NetAcademia

A legjobbakat tanítjuk!

Ethical Hacking interjú

2012. december 02. 11:20 - Fóti Marcell NetAcademia

Az IT-biztonság töréstesztje

-Önök etikus hekkelést tanítanak. A köznyelvben az etika és a hekkelés nem összeegyeztethető fogalmak. Mégis mit takar ez a kifejezés?

- Az etikus hekkelés hasonló az autók töréstesztjéhez. Ott is a "gonosz” tesztelők vadonatúj autókat vezetnek a falnak, és összetörik őket. Ők is hasonló céllal teszik ezt, mint amit mi tanítunk a tanfolyamainkon: fölmérik az autó biztonsági rendszerét. Erről szól az etikus hekkelés: hekker gondolkodásmóddal megkeressük az informatikai rendszerek biztonsági réseit. Eközben felmérjük a rendszerek biztonságosságának szintjét, feltárjuk a hiányosságokat. A munkamódszerek magukkal hozták a már korábban ismertté vált hekker kifejezést. Ma már ez nemzetközileg elismert szakma, nemzetközileg elfogadott minősítő rendszerek működnek.

- Az etikus hekker munka közben összetéveszthető a gonosz hekkerrel? A teendői hasonlóak?

- Vannak hasonlóságok, de vannak alapvető különbségek is. A legfontosabb különbség, hogy az etikus hekker a „megtámadott” cégtől származó írásos megrendelés alapján dolgozik. A másik különbség, hogy bár ugyanazokat az eszközöket használja, mint rosszindulatú kollégái, de a munkára szánt erőforrásai nem végtelenek, nem ez az életcélja, nem fog egy-egy munkával irreálisan sok időt eltölteni. És természetesen ha be tud hatolni a cég rendszerének belsejébe, ott nem tesz semmi olyat, amely a cég érdekeit sértené.

- A hekkerek a népszerű kultúrában magányos zsenikként jelennek meg, akiknek a sikeressége főként kreativitásukon alapszik. Hogyan lehet mégis tanítani ezt a foglalkozást? Nem különbözik minden hekker munka gyökeresen az összes többitől?

- Számos alapvető technika áll a hekkerek rendelkezésére, amelyek segítségével végül mégis egyedi megoldások születnek. Talán a legismertebb a rendszeren lévő úgynevezett portok letapogatása. A portok olyan kiskapuk, amelyeken keresztül beléphetünk a rendszer belsejébe. A honlapok is portok, hiszen rajtuk keresztül kapcsolatba léphetünk a webhellyel. A hekkerek természetesen általában nem az efféle nyilvános portokat keresik, hanem a rejtett kapukat, amelyeket gyakran nem is szándékosan hagytak nyitva a rendszer üzemeltetői. Sok programot írtak, amelyek a hekkerek segítségére lehetnek a nyitva felejtett kiskapuk megtalálásában, hiszen szinte lehetetlen milliónyi programsort kézzel átbogarászni. De vannak olyan hekkermódszerek is, amelyek éppen a nyilvános weboldalakon keresztül támadnak. Ilyenkor például adatbázis-kezelői parancsokat táplálnak be a távoli számítógépbe a weboldalakon gyakori szövegbeviteli mezők segítségével (ahova normális esetben a felhasználói nevünket vagy az email címünket kellene beírnunk). Ha a weboldal üzemeltetői figyelmetlenül hozták létre az oldalt, akkor a számítógép végre is hajtja ezeket az utasításokat, és például elküldi a hekkernek az összes felhasználó személyes adatait. Vannak olyan programok, amelyek éppen efféle gyenge pontokat keresnek a honlapokon.

- Hogyan reagálnak a megrendelők, amikor szembesülnek az etikus hekker által feltárt hibákkal?

- Az okoz időnként problémát, ha a megrendelő cég vezetői nem értik a hiba lényegét. A rendszergazdák talán megértik, de ők gyakran eleve ellenérzésekkel viszonyulnak az egészhez, hiszen a hibákat fölsoroló jelentést a munkájukkal szemben megfogalmazott kritikaként fogják föl. Sokszor vitatkoznak a hekkerrel, azt bizonygatva, hogy a megtalált kiskapu nem is kiskapu valójában, hanem „direkt” építették föl úgy a rendszert.

- Kik vesznek részt az etikushekker-tanfolyamokon? Ismerik a hátterüket?

- Igen, minden személyes adatukat meg kell adniuk, és aláíratunk velük egy nyilatkozatot arról, hogy a nálunk tanult ismereteket csak tisztességes célra használják majd föl. A diákjaink általában nem programozók, hanem vállalati informatikusok, rendszergazdák, akik azzal a céllal jönnek hozzánk, hogy megerősítsék a saját vállalati rendszerüket. Törvényi kötelezettségünk egyébként, hogy mindent tudjunk a hallgatóinkról, hiszen a büntető törvénykönyv szerint aki ilyesmit tanít, mint mi, az maga is bűnsegéddé válhat, kivéve, ha meg tudja mondani a hatóságoknak, hogy kinek tanította.

- Még soha nem merült föl önben az a gyanú, hogy valaki azért jött ide, hogy az itt megszerzett tudást aztán tisztességtelen célokra használja?

- Ez elképzelhetetlen, mégpedig azért, mert igazából minden általunk átadott információ megtalálható ingyen az interneten. A tanfolyam lényege az, hogy összeszedetten átadja a tanulóknak azt a tudást, amelyet fél-egy év alatt összeszedhetnének az internetről egyedül. Természetesen a tanfolyam egyhetes időtartamát nem úgy kell érteni, hogy ha valaki bejön az utcáról nulla informatikai tudással, akkor egy hét elteltével képzett etikus hekkerként távozik. A tanfolyam végzett rendszermérnönök továbbképzését szolgálja.

- A tanfolyamon megszerezhető tudás birtokában a hallgatók képesek lennének betörni egy-egy vállalat rendszerébe?

- Azért igen, mert nincs törhetetlen rendszer. A védekezési módok bármelyik formájával nem azt lehet elérni, hogy az én rendszerem tökéletesen biztonságossá váljon, ahová elvileg is lehetetlenség betörni, hanem azt, hogy ne az én rendszerem legyen a leggyengébb a piacon. A védelmi szint emelésével gyorsan nőnek a költségek, tökéletes védelem pedig nem is létezik. Hiába próbálják folyton befoltozni a rendszeren lévő lyukakat, a legtöbb vállalati hálózat burka hamar beszakad, ha kicsit megkapirgáljuk a felszínt. Ezek a rendszerek mára olyan összetettekké váltak, a vállalati környezet pedig olyan rohamosan változik, hogy folyamatosan kerülnek beléjük az emberi hibák. Nem kell semmi misztikusra gondolnunk: minden kihasználható biztonsági rést egy másik ember hozott létre. A kérdés mindössze az, hogy a védők illetve a támadók által befektetett energia eséllyel térül-e meg. Magyarul a vállalat biztonságáért felelősök olyan erős védelmet kell kiépítsenek, amelynek ára nem haladja meg a támadás jelentette kockázatot, a hekkernek pedig olyan helyekkel kell próbálkoznia, ahol belátható időn belül sikerrel járhat, és a megnyerhető információ megéri mindezt.

- Az a tény, hogy a cégek önökhöz küldik tanulni a munkatársaikat, arra utalhat, hogy fenyegetve érzik magukat a hekkertámadásoktól. Van önöknek információjuk arról, hogy milyen gyakoriak Magyarországon az ilyen incidensek?

- Hivatalosan nem tudunk ilyenekről, mert Magyarországon nem kötelező bejelenteni az efféle támadásokat. Csak a jéghegy csúcsa látszik, a többi kísérletet pedig a cégek elhallgatják. Feltételezhető azonban, hogy akárcsak mindenütt másutt a világon, a bankkártya adatok lopása gyakori lehet nálunk is, hasonlóan az infrastrukturális létesítmények elleni támadásokhoz. Persze a hekkertámadásoktól való félelem nem kis részben a sajtó híradásain alapszik, amely szívesen foglalkozik evvel a témával, gyakran a veszély súlyát jóval meghaladó terjedelemben is. Annak oka, hogy ritkán hallunk sikeres magyarországi hekkertámadásokról, az is lehet, hogy sikeresen védekeznek a cégek. Valamiért ugyanis egész jól állunk az informatikai biztonság terén. Talán Magyarországon a legnagyobb a kiképzett etikus hekkerek népességhez viszonyított száma, ma már ezernél is többen vannak. Ennyien vannak Hollandiában is, ahol pedig a informatikai rendszerek elterjedtsége és a nemzeti össztermék is jóval nagyobb, mint nálunk.

- Az oktatók között sincsenek olyanok, akik a múltban nem mindig nemes célra használták a tehetségüket, de mára már jó útra tértek?

- Ez a hollywoodi filmek romantikus világképe. A valóságban egy ilyen figura létezik, Kevin Mitnick, aki valóban börtönviselt hekkerből lett biztonsági szakértő, és mára felkapta a média. De ő az egyetlen ilyen, éppen ezért mutogatják őt minden konferencián. Látnunk kell, hogy az efféle pálfordulásnak nem is lenne sok értelme. Sem a hekker szempontjából, sem a megbízó cégek szempontjából. Melyik felelős vállalat bízna meg a saját rendszere biztonságosságának vizsgálatával egy bűnözőt?

- A hekkelés az utóbbi években az úgynevezett Anonymus-csoport kapcsán került a figyelem középpontjába. Hogyan vélekednek róluk az etikus hekkerek? Forradalmárok ők vagy szimpla bűnözők?

- Erkölcsi kategóriákba nem szívesen sorolnám őket, technikai szempontból viszont semmi különöset nem csinálnak. Általában túlterheléses támadást hajtanak végre weboldalak ellen. Ez azt jelenti, hogy sok száz vagy ezer önkéntes közreműködésével ugyanabban a pillanatban tömegek kezdeményeznek valamilyen műveletet a webhelyen. Ezt általában nem bírja a webhelyet kiszolgáló számítógép, és a weboldal elérhetetlenné válik. Erre a feladatra számos könnyen hozzáférhető szoftver áll bárki rendelkezésére. Műszakilag tehát nincs sok minden az Anonymus mögött. A túlterheléses támadások ellen gyakorlatilag nem lehet védekezni. Legfeljebb annyit tudnak tenni, hogy a támadás idejére lekapcsolják a szervert. De ez nem nevezhető védekezésnek, hiszen pontosan a működés felfüggesztése érdekében indították a támadást.

- Az etikus hekkerek tehát vállalati informatikai rendszerek biztonsági kockázatai után kutatnak. De mi a helyzet az otthoni számítógépekkel? Valóban veszélyben van mindenki, aki rádugja a komputerét az internetre, vagy ezt csak a vírusirtó szoftverek gyártói próbálják velünk elhitetni?

- A számítógép támadásoknak való kitettsége nagyban függ a rajta futó operációs rendszer frissességétől, tehát attól, hogy mikor telepítettek utoljára szoftverjavításokat. Ha valaki egy soha nem frissített Windows XP operációs rendszerről föllép a hálózatra, akkor a mérések szerint huszonhárom másodperc alatt megfertőzik a gépet a vírusok. De ha újabb operációs rendszert és tűzfalat használunk, akkor bizonyos mértékig védettek vagyunk a támadásokkal szemben. Ebben az esetben sem vagyunk biztonságban azonban a saját hiszékenységünktől. Ha rákattintunk egy gyanús linkre egy emailben, amely például Kate Middleton leplezetlen fényképeit ígéri, nem véd meg minket semmilyen tűzfal. Hiába gondoljuk köztudottnak, hogy léteznek ilyen módszereket használó csalók, az emberek többsége még ma is könnyedén hisz nekik.

- Mit tapasztalunk, ha a számítógépünket megfertőzi egy vírus? Az internet előtti korokban megismert vírusok hatása inkább látványos volt, mint veszélyes, például lepotyogtak a képernyőről a betűk. Így van ez ma is?

- A vírusfertőzött komputer gyakran egy úgynevezett zombihálózat részévé válik. A zombi gépek fölött teljes ellenőrzést gyakorol a vírus írója, tehát a komputer minden funkcióját irányíthatja az interneten keresztül távvezérléssel. Elmentheti magának a jelszavakat, felhasználóneveket, minden gépen tárolt adatot. Mindezekből a felhasználó nem vesz észre semmit, a tudta nélkül használhatják föl a gépét illegális tevékenységekhez. Ma még kérdéses, hogy jogilag felelősségre vonható-e ilyen esetekben a zombivá vált gép tulajdonosa, arra azonban már van példa, hogy a végletesen óvatlan komputerhasználók büntethetővé válnak. Németországban ma már tilos jelszavas védelem nélkül vezeték nélküli hálózatot, wifit üzemeltetni. Ezeken keresztül ugyanis bárki nyom nélkül kapcsolódhat az internethez akár egy utcán álló autóból is.

2 komment

A bejegyzés trackback címe:

https://netacademia.blog.hu/api/trackback/id/tr644909689

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Kincses Zoli 2012.12.11. 14:42:03

ki készítette az interjút? a kivelre még van tippem, de hol jelent meg eredetileg? miért nincs odaírva, hogy honnan lett átmásolva? 8-)

Fóti Marcell NetAcademia · http://netacademia.hu 2012.12.11. 18:57:10

Magyar Nemzet Online. Körülbelül egy hétig volt elérhető náluk ingyenesen, most már csak pénzért olvasható a "forrás". Az interjú Fóti Marcellel készült