Esetek és tanulságok

Esetek, tanulságok, következmények nélkül

H4 elmesélte, hogy egy bizonyos önkormányzat szervereit hogyan radírozták le, a vezetés miképpen tagadta le a tényeket, és azt is, hogy valóban tudták, ki követte el, mégsem tettek semmit. Aztán mégis feljelentés született, erre a megvádoltak is feljelentették vádlóikat, és az eset innentől fogva amolyan hazai szitkomként laposodott bele a magyar valóságba, valódi következmények nélkül.

H2 egy másik történetében egy nyelvi akkreditációval foglalkozó szervezet rendszergazdája annyira rosszul végezte a dolgát, hogy a levelezőszerverük a világ több nagy spammerlistájára felkerült, ezáltal szép számmal gyűjtött be kitiltásokat, black list jegyzéseket is. Egy idő után már csak akkor lehetett levelezni, amikor a rendszergazda beérkezett a munkahelyére, és bekapcsolta a levelezőszervert(!). A hanyag gyakorlatnak végül az vetett végett, hogy a szervezet webszerverének online játékokra való felhasználását már a vezetőség sem nézte jó szemmel.

„Egy ismert nagy üdítőipari vállalatot figyelmeztette a másik ismert nagy üdítőipari vállalat, hogy egy bizonyos kollégájuk értékes adatokat akar nekik értékesíteni” – meséli H1. A vizsgálódás során egy kifejezetten MS Outlookra kihegyezett trójai program felhasználásával kiderült, hogy az inkriminált személy és a „jóindulatúlag” figyelmeztető cég már régebben kapcsolatban álltak, és az adatlopás már jóval ez előtt lezajlott. Amikor a cég figyelmeztette a másikat valójában csak elfedni akarta korábbi akcióját.

Az ipari kémkedés történeteihez csatlakozva H2 állítja, hogy amikor egy fizikai biztonsági cégnél dolgozott kapott olyan megkereséseket, amelyek tárgya az a cég bizalmas adatbázisainak megvétele lett volna. Nem élt a lehetőséggel.

Miért szorul háttérbe a biztonság? Hol hibázik a védelem?

A hackerek véleménye egyértelműen az, hogy a védelemért felelős szakemberek ma alulértékeltek, mind anyagilag, mind szakmailag. Az álvédelemnek és a papírpajzsoknak köszönhetően a legtöbb cég felső vezetése biztonságban érzi magát, de ez egy kétes alapokon nyugvó biztonságérzet. H4 mosolyogva meséli, hogy valamelyik elvégzett legal hacking munkája után megkérték, hogy oldja meg, hogy a riportot mindenképpen egy CISA-végzettségű kolléga írja alá, mert a vezetés úgy gondolta, hogy ettől lesz majd műszaki szempontból is megalapozott, miközben minden szakember tudja, hogy az auditor és a hacker a skála két ellentétes szélén szokott dolgozni.

A hackerek körében a szakmaiságon mindig nagy volt a hangsúly, szakmai profizmusukat, IT-biztonságra specializálódott vájt fülüket tartják ma is egyetemleges ismertetőjelüknek.

A védelem másik aspektusa a már létező biztonsági elemek hatásfoka. H3 szerint a jelenlegi vírusvédelmi technológiák kezdenek elavultak lenni: „A mai vírusirtók ritkán találnak komoly dolgokat. Egyedi vírussal szemben általában tehetetlenek” – állítja. H2 folytatja a gondolatot kiemelve, hogy a biztonsági termékek jó része sajnos csak PDF-ben létező funkciókat támogat, ezek a valóságban nem működnek hatékonyan.

H1 kiemeli, hogy a rossz ellenőrzési, auditori gyakorlat is káros lehet. Az auditorok részéről hiányosságként hozza fel, hogy nincs valódi szakmai tapasztalatuk, és a legtöbb esetben rossz irányból közelíthetik meg az IT-biztonság mély szakmai kérdéseit. Ebből általában rossz becslések születnek, ami félreviszi a védekezésre szánt költségeket, amit aztán rossz helyen és más elemekre költenek el, mint kellene. Ezt a hackerek kívülről is jól látják és ezzel csak nő a késztetésük, hogy bebizonyítsák az adott rendszer gyengeségeit.

H1 szerint a védelmet gyengítő trend még az is, hogy a fejlesztők szinte teljesen negligálják a biztonsági elemek beépítését az új alkalmazásokba. Ennek hátteréről keveset szóltak beszélgetőpartnereim, de a témát egyhangúlag az IT-biztonság egyik fundementális problémájaként azonosították.

A teljes cikk szerzője: Keleti Arthur