Riportalanyunk Heim Gábor, aki az IBM mainframe rendszerek IT biztonságáért felel főállásban. Ezenkívül etikus hekkerként az RFID rendszerek határait feszegeti, jelentsen ez beléptetőrendszert vagy bőr alá ültetett mikrocsipet.
Gáborral találkozhatsz az idei Ethical Hacking konferencián május 12-én, a Lurdy Moziban.
Riporter: "Mit jelent hacker-nek lenni?"
Heim Gábor: "Számomra ez egy életforma. Nem csak a munkahelyemen hekkelek, próbálom a mindennapi életben is kamatoztatni ezt a szemléletmódot. Arra gondolok, hogy megpróbálok kreatívan gondolkozni. Out of the box. Néhányan azt mondják, hogy ez bárki által megtanulható készség. Remélhetőleg a végeredmény pedig az hogy előrébb jutunk, és nem szokványos utakon megoldunk vagy enyhítünk egy problémát. Az életben, a munkahelyen, egy számítógépes rendszerben vagy egy kódban bárhol...
R: "Mi kell ehhez?"
GH: "Bátorság :)"
R: "Bővebben?"
GH: "Vannak rendszerek amikben mindenkinek a szabályok szerint kell résztvenni. Például a közlekedés. Vezetés közben feltételezzük, hogy a közlekedés többi résztvevője betartja a szabályokat, ők pedig elvárják hogy mi is betartjuk. De mindeki tud olyan példát mondani ahol a szabály nem a biztonságot vagy az ésszerűséget szolgálja. Szerintem ezzel nem kell együtt élnünk, ezt meg lehet hekkelni. Például szeretnénk kikerülni a leglehetetlenebb helyekre telepített trafikat? használjunk appot amelyik jelzi hogy a közösség hol jelentett kamerákat. Ilyesmi, vagy ha biciklire, motorra ülünk máris meghekkeltük a dugót mint rendszert. Esetleg ha modernebbnek,kényelmesebbnek találjuk, akkor taxi helyett überezünk.
A hacker-mindset jelentheti azt hogy amikor szembekerülsz bármilyen szisztémával, azt tudatosan használod. Megvizsgálod, átlátod és ha olyan elemet találsz benne ami nem a számodra kívánatos módon működik azzal nem együtt élsz hanem megpróbálod kijavítani, vagy kreatívan használni. Hogy biztonságosabbá tedd, hogy használhatóbbá tedd vagy a rosszfiúk esetében azért hogy hasznot hajts.
Számítógépes rendszereknél, programoknál ez még egyértelműbb. Hiszen az abban lévő szabályokat/kódot, a természettel vagy az élettel ellentétben, emberek írták és találták ki. Tehát meg is lehet változtatni. Leegyszerűsítve a fő különbség a hackerek és a normál userek között: Ha valami jól működik és észrevétlenül használható az mindkét csoportnak rendben van. De ha valami szar, vagy látványosan unsecure abba a normál userrel ellentétben a hacker nem nyugszik bele, azzal nem együttél, hanem "feltöri", megkerüli és kijavítja. Kisfiamnak is próbálom ezt tanítani: ne csak használója legyen egy eszköznek, appnak hanem próbálja meg alakítani, megváltoztatni, újragondolni. Nagyon örültem amikor azzal jött, hogy apa akkor ebben a repülős játékban a tableten hogyan lehetne extra "csillagot" szerezni amit aztán üzemanyagra meg pajzsra költhet. A vége az lett hogy felrootoltuk a tabletet. Szerintem elég sokat megértett a folyamatból, de biztos sokat tanult magából a példából. 7 éves lesz. :)
R: "És mennyire szabad hajlítani ezeket a szabályokat?"
HG: Amennyire bátor vagy. :) Komolyra fordítva a szót, tisztában kell lenni azzal mit szabad és mit nem. Illetve hogy minek, mi lesz a következménye. Ez komoly felkészültséget igényel. Hogy ne fuss bele olyan hibába ami rossz értelemben megváltoztaná az életedet, mint például valamilyen illegális tevékenység. A szabályok sok helyen nyújtanak védelmet nekünk illetve az adatainknak. Szabályok nélkül hackerek se létezhetnének.
R: "Ha jól értem a jófiúkat képviseled, miből áll egy napod mint Etikus Hacker?"
HG: "A napi munka jelentős részét teszi ki, hogy szabályokat, standardeket és különféle biztonsági certifikációkat böngészünk és megvizsgáljuk hogy ezeknek a belső és külső előírásoknak megfelelnek e a rendszereink. Ha találunk valamilyen sebezhetőséget azt jobban megvizsgáljuk dokumentáljuk és reportáljuk. Ez nem olyan izgalmas folyamat mint a filmekben, de meghekkelhető. :D Természetes hogy nem manuálisan akarunk több száz szervert átvizsgálni. A lusta it-s = okos it-s :) Első számú készség: Tudj programozni. Lehetőleg valamilyen jó kis szkriptelő nyelven is mint pl:Python vagy bármelyik shell.
Ezek könnyűnek számító nyelvek, hamar eredményt tudsz velük elérni. Azon kívül hogy fordítás nélkül futtatható a szkripted egy támadott gépen, még automatizálni is tudsz egy csomó manuális vagy adminisztratív taskot, jó háttértudásnak számít bármilyen szituban. Több időd marad az izgalmas dolgokra. Amit, ha a munkádat 100%ra elvégzed, a jobb multik és főnökök simán támogatnak.
A saját időmet egy az it biztonsághoz más irányból kötődő projektre használom fel. A technológiai elég meredek íven fejlődik, lehetetlen megmondani hova és merre tartanak a trendek. Az IoT és wearable cuccok a mobilok utáni korszak kezdetét jelzik. IT biztonsági szempontból, nagyon izgalmasnak találom az ebben való résztvételt . Ami különösen érdekel az, hogy hova lehet még mindezt fokozni például beültetésekkel? Mi lenne, ha a ezután nem magunkon hanem a testünkben viselnénk az eszközöket. Milyen killer feature szükségeltetik hogy ez tömegesen elterjedhessen? stb
R: "Úgy érted a kiborgokat szeretnéd tanulmányozni? :)"
HG: " Hát a cyborgok köztünk járnak. Gondolj itt a pacemakerre. Egyébként arra vagyok kiváncsi mikor lesz elfogadott egy implantátum amelyik nem arról szól hogy megjavítsunk valamit az emberben ami elromlott, hanem új funkciókkal bővítsük vagy jobbá tegyünk valamilyen már meglévő tulajdonságát. Gyakorlatilag én is kiborggá váltam az RFID beültetéssel."
R: "RFID? Röntgenlátás szupererő ? :)"
HG: " Még nem ennyire fejlett a tech. :) Sokhelyen használjunk RFID-t: beléptetőrendszereknél, érintésmentes fizetésnél, az új e-személyiben vagy külföldön tömegközlekedéshez. Egy egyszerű passzív NFC biokapszulát ültettek a bal kezembe, és egy programozható alacsonyfrekvenciás taget a jobba. Az NFC-s olvasható telefonokkal (ha megfelelően kipreparált linket teszek rá, elég egy érintés és a régebbi androidos telók simán átirányíthatóak rosszindulatú weblapokra) használható fizetéshez (pl.:budapest taxinál bitcoin pénztárcának, parkolóházakban, kávéautomatáknál) Ez felvet egy csomó security problémát. Például ezek az eszközök simán bejuthatnak, a tested részeként, szigorúan elzárt zónákba is. Lehet hogy mindez a jelenben még nem tűnik súlyos problémának, de a fejlődést látva és előregondolva, amikor majd nagyobb kapacitás és teljesítmény is belefér majd egy rizsszemnyi csipbe, na az már felvet majd pár kérdést.
A másik LF glass tag is izgalmas. Nem is maga az hogy a kezemben van hanem az a tény hogy ugyanezt a technológiát használják rengeteg helyen beléptetéshez. Uszodákban egyetemeken irodákban. Jó hekkerként nagyon utánanéztem a rendszernek és a technológiánka, talán ez a legngyobb haszna a kiváncsiságomnak. Rájöttem hogy a legtöbb rendszer egyáltalán nem biztonságos, a megfelelő eszközökkel nagyon könnyen átverhető. Távolról lehet például belépőkártya-adatot másolni. Sikeresen klónoztam nagy multiknál használatban lévő csipeket/belépőkártyákat. Tulajdonképpen elég sok irodába simán be tudnék jutni itt budapesten is. Az egy külön fícsör hogy a forgóvillát a pusztakezemmel is le tudom csippantani :) Talán ez is segít felhívni arra a figyelmet hogy ez egy versenyfutás, nem az a kérdés hogy vissza fog e élni ezzel valaki hanem az hogy mikor? Szerintem elég gáz ha egy nagyobb cég megenged magának több évtizedes technológia lemaradást. Főleg ha a biztonságról van szó. Small chip - big trouble"
R: " Hogy jön valakinél az ötlet hogy uu de jó lenne ha belémdöfnének egy vastag tűt, ami a kezembe injektál egy mikrocsipet?"
HG: " Ismered a Shadowrunt? Gyerekként rengeteget olvastam. 90-es évekbeli scifi könyvsorozat. Cyberpunk univerzumot ölel fel amiből szerintem meg is valósult pár jóslat. (creditchip=Bitcoin, mátrix=internet) Na ebben szerepeltek az árnyvilágban tevékenykedő menő dekások (a hacker/decker zseniális magyar fordítása), akik beültetésükkel csatlakoztak a mátrixra. Ebben a virtuális valóságban aztán izgalmas küldetéseken, (például pen-testeken :) ) vettek részt míg testük a való világban a dekkjükre (számítógépükre) csatlakozva feküdt. Ők voltak a kedvenc karaktereim, a mindig okos gépen függők akik az eszüket és a technológiát használták egy probléma megoldásakor . Mondhatjuk: Már kiskoromban is kiborg hacker akartam lenni, amikor nagy leszek :D"