A február 2-i IDC IT Security roadshow nem szűkmarkúskodott látványos előadásokkal. A sztárvendég Kevin Mitnick, a híres-hírhedt hacker volt, de rajta kívül jó pár más előadást is érdemes volt meghallgatnunk.

A Hilton Westendben tartott konferencián egyértelműen az emberi tényező és az azzal összefüggő fogalmak voltak a főszereplők, olyanok, mint például a social-engineering és a phishing. Úgy tűnik, hogy az info-biztonsági ipar egyre inkább kezdi felismerni, hogy nem elegendő a kriptográfia, a tartalomszűrés, a tűzfal, ennél sokkal összetettebb a kérdés, sokkal több múlik az emberen, mint ahogy ezt eddig gondolták a szakemberek.

Mitnick – aki egyébként rendesen megkéri az árát az ilyen fellépéseknek – szinte egész előadása a social-engineeringről szólt, bár sok szakmai újdonság nem hangzott el. Érdekes volt viszont meghallgatni azt a történetet, hogy milyen könnyen csalta ki egy Motorola rádiótelefon forráskódját néhány jól irányzott telefonhívással. A sztárhacker amúgy szemérmesen hallgatott múltjáról, amit némileg nehezményezett is Stephen McGibbon, a Microsoft előadója, így végül egy kis vita bontakozott ki arról, hogy 80 millió vagy kevesebb volt-e a Mitnick okozta kár, és hogy ezért megérdemelte-e az 5 év börtönt vagy sem. A Microsofttól egyébként ismét hallhattuk a Trustworthy Computing jelszót, amely mellé immár felsorakozott a DRM, azaz a digitális jogkezelés.

Van még egy új szó, melyet valószínűleg már minden IT-igazgató feljegyzett, ez a BS7799. A BS7799 szabvány (illetve ennek ISO megfelelője) lassan olyan ismert lesz az informatikai biztonság területén, mint az ISO9000 szabványsor a minőségbiztosításnál. Talán nem is véletlen, hogy az emberi tényező ennyire előtérbe került, hiszen a BS7799 sokat foglalkozik a szervezettel, a folyamatokkal, az emberekkel. Így ha valaki ilyen tanúsítványt szeretne, ezzel is kell foglalkoznia. Nem meglepő, hogy a Computer Associates már ennek a szabványnak a szellemében készített komplex biztonsági rendszert, amelyet most mutatattak be Budapesten. A CA képviseletében Dr. Hannes P. Lubich, a cég Svájcért és Közép-Európáért felelős vezető tanácsadója és IT-biztonsági stratégája tartott előadást az amerikai-svájci szoftvervállalat filozófiájáról, hogy milyen megközelítéssel alakíthatunk ki olyan biztonságfelügyeleti folyamatot, amellyel objektíven átláthatjuk és értékelhetjük az egyes IT-biztonsági megoldásokat a BS7799 szabvány szellemében.

Látványos volt Sebastian Schreiber „hackelés előben” előadása, ahol néhány látványos technikát mutatott be. Ennek során a Google használatával védtelen nyomtatószervereket és megosztott Windows meghajtókat keresett. Bár a technika nem bonyolult, félelmetes volt látni, hogy milyen egyszerű nyitott gépeket találni. Hasonlóan látványos bűvészkedés történt a rosszul megírt e-boltok szabadárassá tételekor is. Az előadás érdekes színfoltja volt, amikor – az előadó nem kis rémületére – szólásra jelentkezett a Legfőbb Ügyészség képviselője és felhívta Schreiber figyelmét arra, hogy az itt bemutatott tevékenység a magyar BTK szerint büntetendő cselekmény. Szerencsére bilincselés helyett végül csak a kávészünet következett.

Látható volt, hogy a tendencia a komplex biztonsági megoldások felé mutat és felértékelődnek a megelőző tevékenységek elsősorban a vírusok elleni harcban, de a biztonság más területein is. Bár egetverő újdonság nem került napfényre, mégis látszik, hogy a hangsúlyok változnak, a gyártók eddig kevésbé előtérbe helyezett megoldások felé fordulnak.

Szigeti Szabolcs - BME IK IT Sec