Miért nem bomlanak a cégvezetők a hackerek után?

A hacker lelkét ki ismeri...


Roppant érdekes cikket tett közzé Keleti Arthur biztonsági szakértő az ITBN (Informatikai Biztonság Napja) honlapján, melyben négy gyakorló hackerrel folytatott beszélgetéseit summázta. Az alábbiakban a szerző jóváhagyásával a szöveg némileg rövidített változatát közöljük.

Keleti Arthur az írás elején igyekszik tisztázni a „hacker” szó lejáratódása miatt néhány éve megjelent „etikus hacker” megnevezés értelmét: „Ha jól csinálják, az etikus hacking olyan, mint az etikátlan (legalábbis szakmailag) csak a végeredmény felhasználását tekintve különböznek. Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja és jó esetben teljességre törekszik. A hackernek ezzel szemben mások a motivációi és ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt igazán. Viszont egyben megegyeznek. Mind a ketten a figyelmünket akarják felhívni rendszereink sérülékenységére.” Ráadásul, véli Keleti, a rosszfiúkat szeretik a nők is.

A megszólaló hackerek – természetesen – nem vállalták személyazonosságukat, ezért kódokkal vannak jelezve (H1, H2, H3, H4), s mindegyikükre jellemző, hogy megbízásra, legálisan (etikus hacking) is dolgoznak a mai napig.

Hirdetés

Vajon miért tör be valaki egy informatikai rendszerbe?

H2 szerint ez a kérdés az egyik kulcs a hackerek viselkedésének megértéséhez. A hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek. Miért hagyták nyitva, ha nem lehet bemenni? H1 szerint is minden csak látásmód kérdése. Ha megkérdezzük az embereket, hogy blicceltek-e már a tömegközlekedésen, a legtöbben igennel felelnének. De ha úgy fogalmaznánk, hogy hányan okoztak már üzleti kárt a Budapesti Közlekedési Vállalatnak, akkor már jelentősen csökkenne az igenek száma.

Akkor mégis mi választja el a jót a rossztól? Mondhatnánk, hogy a törvény és a gyakorlat. De ahogyan H1 rámutat, Magyarországon már több évtizede egy „következmények nélküli” állapot van, ami kedvez a hackereknek: „Amikor az egyik haveromat végtelenített telefonkártyával elkapták, komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak mint ő maga, amikor a tőle elvett kártyát eladták másoknak.” Különösen a hacking terén soha nem hallunk feljelentésekről, bűnesetekről és ami talán még ennél is fontosabb nem hallunk retorziókról sem. Ahogy H1 fogalmaz: „…a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele, ahhoz, hogy megnyugodjon.”

H3 a felelősségtudat hiányát, pontosabban annak újraértelmezését tartja fontos kérdésnek. „Tudom, hogy nem szép dolog feltörni egy cég rendszerét, de leszarom. A cégek is pontosan ugyanígy szarnak a biztonságra.” H4 is azon a véleményen van, hogy nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak: „Nem érdekel, hogy egy hacking nyomán kinek mennyit kell dolgozni. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség.”

Gyakran nagyon is tudatos a hacker tevékenysége. Ilyenkor sok esetben az hajtja, hogy megmutassa, mennyire sérülékeny vagy kiszolgáltatott egy rendszer. H3 szerint „ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs”, ez pedig általában felbőszíti a hackert, és piszkálja az igazságérzetét. Ahogy H2 fogalmaz: „Megcsinálják pár forintból a rendszert és drágán eladják”, miközben a valódi szakmai tudást nem fizetik meg a cégek. A hackerek szerint a legtöbb cég bármilyen közeledésükre és szaktudásuk értékbe bocsátására elutasítással reagál és feljelentéssel fenyeget, vagy 1-2 millió forintos megbízásokat dob oda nekik, ami a hackerek körében tovább erősíti azt a megérzést, hogy a valódi biztonsági szaktudásra nem árában költenek a cégek, míg a funkciók megvalósítására nagyságrendekkel többet áldoznak. H3: „Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek el, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól!”

A rossz érzéseket tovább erősíti az, hogy a valódi hackertudás látszatának köpönyegébe bújva sokan állítják ma magukról, hogy értenek a biztonsághoz, legalábbis papírjuk van róla. A srácok maguk közt csak „papírhackerként” hivatkoznak rájuk. H4 szerint ma sok rendszert inkompetens üzemeltetők felügyelnek, és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik.

A „deface” bénaság, módszerek és megközelítések

Milyen módszerekkel dolgoznak a hackerek? Követnek-e bármilyen stratégiát vagy elvet amikor akciókat hajtanak végre? Vajon jó ponton összpontosul-e a biztonsági szakemberek védelemre fordított figyelme, amikor hackerek támadásaira készítik fel egy cég infrastruktúráját?

H4 idézi fel az IRA brightoni bombamerénylete után a brit kormánynak írt levelének egy részletét „…nekünk csak egyszer kell szerencsésnek lennünk. Önöknek mindig.” A biztonságban is ez különbözteti meg a hackert és az üzemeltetőt. „Támadni mindig könnyebb” – teszi hozzá.

A deface (a weboldalak megváltoztatása) megítélésével kapcsolatban H2 elmondta, hogy soha nem tartotta igazán nagy teljesítménynek, ha valaki megváltoztatja egy oldal tartalmát. Vannak olyan webhelyek, ahol napi szinten pontozásos verseny folyik a weboldal deface-ekért, de H2 szerint ez komolytalan. Nem véletlen, hogy a nagyobb „terméssel” kecsegtető banki szférában nagyon ritkán alkalmazzák a hackerek az egyszerűbb defacing-et. Nem lebecsülve a deface politikai vagy figyelemfelhívó lehetőségeit, H2 szerint az ilyesminek akkor van értelme, ha mélyebb szakmai problémákra világít rá. Az ilyen akciók H2 véleménye szerint az üzemeltetők szakmai tekintélyét rombolják, mert el kell ismerniük saját hibáikat. Ugyanakkor a hackerek azzal is tisztában vannak, hogy legtöbb támadásukról a cégek leginkább hallgatnak. H1 megjegyzi: „Jó lenne, ha letagadhatatlan balhék lennének.”

A hackerek számára kifejezetten csemege, amikor olyan rendszerekbe törhetnek be, ahol a nyilvánvaló védelmi igény ellenére nagyon gyenge a biztonság. Ilyenek például a kórházak, ahol az asztaltársaság egybehangzó véleménye szerint a informatikai biztonság az utolsó, amire áldoznak. H3 elmesélte, hogy miként bukkant rá egy kórház tűzfalán futó torrentszerverre, ehhez többen csatlakoztak történeteikkel, egyértelműen állítva, hogy a személyes, betegadatok megszerzéséhez ma alapszintű hackertudás, egyszerű hozzáférés elégséges.

A cikk még nem ért véget, kérlek, lapozz!

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények