"A tavalyi évben a számítógépes bűnözésből eredő bevétel meghaladta a kábítószer kereskedelem forgalmát." - Verizon
Az elmúlt év nemcsak a gazdaságban, hanem az információbiztonság területén is „érdekes” volt. Míg a gazdaságra a visszaesés, az informatikai bűnözésre a meredek felfutás volt jellemző. 2010 elején még nem állnak rendelkezésre pontos adatok 2009-ből, azonban a 2008-as és korábbi adatok, valamint az ezekből kiolvasható trendek alapján jó közelítéssel kijelenthetjük, hogy több rekord is megdőlt: szinte ömlött az adat a vállalatok adatközpontjaiból az utcára. A mellékelt fényképen például egy sikeresen megvalósított MAC Flood Attack látható.
Az igazi trendforduló már 2008-ban bekövetkezett. A 2009-es Hacker Halted konferencián tavaly szeptemberben Miamiban elhangzott egyik előadás szerint ez volt az első év a történelem során, amikor a szervezett bűnözés nagyobb jövedelemre tett szert informatikai bűnözésből, mint kábítószerkereskedelemből. A múlt század harmincas éveiben véres alvilági leszámolásokhoz vezetett az a tény, hogy a viszonylag nyugalmas szeszcsempészés jövedelmezőbbé vált a hagyományos lövöldözős bankrablásnál, és az új típusú bűnözők számára kényelmetlenné váltak a rendfenntartó erőket állandóan izgalomban tarató fogatlan és koszos banditák. A banditaprobléma a tehetetlen rendőrség bevonása nélkül pár év alatt „megoldódott”. Jó kérdés, hogy ez a mostani jelenség hova vezet.
Felmerül a kérdés, hogyan lehetséges ez, hiszen már minden nagyvállalat milliárdokat költött információbiztonsági hardverekre, szoftverekre, megoldásokra és tanácsadókra. Emellett azt is érdemes tudni, hogy a 2009 januárjában az egyik népszerű böngészőben talált súlyos biztonsági rés valójában évek óta az első olyan komolyabb sérülékenység, melyet nem maga a gyártó, hanem külsős biztonsági szakember fedezett fel és hozott nyilvánosságra. Egy évtizeddel ezelőtt szinte naponta új biztonsági réseknek örülhettünk, havonta csúfítottak el egy-egy amerikai kormányzati weboldalt. Mostanában évente egy ütős biztonsági rés már nagy eseménynek számít, komoly weboldalt tönkretenni pedig szinte már csak belsősként lehet. Illetve - mint ahogy a mellékelt fényképen látható - nem lebecsülendő a földönkívüliek szerepe ezen a területen (is).
Aki manapság olyan oldalt keres az interneten, ahol különböző hackelések eredményeit (képernyőképeit) lehet megtekinteni, csalódással fogja tapasztalni, hogy egyrészt alig van ilyen oldal, másrészt a tartalmuk teljesen elavult, a „legfrissebb” bejegyzések 2001-2002-ből származnak. 2002-ben olyan hirtelen tűnik el minden nyom, mintha elvágták volna. És valóban, bizonyos értelemben elvágták, mégpedig a szoftvergyártók vágták el a hackerek legfontosabb utánpótlási útvonalait, a remekül kihasználható biztonsági réseket. Régi szép idők! Így nézett ki a The New York Times weboldala 1998 szeptemberében.
2001 az az év, amikor a Microsoft és más informatikai gyártók ráébredtek, hogy biztonság nélkül nincs tovább, és eszeveszett tempóban elkezdték rendszereiket befoltozni. Az azóta eltelt 8-9 év alatt ezek a fejlesztések értékelhető eredményeket adtak: ma már nem tinédzserjáték a rendszerfeltörés. Minden új betörési módszer kidolgozásához komoly mérnöki ismeret, és rengeteg idő szükséges. A weblapcserélgetések ideje elmúlt, biztonsági réseket kihasználó kódot egyre kevesebb „szakember” képes készíteni. A fenti számok mégis azt mutatják, hogy egyre több adat kerül illetéktelen kezekbe. De akkor hogyan? Hát banánhéjon utazva!
Az emberi gyarlóság szerepe
Ha már minden hardver és szoftver is „kiváló”, a kihasználható biztonsági réseket kizárásos alapon biztosan a felhasználók viszik a rendszerbe. Ez valóban így van. A legtöbb adat paradox módon pont azoktól a szervezetektől kerül ki, ahol a legtöbb biztonsági ingyom-bingyomot halmozzák fel – vagyis a bankoktól. Persze az is igaz, hogy ők a legveszélyeztetettebbek, hiszen egy pármillió adatot tartalmazó hitelkártya-adatbázis ellopása semmivel sem nehezebb, mint mondjuk egy új autó látványtervének „beszerzése”, az előbbi azonban szinte közvetlenül készpénzre váltható, míg az utóbbi viszonylag szűk körben forgalomképes. 2008-ban összesen 285 millió hitelkártyaadat került ki különböző bankoktól, melyek szinte mindegyike szinte azonnal készpénzre váltható, hisz minden adat megvan egy funkcionálisan megegyező, csak éppen hófehér bankkártya legyártásához. Lehet menni shoppingolni.
Tévedés ne essék, nincs baj a biztonsági ingyom-bingyomokkal, a rendszer sebezhető pontja ma már nem a gép, hanem a rendszerben tevékenykedő ember. Mégpedig szinte bármelyik ember. A pénztáros, a rendszergazda, az osztályvezető, a programozó, a vezérigazgató – szinte mindegy. Hibázni mindegyikük tud. A 285 millió adatrekord eltűnését szinte mindegyik esetben egy szimpla emberi hiba készítette elő. Az adatvesztés legegyszerűbb oka nem más, mint egy gyümölcs értéktelen burka – a banánhéj.
Banánhéjak
A fenti gondolatmenet alátámasztására két megtörténtn banánhéj-sztorit adok közre a szinte végtelen gyűjteményemből. Azért erre a kettőre esett a választásom, mert ezeknél semmiféle informatikai ákombákomot nem kellett leírnom, hogy az eset könnyen érthető legyen. Manapság már mindenki informatikus – legalábbis azon a szinten, ami az alábbi történetek megértéséhez kell.
A lúzer felhasználó. Aki ügyes, az nem vásárol pendrive-t, hanem talál magának egyet! Szinte hihetetlen, de az ismeretségi körömben legalább három esetben fordult elő, hogy valaki pendrive-t talált, és boldog tulajdonosként azóta is használja. Csakhogy ezek az adattárolók nagyon egyszerűen felszerelhetők kémprogramokkal, billentyűzetlopókkal, távirányítóprogramokkal és egyéb gusztustalanságokkal, melyeket már csak telepítenie kell a „szerencsés megtalálónak”, és a számítógépe elveszett. Még szerencse, hogy a megtalálók 40 százaléka nem indít el ilyesmit. Csak a maradék 60%.
Egy ügyes kis billenytűzetnaplózó program a felhasználó bármilyen adatbevitelét egyszerű emailben eljuttatja a világ tetszőleges pontjára. Jelszavak, banki titkos kódok, belépési adatok… Biztos, hogy Ön titkosított weblapba írja be a banki jelszavát? Egészen biztos? Csak azért, mert billentyűzetlopó esetén ez teljesen mindegy, mert már előbb ellopják a hozzáférési adatokat, mint hogy sor kerülne azok titkosítására. Aki nem hiszi, járjon utána. Stílszerűen KGB-nek hívják az egyik legügyesebb billentyűlopó programot.
A rendszergazda válaszút előtt áll. Egy másik soha meg nem történt esetben úgy sikerült illetékteleneknek bejutniuk egy bank hálózatába az utca túloldaláról, hogy egyszerűen rácsatlakoztak a banki belső hálózatra botor módon gyári alapbeállításokkal rádugott Wi-Fi hozzáférési pontra. No de hogy kerül egy gyakorlatilag teljesen lyukas hozzáférési pont a bank hálózatára?
Nyilvánvalóan a bevezetett és sokszorosan ellenőrzött szabályrendszer kihagyásával. Ilyen tipikusan akkor következik be, ha az egyébként szabálykövető rendszergazdát egy felettese erőszakkal ráveszi, hogy sértse meg a szabályokat.
-Szia Pali! Miért nem tudok még mindig a tárgyalóból internetezni? Tíz perc múlva tárgyalásom lesz, addigra csináld meg, vagy keresd meg a munkakönyved!
Szegény Pali a szerelést választja a munkakönyve helyett, tíz perc múlva kész a net a tárgyalóban – és kész a nyitott kapu a hálózat felé. probléma letudva, majd elfelejtve. Javaslom, keressenek rá a Default Password List kifejezésre az interneten. Nem kell sok ész a gyári alapbeállításokkal kapkodva üzembe helyezett hálózati eszközök „feltöréséhez”.
A legjobb védekezés a támadás
Hogyan védekezhetünk az ilyen, és ehhez hasonló esetek ellen? Vegyünk egy szemléletes hasonlatot az autóipar területéről. A személygépkocsik biztonságosságát töréstesztekkel állapítják meg. A gyártók nem egy és nem kettő autót törnek ripityára, hogy megállapítsák, ütközés esetén mi történik velük, megóvják-e az utasokat.
Az információbiztonság területén is töréstesztekkel mérhető leginkább, mivé lesz a rendszer egy esetleges támadás során. A szakterület neve: Ethical Hacking. A szakma képviselői pedig a megfelelő nemzetközi minősítéssel rendelkező etikus hekkerek. Számuk Magyarországon pár száz főre tehető. Szerencsére mára az etikus hekkelés elfogadott szakmává vált amit mi sem bizonyít jobban, minthogy ma már a Budapesti Műszaki Egyetem is részt vesz a nemzetközi minősítést nyújtó etikus hekker képzésekben.
És ha a törésteszten megbukik a rendszer? Akkor nincs más hátra, a dolgozók fejében kell rendet tenni, jöhet az oktatás.
Bár Magyarország kifejezetten jól áll a hálózatbiztonsági képzések területén, azért még van mit tanulnunk. A nagy vízen túl ezen a területen is sok lépéssel előttünk járnak. Amerikai kormányzati intézménynél nem dolgozhat informatikusi munkakörben olyan személy, aki nem vett részt alapvető hálózatbiztonsági képzésen, és nem rendelkezik ilyen jellegű (CNSS-4011) minősítéssel.
Magyarországon teherlift kezelését csak vizsgázott szakember végezheti, az informatikai rendszerek kezeléséhez azonban hivatalosan még érettségi sem kell. Szerencsére minél nagyobb egy vállalat, annál kevésbé fordul elő, hogy teljesen képzetlen, érintetlen elméjű egyének legyenek felelősek a vállalat legfontosabb kincse, az adatvagyon kezeléséért, védelméért. Sajnos azonban minél kisebb a vállalat, annál jobban lazul a fegyelem, s a sor végén a szomszéd Pistike által üzemeltetett „vállalati rendszer” áll. De kit zavar ez? Ha bedől az egyfős Kft. informatikája, hát bedől. Nemde?
Dede. Olyannyira de, hogy magával ránthatja azt a beszállítói láncot, amelyiknek a végén fityeg. Kell-e mondanom, hogy ehhez is tartozik egy igaz történet?
Összefoglalásképpen kijelenthetjük, hogy amíg a világ világ, mindig lesznek olyanok, akik anyagi haszon reményében próbára teszik biztonsági rendszereinket, amiket mi mindig meg fogunk védeni. Ez az örök körforgás pedig egyre több biztonsági szakembernek ad munkát. Ezt nevezzük fejlődésnek.