sok félbehagyott rivális és megannyi halasztás után megjelent végre a fura nevű xDefiant.

Fekete misztikum: DeepCool Mystique 360 vízhűtés

ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.

Mullet MadJack teszt

gp A Hammer95 első játékában a mesterséges intelligencia találkozik a szintipoppal, a 80-as évek hajviseletével, és rengeteg vérontással.

Nubia Neo 5G - olcsó játék

ma Van-e esélye a legolcsóbb gaming telefonnak a piacon közel egy év késéssel?

SaGa: Emerald Beyond teszt

gp A Square Enix üzleti modellt vált: ezentúl csak a hatalmas költségvetésű megajátékokkal foglalkoznak. Talán az utolsó kivételt az Emerald Beyond jelenti, ez a kiismerhetetlenségétől nagyszerű RPG.

Állásajánlatok

Full Stack Developer Diákmunka

Cég: Ozeki Kft.

Város: Debrecen

Részletek

Diákmunka junior fejlesztő

Cég: Ozeki Kft.

Város: Debrecen

Részletek

Aktív témák