Biztonságunk őrei

Egy hacker szerint a világ tele van lebilincselő, megoldásra váró problémákkal. Az már másik kérdés, hogy a kiemelt tudással rendelkezők végül is mire hasz­nál­ják fel ismereteiket: kárt akarnak okozni vele, vagy inkább biz­tonsá­gosabbá akarják tenni szakértelmükkel az inter­netet. Török Dávidnak, a Zero IT Lab információbiztonsági szakértőjének a segítségével teszünk kísérletet arra, hogy betekintést nyerjünk az etikus hackerek világába.


„A hacker tilosban jár!” „A hacker egy bűnöző!” – Két kiragadott első reakció a kör­nyeze­tem­ben megkérdezett személyektől, akiknél arról érdeklődtem, mi ugrik be nekik elsőként a hacker szóról. Egybehangzó vélemény volt, hogy maga a kifejezés valami sötét, titkos és egészen biztosan törvénytelen technika használatára utal. Nem meglepő módon a köz­nyelv­ben is egyfajta bűnözői attitűdöt társítanak ehhez a fogalomhoz. De vajon kik is a hackerek a szakirodalom szerint? A Cambridge szótár így definiálja a hacker kifejezést: „az a személy, aki jártas a különféle számítógépes rendszerek használatában, gyakran illegális módon ér el hozzáférést a magán számítógépes rendszerekhez”. Török Dávid azonban egyáltalán nem ért egyet ezzel a meghatározással. Neki jóval szimpatikusabb a HackerOne nevű szervezet által sokat hangoztatott gondolat, mely szerint „az a személy, aki élvezi azt a szellemi kihívást, ami a korlátok kreatív módon történő leküzdését jelenti”. Mint mondja, ha ezt a logikát vesszük alapul, hackerek már évezredekkel ezelőtt is léteztek. Ők voltak azok a tudó­sok, gon­dol­ko­dók, akik – korukat meghaladva – feszegetni kezdték a tudomá­nyok és a művésze­tek határait és kérdéseit.

Fehér vs. fekete kalaposok

Amennyiben kifejezetten az IT „hackerek” világára fókuszálunk, a létezésük lényegében a számítógépes rendszerek megszületéséig vezethető vissza. Tevékenységük alapján két csoportra oszthatjuk őket: az etikus, más néven fehér kalapos hackerekre, akik tudásukat arra használják fel, hogy megbízás alapján biztonsági hibákat tárjanak fel és javítsanak ki, illetve a fekete kalaposokra, akik jogosulatlanul törnek be számítógépbe, illetve számítógép-hálózatokba, a céljuk pedig haszonszerzés, károkozás vagy mindezt puszta kíváncsiságból teszik. Mint ahogy a világ sem fekete-fehér, a ha­cke­rek között is van átmenet. A szürke kalaposok átlépik a törvényi határokat, nem megbízás alapján törnek be, de a szándékuk a fehér kalaposokkal alapvetően megegyezik. Számukra a morális jó fontosabb, mint az, hogy mit tart a törvény legálisnak. Török Dávid szerint az IT-rendszerekkel kapcsolatos bűncselekmények elkövetése nem különbözik a „hagyományosabb” bűncselekményektől, ugyanakkor arra is felhívja a figyelmet, hogy a támadók sok esetben mások által fejlesztett kész eszközöket használnak, és nem is pontosan értik szakmailag, hogyan működik a támadás, amit végrehajtanak. Magyarországon a Btk. 300/C paragrafusa szabályozza a számítástechnikai rendszer és adatok elleni bűncselekményeket, a büntetés – a kár mértékétől függően – egytől tíz évig terjedő szabadságvesztés lehet.

Az információbiztonsági szakértő szerint az a fejlemény, hogy a hackerek hogyan kezelik az erőforrásaikat és az érzékeny információikat, nagymértékben azokon a cégeken múlik, amelyek fejlesztik és karbantartják az érintett szoftvereket. „Még külföldön is nagyon gyakori, hogy nem fizetik meg eléggé a bug bounty (hiba­vadász – a szerk.) programok keretében a felfedezett sérülékeny­ségeket, és ennek nemritkán az a következménye, hogy az eredmé­nyek harmadik félhez jutnak el a gyártó helyett” – mutat rá a rend­szer gyenge pontjára Török Dávid. Érdekes módon nem egyol­dalú az átjárás, azaz nemcsak eltévelyedőket ismer a történelem, de olykor a „sötét oldalról” is visszatalálnak néhányan a fényre.
Közülük is a fiatal brit informatikus, Marcus Hutchins története a leghíresebb. A fiatalember két évvel ezelőtt a WannaCry nevű zsarolóvírus megfékezésével szerzett magának hírnevet, majd nem sokkal később kiderült róla: olyan rosszindulatú programokat, malware-eket készített 2014 és 2015 között, amelyek valódinak tűnő, de hamis banki oldal megnyitására irányították a felhasználókat, hogy így ellophassa azok adatait. A bírósági ügy egészen idén nyárig húzódott, a bíró pedig a vádak és a bizonyítékok homályossága, a WannaCry megállítása, továbbá a nagyon fiatal korában elkövetett bűneinek látszólag őszinte megbánása miatt végül megkegyelmezett neki. Elítélte ugyan Hutchinst, azonban letöltöttnek tekintette a büntetését, így nem kell börtönbe vonulnia.

Majdnem börtönbe került a hacker
A biztonsági hibák nagy részét nem lehet csak úgy véletlenül megtalálni. Ha pedig felkérés nélkül, szándékosan keresik azokat, akkor akár veszélyes területre léphetnek. Ezt a dogmát korábban feltehetően nem ismerő, segítő szándékú hacker egész életére megtanulta. Történt ugyanis, hogy egy főiskolás programozó 2017 nyarán biztonsági rést talált a Magyar Telekom informatikai rendszerében, majd figyelmez­tette is a céget a problémára. A fiatal hacker egy szokatlan IP-címre figyelt fel a Magyar Telekom egy nyilvános, interneten elérhető fel­használói útmutatójában. Ezt megvizsgálva jött arra rá, hogy azon keresztül rendszergazdai jelszóhoz lehet jutni, ami hozzáférést enged a vállalat belső informatikai rendszeréhez. A vállalat a probléma ismertetése után arra kérte a fiatalembert, hogy függessze fel tevékenységét, ám miután ezt mégsem tette meg, feljelentették. A hazai sajtóban is komoly visszhangot kiváltó ügy lett belőle: az ügyészség előzetes letartóztatásba akarta helyezni a túlbuzgó hackert, a bíróság végül 600 ezer forint pénzbüntetés megfizetésére kötelezte.

Folyamatos (ön)képzés

És hogy kiket vonzhat és legfőképpen miért napjainkban ez a szakma? Egy friss kutatás szerint meglepő módon a meggazdagodás nem szerepel az első helyen. A brit National Crime Agency felmérése a többi között arra mutat rá, hogy sokkal inkább vonzó lehetőségként tekintenek a fiatalok a hackerkedésre, mert így tesztelhetik képességeiket, és egyben elismerést is szerezhetnek azok körében, akiket szintén érdekel a techvilág. A hackerek 61 százaléka 16 éves kora előtt kezdi a „pályafutását”, és a kutatók arra a megállapításra jutottak, hogy a különböző online játékok is ösztönzik a tinédzsereket, hogy kedvet kapjanak illegális behatolásokra.

Török Dávid szintén gyerekkorában kezdett érdeklődni a téma iránt, elmondása szerint vonzóbb volt számára ez a terület, mint bármilyen más alternatíva, mellyel akkoriban találkozott. Tízévesen már neten rendelte meg a különböző programozási nyelvek több száz oldalas könyveit, melyekből autodidakta módon tanult meg programozni. Emellett már tinédzserként is folyamatosan olvasta a külföldi szakirodalmat és figyelemmel kísérte a techvilág újdonságait. Mérhetőbb eredményét 18 évesen érte el az első nagy értékű bug bounty formájában. A hibavadász programok olyan sebezhetőségek után fizetnek, amelyek bizonyíthatóan bűnözők dolgát segíthetik, azonban a támadás maga nem tekinthető újszerűnek. Minél veszélyesebb forgatókönyvvel rendelkező sérülé­kenységet fedez fel valaki, annál komolyabb összegeket fizetnek a vállalatok az etikus hackernek. „Logikusan kell tudni gondol­kodni, nagyon kíváncsinak kell lenni az adott téma iránt, és sok-sok időt kell foglalkozni vele” – sorolja Dávid, mire is van szükség ehhez a munkához. Az iskolai végzettség, a diploma nem feltétlenül szükséges ahhoz, hogy valaki ezen a piacon tevékenykedjen. Léteznek úgynevezett „certificate”-ek, azaz tanúsítványok a szakmában, mint például az OSCP (Offensive Security Certified Professional), Török Dávid azonban ezeket nem tartja elég hasznosnak, mert nem tükrözik sem a kíváncsiságot, sem a kreatív gondolkodást, valamint szakmai tudást is csak korlátozott területeken és mértékben ad megszerzőinek.

„Magyarországon jelenleg egy olyan szakmai laborról tudok csak, ahol véleményem szerint érdemes erről tanulni, ez a CrySys Lab a budapesti Műegyetemen”
– jegyzi meg az információbiztonsági szakértő, azzal árnyalva a képet, hogy maga a mérnöki képzés, amely meg­előzi a bekerülést, számos olyan tárgyat és kötelező időtöltést foglal magában, amelyek szinte egyáltalán nem fejlesztik azokat a képességeket, amelyekre egy hackernek valóban szüksége van. Azt is elmondta, hogy a területen dolgozó legjobb szakemberek többsége elsősorban autodidaktaként tanul, méghozzá folyamatosan. A hackeléshez ugyanis komoly elhivatottság kell, és naprakésznek kell lenni az újdonságokat illetően. Az új rendszerek ugyanis új sebezhetőségeket generálnak.

Véleménye szerint a hackerversenyek, a CTF-ek (Capture The Flag) jelentik a legjobb lehetőséget a tanulásra. Maga az elnevezés a hagyományos zászlófogásos harci játékra vezethető vissza, ebben az esetben azonban a flag, vagyis a zászló többnyire egy titkos információ, azt kell megszerezni egy szolgáltatás megtörésével, egy kriptográfiai feladat megoldásával vagy valami hasonló technológia használatával.

A versenyek közül kiemelkedik a szakmában a DefCon, amikor Las Vegasban egyszerre két szakmai konferenciát szerveznek a kódfeltörés témájában. Az érdeklődés akkora, hogy jóllehet ezer fő befogadására alkalmas előadótermek vannak, mégsem lehet könnyen bejutni egy-egy előadásra. Ezen a megmérettetésen a CrySys Lab egykori csapata a !SpamAndHex többször is döntőbe jutott, és Dávid kétszer is a csapat tagja volt. A 16-os döntőbe jutásért idén 1262 csapat versengett – mindez jelzi a kihívás nagyságát, kiemelve: a sérülé­kenység­kutatás­hoz hasonlóan itt is rengeteg energiát és időt igényel a fejlődés, csakis így lehet jó eredményeket elérni. Az új, fiatal egyetemistákból álló magyar csapatot, a nevük: c0r3dump, is a legjobb 100 között jegyzik idén. A DefCon és a hozzá hasonló versenyek jelentőségét a szakmai ismereteken túl még „ugródeszka” jellegük is adja: a kiemelkedő eredményeket elérő hackerek komoly vállalatoknál juthatnak gyakornoki pozícióba, azaz a szamárlétra első fokának is tekinthetők ezek a megmérettetések.

3,4 millió dollárt kerestek a Google bugvadászai
Számos cég évek óta fizet a rendszerében talált, de mások által még nem ismert hibák felfedezőinek. A Google az évtized elején indí­totta el bug bounty (hibavadász) programját, amellyel a biztonsági szakértőket vagy akár a területtel hobbiszinten foglalkozókat ösztönözte arra, hogy teszteljék a termékekben talált sebezhetőségeket. A keresőóriás év elején tette közzé tavalyi statisztikáit, amelyekből kiderül, hogy csak 2018-ban a vállalat több mint 3,4 millió dollárt fizetett a szoftvereiben felbukkant biztonsági rések jelentőinek. A vállalat 1319 egyedi jutalmat osztott ki 317 kutatónak, összesen 78 országban. A legnagyobb jutalmat egy lengyel biztonsági szakértő, Tomasz Bojarski kapta egy XSS sebezhetőség jelentéséért, amellyel a potenciális támadók megváltoztathatták a kiszemelt weboldalak megjelenését, illetve személyes adatokat is megszerezhettek a látogatóktól. Bojarski azóta éttermet nyitott a 41 ezer dolláros jutalomból. A Google 2010 óta összesen több mint 15 millió dollárral jutalmazta a biztonsági rések megtalálóit.

Fókuszban az adatbiztonság

Török Dávid számos területtel foglalkozik, de a reverse engineering áll hozzá a legközelebb, vagyis az a folyamat, amikor egy rendszert vagy objektumot az alkotóelemeire bontanak le, és megpróbálják megérteni a dizájnját, architektúráját. Ez az IT kontextusán belül nagyon gyakran olyan szoftverek visszafejtését jelenti, amelyeknek a forráskódja az etikus hacker számára nem elérhető. Minderre azért volt szükség, mert a fejlesztők is gyakran követhetnek el hibákat, esetenként nincsenek tisztában azzal, hogy amit csinálnak, az akár potenciális veszélyforrás is lehet. Tapasztalatai szerint a webalkalmazásokhoz köthető hagyományos hibákból még ma is igen sok fordul elő. Mint mondja, az SQL Injection és a cross-site-scripting nem szűnt meg. Ez utóbbi módszer lényege, hogy egy már meglévő rendszerbe egy kártékonyprogram-részletet tudunk beilleszteni, majd maga a megtámadott ügyfél futtatja le a kódot.

Természetesen a weben kívül is van élet. „A natív programok világában élő memory corruption sérülékenységek veszélyességét nagyban csökkentik az új védelmi technikák, mint az ASLR, Stack canaryk, RELRO, NX, CFI, már ahol használják őket” – magyarázza Dávid. Mivel ezek a védelmi technológiák nem végfelhasználói funkciók, az átlagos vásárlók részéről nem tud megjelenni az igény arra, hogy a gyártók alkalmazzák azokat annak ellenére, hogy a meglétük vagy hiányuk alapvetően el tudja dönteni egy sérülékenység kihasználásának az összetettségét. Tipikus termékek, amelyek fokozottan érintettek a probléma által: a hálózati eszközök és a beágyazott rendszerek, beleértve a ma nagyon divatos Internet of Things (IoT) kategóriába sorolt okos eszközöket.

Mint folytatja, a sérülékenységek megtalálását tovább nehezíti, hogy ezek az eszközök túlnyomó többségükben zárt forráskódú firmware-rel rendelkeznek, vagyis a gyártó cégen kívüli kutatóknak nincs elérésük a forráskódokhoz; a gyártók és szolgáltatók pedig képtelenek belátni, hogy a saját termékeik szabad szoftverré tétele a felhasználók érdekeit szolgálja. „Mivel így a kutatók könnyebben megtalálják a sérülékenységeket, azokat lehet javítani, és a tulajdonosok nemcsak fizikailag uralnák ténylegesen az eszközeiket, hanem a cyber térben is” – érvel a folyamat mellett. Török Dávid szerint a hibák feltérképezése leggyakrabban az erőforrás befektetésének mértékén múlik. „Rengeteg időt kell fordítani arra, hogy az adott szoftvert megértsük, a támadási felületek feltér­ké­pezésére, a potenciális sérülékenységek átgondolására, a fejlesztő szemszögéből is körbe kell járni a témát” – avat be a részletekbe.

Az információbiztonsági szakértő szerint a jövőben az adatbiztonság kérdésének extrém prioritást kell élveznie, mivel ennek hiányában csak idő kérdése, hogy mikor kompromittálódik egy cég hírneve vagy válik működésképtelenné. Mindemellett a különböző technológiák egyre inkább kihasználják a mesterséges intelligenciában rejlő lehetőségeket, ezért az illetéktelen adatmódosítások végzetesek lehetnek. „Nem kell messzire menni, elég, ha az önvezető autókra gondolunk” – mondja Török Dávid, aki szerint bár az elmúlt harminc év biztosítási kultúrájának fejlődése azt hozta, hogy vagyontárgyainkat, életünket megvédjük, az adataink biztonságával azonban még mindig kevésbé foglalkozunk.•


 
Archívum
 2011  2012  2013  2014  2015  2016  2017  2018  2019  2020  2021  2022  2023  2024
Címkék

Innotéka