Amikor azt hallom valahol: IPv6, mindig eszembe jutnak Szigeti Szabolcs pár évvel ezelőtti jövőbelátó érdekfeszítő előadásai. A kutató általában számít arra, hogy amivel foglalkozik, az esetleg évtizedek múlva lesz a mindennapok része. Így van ezzel mai vendégünk is, aki sok-sok évet töltött el a jövő világhálójának tanulmányozásával. Mi laikusok hányszor gondoltuk már az évek folyamán, hogy nemsokára itt a világvége: megtelik a világháló. Segélykiáltások hallatszottak: azonnal ide azt a 6-os IP-verziót! Az internet rendszere azonban nem omlott össze, nem kellettek rendkívüli beavatkozások. A technológia persze elkészült, ugrásra készen áll. Lassan megérkezik hozzánk is – a kutatók meg továbblépnek.

Szigeti Szabolcs jelenleg a BME Informatikai Központ tudományos munkatársa. A Hacktivity 2005 jövő hétvégi programjai közül különösen nagy érdeklődéssel várom Szabolcs újabb kutatási témájáról, a beágyazott rendszerek biztonságáról szóló előadását. Lesz itt minden: autók, mikrohullámú sütők, mobiltelefonok, atomerőművek és persze mindenekelőtt informatika és biztonság.


– Sok mindent elmondtam már rólad a bevezetőben, de a régebbi dolgaidról elég kevés ismeretem van. Mivel foglalkoztál pályakezdő éveidben?

– 1994-ben végeztem a BME-n villamosmérnökként, de már a diplomázás előtt az informatika felé fordultam. Zárójelben megjegyezném: a villamosmérnökösödéstől tulajdonképpen sosem fordultam el. Hobbiszinten máig űzöm a különböző készülékek és „ketyerék” építését, melyeknél a csöves technikától a mikrovezérlőkig sok mindent alkalmazok. A számítógépek mindig is érdekeltek, első gépem – amit még hetedik osztályos koromban kaptam – egy Commodore VC-20-as volt. Remélem, ez a márkanév rajtam kívül még sokaknak mond valamit. Az egyetemen azután abban a szerencsés helyzetben voltam, hogy akkor folyhattam bele a számítástechnikába, amikor Magyarországot „bekötötték” az internetbe. Érdekes volt úgy egy VAX11/750 gépen dolgozni 43BSD Unix alatt (vt100-as terminállal!), hogy a web még nem is létezett, és az egész ország egy ma már elavultnak tekinthető dial-up hozzáférés sebességével kapcsolódott a nemzetközi hálózathoz.

– Ezek után érthető a nagy szerelem a háló iránt, és el is érkeztünk a dial-uptól az Ipv6-ig. Még most is ez a kedvenc témád, vagy ez már lerágott csont?

– Egyáltalán nem. Most is főleg hálózati, internetes témákkal foglalkozom, ezek közül is kiemelten az új generációs IP-vel, az IPv6-tal. Valószínűleg azért, mert amikor ezzel először elkezdtem foglalkozni, akkor ez itthon újdonság volt. Ez „hozta” aztán magával egyik oldalról a Unix környezetet, a másikról pedig az informatikai biztonságot. Így azután főleg ezeken a területeken mozgok. Azt hiszem, ezek kellően szerteágazó és izgalmas témák ahhoz, hogy mindig legyen elfoglaltságom. Persze az informatika területe egyre nagyobb, ezért mostanában más részterületekre is bekukkantok, így kitérők mindig előfordulnak. Egy kis kitérő volt itt az egyetemen egy MBA diploma megszerezése is. A papírokat most is gyűjtöm: nemrég tettem le például az infobiztonsági CISA vizsgát. Még most is a BME-n dolgozom, az Informatikai Központban különböző kutatási-fejlesztési feladatokat végzek, illetve egy kicsit tanítok is.

– Újdonságot hozol az idei Hacktivityre, a beágyazott rendszerekről fogsz beszélni. Konkrétan miről fog szólni az előadásod? Itt is „fokozódik a helyzet” infobiztonsági oldalról?

– Igen, a beágyazott rendszerekről szeretnék beszélni, hiszen ezek olyan informatikai eszközök, amelyek egy sima PC-hez képest kevésbé feltűnően teszik a dolgukat, és mégis gyakran sokkal fontosabb, hogy helyesen és biztonságosan működjenek. Ráadásul szinte mindenhol jelen vannak, a mikrohullámú sütőtől kezdve a mobiltelefonon át az atomerőművekig. Valójában ez a téma mindig is időszerű volt, de csak most került előtérbe, mivel egyre több ilyen rendszer kapcsolódik a hálózatra. A média is felkapta a témát, gondoljunk csak a mobilvírusokra vagy a lehallgatható Bluetooth autókihangosítókra. Arra szeretnék előadásomban rávilágítani, hogy ezek a rendszerek mennyire más filozófiát képviselnek a „szokványos” számítógépekhez képest. Nem kerülöm meg azt a kérdést sem, hogy félni kell-e attól valójában, hogy vírusok, terroristák súlyos károkat okozhatnak ilyen rendszereknél.

– Mi a véleményed az informatikai biztonság hazai állapotáról?

– Az informatika nagyon fiatal tudományág, így sok minden még nem alakult ki. Sajnos egyben olyan terület is, amelyet úgymond „könnyű” művelni, szinte bárki foglalkozhat vele (mondom ezt némi öniróniával, hiszen nekem sem informatikus a végzettségem). Így sajnos előfordul, hogy olyanok foglalkoznak kritikus területekkel, akiknek igazából nincsen meg sem a tapasztalatuk, sem a képzettségük ehhez, de „jól el tudják adni magukat”. Ráadásul az iparágnak sikerült megetetnie a nagyközönséggel azt a fajta mentalitást, hogy szinte felelősség nélkül lehet eladni termékeket, „as is”, tele biztonsági lyukakkal, rossz tervezéssel, hibás működéssel. Mindez azzal jár, hogy a felhasználók elfogadják azt a helyzetet, hogy „ez van”. Beletörődnek, hogy az informatika egy olyan bonyolult tudomány, amely eleve nem tud megbízható, biztonságos termékeket előállítani. Valószínűleg az kellene, hogy a fogyasztók felismerjék: biztonságra és megbízhatóságra szükség van, és ezt meg is követeljék a gyártóktól (ahogy ez például az autóiparban már szokásos). Sajnos nehéz megalkotni az informatikai biztonság Euro-NCAP töréstesztjét, amely alapján az átlagember is gyorsan felismerhetné, hogy az egycsillagos rendszernél jobb a négycsillagos. De azért vannak biztató jelek (pl. Common Criteria, stb.). Napjainkban slágertéma az informatikai biztonság, és szinte minden magára valamit adó cég foglalkozik is vele. Sokan úgy csöppentek erre a területre, hogy igazából nincs ilyen tapasztalatuk. Ennek az eredménye, hogy vannak, akik „cut&paste”-tel gyártanak biztonsági politikákat, vagy úgy gondolják, hogy egy víruskereső telepítése megoldja minden biztonsági kérdésünket. Amit ennél is rosszabbnak gondolok, hogy ezt a „tudást” aztán még el is adják. Mindazonáltal ha egy ilyen fiatal területen nem is lenne helyes túlzott elvárásokat állítani, de egy meghatározott szintet el kell várni. Ez valószínűleg ki fog alakulni magától, de ehhez az kell, hogy a felhasználók, az ügyfelek megköveteljék a minőségi munkát a biztonság területén is. Itt látom a legfontosabb tennivalókat: tudatosítani kell az emberekben az informatikai biztonság fontosságát.

– Sokat használunk olyan kifejezéseket: e-kormányzat, e-közigazgatás, e-Magyarország. Nagy a lemaradásunk a többi uniós országhoz viszonyítva. Mit vársz ezen a területen?


– A jogalkotás, az államigazgatás eléggé le vannak maradva, és nem is mindig tudják megfelelően követni a technikai fejlődést, sem időben, sem szakmailag. Égető szükség lenne az informatika lehetőségeinek átvitelére az államigazgatásba, a közigazgatásba, de én még nem teljesen látom, hogy ez hogyan és mikorra fog kialakulni.

– Jog és informatika… Az internet még mindig a szabadság világa?

– Valószínűleg sokkal nagyobb párbeszédre lenne szükség az említett tudományok között, de talán a leglényegesebb az lenne, hogy ezek a területek elfogadják és megértsék egymást. Ennek kialakítását már az oktatásban el kell kezdeni.

A szerzői jogi, illetve az adatvédelmi kérdések szerintem nagyon fontosak. Ugyanakkor, főleg az előbbihez hihetetlen pénz társul, és nyilván azok, akik eddig szép profitot csináltak belőle, nem könnyen adnák fel a pozíciójukat. Nagyon sajnálatos, hogy mindezt úgy teszik, hogy a társadalom széles rétegét kriminalizálják. Sőt összemossák a terroristákkal, és közben elég visszatetsző dolgokat tudnak kiharcolni maguknak (pl. reprográfiai díj). Pedig az elektronikus kereskedelem rövid története már megmutatta, hogy aki gyorsan tud lépni, az sokkal nagyobbat nyer, mint aki ragaszkodik a régi módszerekhez. Akik nem így gondolkodnak, előbb-utóbb eltűnnek a színről. Ezért nem hiszek a DRM-ben (Digital Rights Management), szerintem sokkal inkább a megfelelő ár-teljesítmény arányt kellene elérni. Múltkor olvastam valahol, hogy a DRM-et azok erőltetik, akik rossz minőséget adnak, ráadásul túl drágán.

Félreértés ne essék, nem vagyok híve a kalózkodásnak, különben sem lehet minőségben összehasonlítani egy Divx filmet egy multiplex mozival, vagy az mp3-at egy jó CD-felvétellel, de jó lenne elgondolkodni, hogy lassan a minimálbér egytizedébe kerül egy CD. Mondjuk, az iTunes sikere nekem azt mutatja, hogy rövidesen változások várhatóak.

– Mik a jövőbeni szakmai céljaid?

– Természetesen szeretnék tovább haladni az it-biztonság területén, de célom, hogy egyszer valamilyen formában a gazdasági végzettségemet is tudjam kamatoztani. Bár ezt továbbra is az informatika területén maradva gondolnám. Többet szeretnék foglalkozni a széles közönségnek szóló ismeretterjesztő jellegű feladatokkal. Régebben rendszeresen publikáltam, illetve tv-műsorok állandó szakértője voltam. Ekkor sok pozitív visszajelzést kaptam, ami azt jelezte, hogy képes vagyok szakmai kérdésekről közérthetően beszélni.

– Ez utóbbit csak megerősíteni tudom. Végül arra kérnélek, hogy két kérdéssel bővítsd nyereményjátékunk feladatsorát. Köszönöm az interjút!

(x)

Főnyeremény: egy ASUS WL-530g mini WL router!

A nyereményjáték 4. kérdése (Szigeti Szabolcstól):

Miről hírhedt a beágyazott rendszerű Therac-25 sugárterápiás berendezés?

A nyereményjáték 5. kérdése (Szigeti Szabolcstól):

A Szovjetunió ipari kémkedése ellen a 80-as évek elején állítólag a CIA kidolgozott egy tervet, mely szerint szándékosan hibás szoftverrel láttak el egy beágyazott rendszert, amit aztán „ellopattak” a KGB-vel. A pletykák szerint az akciónak tragikus következménye lett. Mi a történet vége?