Egyre többet hallunk az etikus hackingről, a hackelés megszelídített, jó célokra felhasznált módjáról. Ha jól csinálják, az etikus hacking olyan, mint az etikátlan (legalábbis szakmailag), csak a végeredmény felhasználását tekintve különböznek. Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja, és jó esetben teljességre törekszik. A hackernek ezzel szemben mások a motivációi, ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt igazán. Viszont egyben megegyeznek: mindegyikük a figyelmünket akarja felhívni rendszereink sérülékenységére. Engem viszont most jobban érdekeltek a hackerek figyelmeztetései. Merthogy igazából ellenük küzdenek a biztonsági szakemberek. Ezért örültem, amikor a valódi hackerek közül néhányan vállalták, hogy beszélgetnek velem, felfedik titkaikat és megosztják velem a véleményüket.
Természetesen anonimitást ajánlottam a srácoknak, amit örömmel és ismerősen üdvözöltek, de még emellett sem mulasztották el hozzátenni, hogy bármi, amiről szót ejtünk elsősorban barátaikkal, ismerőseikkel esett meg és nem velük. Külön örültem neki, hogy volt köztük olyan, aki régebben rosszalkodott, de ma már "jó" útra tért. Nagyon kíváncsi voltam, hogy az akkori és mostani szemével mit látott a biztonságban. Mindegyikükre jellemző, hogy megbízásra, legálisan (etikus hacking) is dolgoznak a mai napig. Mostantól kezdve H1, H2, H3, H4 ként fogok rájuk hivatkozni.
Motiváció és késztetés
Vajon miért tör be valaki egy informatikai rendszerbe? Amikor az utcán sétálva meglátjuk egy épület nyitott hátsó ajtaját hányan lépnénk be rajta? H2 szerint ez a kérdés az egyik kulcs a hackerek viselkedésének megértéséhez. A hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek. Miért hagyták nyitva, ha nem lehet bemenni?
Akkor mégis mi választja el a jót a rossztól? Mondhatnánk, hogy a törvény és a gyakorlat. De ahogy H1 rámutat, Magyarországon már több évtizede egy "következmények nélküli" állapot van, ami kedvez a hackereknek. "Amikor egyik haveromat végtelenített telefonkártyával elkapták komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak, mint Ő maga, amikor a tőle elvett kártyát eladták másoknak." Különösen a hacking terén nem igazán hallunk feljelentésekről, bűnesetekről, és ami talán még ennél is fontosabb nem hallunk retorziókról sem. Ahogy H1 fogalmaz "a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele ahhoz, hogy megnyugodjon".
A hackerek azzal is tisztában vannak, hogy legtöbb támadásukról a cégek leginkább hallgatnak. H1 megjegyzi: Jó lenne, ha letagadhatatlan balhék lennének. Ez segítene felszínre hozni a valódi problémákat, amelyekre ezután valódi megoldások születhetnének.
H4-et nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak. "Nem érdekel, hogy egy hacking nyomán kinek, mennyit kell dolgoznia. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség." - mondja H4.
Gyakran nagyon tudatos a hacker tevékenysége. Ilyenkor sok esetben az hajtja, hogy megmutassa mennyire sérülékeny vagy kiszolgáltatott egy rendszer. H3 szerint "Ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs", ez pedig általában felbőszíti a hackert, és piszkálja az igazságérzetét. Ahogy H2 fogalmaz: "Megcsinálják pár forintból a rendszert, és drágán eladják, miközben a valódi szakmai tudást nem fizetik meg a cégek. A hacker sok esetben csak rá akar világítani a problémára."
A hackerek szerint a legtöbb cég bármilyen közeledésükre, és szaktudásuk értékbe bocsátására elutasítással reagál, feljelentéssel fenyeget vagy 1-2 millió forintos megbízásokat dob oda nekik. H3: "Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól ez az egész, és mert lehet, hogy nem is tudnak a saját sérülékenységeikről". H1 úgy gondolja, hogy "ez a hackert nagyon bosszantja".
A rossz érzéseket tovább erősíti az, hogy a valódi hacker tudás látszatának köpönyegébe bújva sokan állítják ma magukról, hogy értenek a biztonsághoz, legalábbis papírjuk van róla. A srácok maguk közt csak "papírhackerként" hivatkoznak rájuk. H4 szerint ma sok rendszert inkompetens üzemeltetők felügyelnek, és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik. H1 továbbviszi ezt a gondolatot: "az ilyen rendszerek mindig törhetőek, még akkor is, ha van időnként penetration testing".
Erős védelmi igények, gyenge biztonság
A deface (a weboldalak megváltoztatása) megítélésével kapcsolatban H2 elmondta, hogy soha nem tartotta igazán nagy teljesítménynek, ha valaki megváltoztatja egy oldal tartalmát. Nem lebecsülve a deface politikai vagy figyelemfelhívó lehetőségeit, H2 szerint az ilyesminek akkor van értelme, ha mélyebb szakmai problémákra világít rá. Meséli, hogy egyik társa mindig kiváló volt ebben a műfajban. Elég volt rámutatni bármilyen weboldalra, és Ő puszta lelkesedésből azonnal deface-elte. Legimpresszívebb húzása az volt, amikor a weboldalt nem egyszerűen átírta, hanem kitett rá egy form-ot, amelybe a bármely látogató által beírt tartalmat a webszerver adminisztrátori jogokkal lefutatta, és természetesen ehhez instrukciókat is mellékelt. Így az oldalt gyenge biztonságáért nem is a hackert, hanem az oda látogató érdeklődőt büntették meg. A módszerben megbúvó irónia jól érzékelteti a hackerek látásmódját, humorérzékét is.
A hackerek számára kifejezetten csemege, amikor olyan rendszerekbe törhetnek be, ahol a nyilvánvaló védelmi igény ellenére nagyon gyenge a biztonság. Ilyenek például a kórházak, ahol - az asztaltársaság egybehangzó véleménye szerint - az informatikai biztonság az utolsó, amire áldoznak. H3 elmesélte, hogy miként bukkant rá egy kórház tűzfalán futó torrent szerverre. Ehhez többen csatlakoztak történeteikkel, egyértelműen állítva, hogy a személyes és betegadatok megszerzéséhez ma alapszintű hackertudás és egyszerű hozzáférés is elégséges.
Az ipari kémkedés hazai penetrációjában már nem volt ennyire egységes a hackerek véleménye. Van, aki szerint még gyerekcipőben jár, de voltak ellentétes gondolatok is. H3 szerint napi szinten lehet találkozni vele, de sokkal inkább egy megbízható belső ember megvásárlásán keresztül, mint klasszikus hacking módszerek által. "Egy kisebb elektronika alkatrészeket gyártó magyar cég munkatársát például jövedelmező amerikai állás várta, a hazai vállalat összes szakmai adatát tartalmazó CD-vel együtt." - meséli. Az emberi tényező mindig a gyenge láncszem. Beszélgetésünknek ezen a pontján megdöbbentő kijelentés hangzik el. "Ma a CIO-k is viszik az adatokat, amikor egyik cégtől a másikhoz mennek dolgozni." - mondja H1 a többiek egyetértő bólogatása mellett.
"Egy ismert üdítőipari vállalatot figyelmeztette a másik, szintén nagy üdítőipari cég, hogy egy bizonyos kollégájuk értékes adatokat akar nekik értékesíteni." - meséli H1. A vizsgálódás során egy kifejezetten MS Outlookra kihegyezett trójai program felhasználásával kiderült, hogy az inkriminált személy és a "jóindulatúan" figyelmeztető cég már régebben kapcsolatban álltak, és az adatlopás már jóval korábban lezajlott. Amikor a cég figyelmeztette a másikat valójában csak elfedni akarta a korábbi akcióját.
Esetek, tanulságok, következmények nélkül
Kíváncsi voltam, vajon mi lapul még a hackerek tarsolyában konkrét esetekről, átélt élményekről, de mielőtt még bármit kérdezhettem volna H4 azonnal bedobott minket a sűrűjébe. Elmesélte, hogy egy bizonyos önkormányzat szervereit hogyan radírozták le, a vezetés miképp tagadta le a tényeket, és azt is, hogy valójában tudták ki követte el a támadást, mégsem tettek semmit. Aztán mégis feljelentés született, erre a megvádoltak is feljelentették a vádlóikat, és az eset innentől fogva amolyan hazai szitkomként laposodott bele a magyar valóságba, valódi következmények nélkül.
Vitapartnereim nem hagytak kétséget afelől, hogy a legtöbb hacker átlagos dolgozóként éli mindennapjait. H1 állítása szerint ismernek olyan tisztes korú hackert, aki egy neves bankban dolgozik főtanácsadóként, és a mai napig aktív hacker is. De a frusztrált, elhanyagolt és alábecsült rendszergazdák közt is található ilyen. Sőt, belső körökben a közelmúltból is ismert olyan bizalmi pozícióban lévő biztonsági tanácsadó cég, amelynek munkatársa az összes adattal a hóna alatt távozott egy konkurens biztonsági céghez.
Miért szorul háttérbe a biztonság? Hol hibázik a védelem?
A hackerek véleménye egyértelműen az, hogy a védelemért felelős szakemberek ma alulértékeltek, mind anyagilag, mind szakmailag. Az álvédelemnek és a papírpajzsoknak köszönhetően a legtöbb cég felső vezetése biztonságban érzi magát, de ez egy kétes alapokon nyugvó biztonságérzet. H4 mosolyogva meséli, hogy valamelyik elvégzett legal hacking munkája után megkérték, hogy oldja meg azt, hogy a riportot mindenképpen egy CISA végzettségű kolléga írja alá. A vezetés ugyanis úgy gondolta, hogy ettől lesz majd a jelentés műszaki szempontból is megalapozott, miközben minden szakember tudja, hogy az auditor és a hacker a skála két ellentétes szélén szokott dolgozni.
2003-ban született egy törvény, amely az illegális informatikai betörések bünthetetőségét próbálta kezelni, de a hackerek szerint a törvény elvétette a célt, sőt bizonyos értelemben túl is lőtt rajta. H3 úgy véli, hogy ha a törvényt betartanák, akkor még oktatni sem lehetne a hacking semmilyen formáját (etikusat sem). Birtokolni olyan eszközöket, amikkel meg lehet valósítani ilyen cselekményeket pedig szintén tilos lenne. H4 szerint ma egy legális penetration teszter notebookjának tartalma már önmagában illegális, csupán az ilyen eszközök birtoklásáért is bajba kerülhetne. Ebből az következett, hogy a törvény alapján valódi következmény vagy retorzió nem valósult meg az elmúlt években, és ezzel tulajdonképpen a hackerek hozzáállása sem változott. Továbbra is úgy gondolják, hogy ami sérülékeny az törhető, ami törhető az bizonyítványt állít ki a készítőjéről, karbantartójáról.
A hackerek körében a szakmaiságon mindig nagy volt a hangsúly: szakmai profizmusukat, IT-biztonságra specializálódott vájt fülüket tartják ma is egyetemleges ismertetőjelüknek. De azért itt is van egy bökkenő. "Hol lehet kipróbálni az új dolgokat, amiket tanulunk?" - teszi fel a kérdést magának H2, és rögtön válaszol is rá. "Éles rendszereken, működő infrastruktúrákon. Máshol csak laborkísérlet lenne." H1 sietve hozzáteszi: „persze az egyszerű szkennerképzőben tanultakat bárhol ki lehet próbálni, viszont a bonyolultabb hack-ekhez komplex, élő környezet kell."
A védelem másik aspektusa a már létező biztonsági elemek hatásfoka. H3 szerint a jelenlegi vírusvédelmi technológiák kezdenek elavulttá válni. "A mai vírusirtók ritkán találnak komoly dolgokat. Egyedi vírussal szemben általában tehetetlenek." - állítja H3. A hagyományos IT-biztonsági eszközök általában védtelenek a profi hackerekkel szemben, akik mindig eltüntetik munkájuk nyomait, vélekedett H4. Ne felejtsük el, hogy támadni mindig könnyebb, mint védekezni. H4 szerint azért a hackelésnek is van határa. Tudják, hogy vannak olyan rendszerek, olyan védelmi megoldások, amelyek feltöréséhez többet kell a támadási oldalon belefektetni (mind anyagilag, mind szellemileg), mint amennyit megér a megszerzett információ vagy más hackerek elismerése.
H1 kiemeli, hogy a rossz ellenőrzési, auditori gyakorlat is káros lehet. Az auditorok részéről hiányosságként hozza fel, hogy sokszor nincs valódi szakmai tapasztalatuk, és a legtöbb esetben rossz irányból közelítik meg az IT-biztonság mélyebb szakmai kérdéseit. Ebből általában rossz becslések születnek, amik félreviszik a védekezésre szánt költségeket, amit aztán rossz helyen és más elemekre költenek el, mint kellene. Ezt a hackerek kívülről is jól látják, és ezzel csak nő a késztetésük, hogy bebizonyítsák az adott rendszer gyengeségeit.
Hackerek által épített védelem?
Tanulságos pár óra volt, amit ezekkel a srácokkal el tudtam tölteni. Mint az IT-biztonságért tenni akaró szakember kifejezetten örültem, hogy bepillanthattam a függöny mögé, és most talán egy kicsivel többet értek a hackerek motivációkból, gondolkodásmódjából. Egyúttal rájöttem arra is, hogy a hackerek sokkal inkább velünk élnek, mint azt elsőre gondolnánk. Valamelyik munkatársunk, tanácsadónk vagy éppen egy cég CIO-ja, akik nappal lelkesen installálnak, felhasználók problémáján segítenek vagy éppen beszerzési terveken gondolkodnak, üres óráikban vagy miután lemegy a nap, folyamatosan tesztelik a biztonság határait. Ki tudja, talán többet kellene foglalkoznunk ezekkel az emberekkel. Ha több figyelmet, pénzt, szakmai megbecsülést kapnának, a végén még ők építhetnék fel a biztonságosabb védelmi rendszereinket. Akárhogy is lesz, nem érdemes figyelmen kívül hagynunk a figyelmeztetéseiket. Talán éppen ezért döntöttünk úgy, hogy idén lesz hacking szekció is az ITBN-en is.
A fenti cikk írójaként nincs tudomásom konkrét bűncselekményekről vagy bizalmas céginformációkról. Interjúm alanyainak állításai, gondolatai a saját véleményüket, tapasztalatukat és tudásokat tükrözik.
A cikk a Computerworld biztonság rovatában jelent meg.
