Biztonságunk őrei
„A hacker tilosban jár!” „A hacker egy bűnöző!” – Két kiragadott első reakció a környezetemben megkérdezett személyektől, akiknél arról érdeklődtem, mi ugrik be nekik elsőként a hacker szóról. Egybehangzó vélemény volt, hogy maga a kifejezés valami sötét, titkos és egészen biztosan törvénytelen technika használatára utal. Nem meglepő módon a köznyelvben is egyfajta bűnözői attitűdöt társítanak ehhez a fogalomhoz. De vajon kik is a hackerek a szakirodalom szerint? A Cambridge szótár így definiálja a hacker kifejezést: „az a személy, aki jártas a különféle számítógépes rendszerek használatában, gyakran illegális módon ér el hozzáférést a magán számítógépes rendszerekhez”. Török Dávid azonban egyáltalán nem ért egyet ezzel a meghatározással. Neki jóval szimpatikusabb a HackerOne nevű szervezet által sokat hangoztatott gondolat, mely szerint „az a személy, aki élvezi azt a szellemi kihívást, ami a korlátok kreatív módon történő leküzdését jelenti”. Mint mondja, ha ezt a logikát vesszük alapul, hackerek már évezredekkel ezelőtt is léteztek. Ők voltak azok a tudósok, gondolkodók, akik – korukat meghaladva – feszegetni kezdték a tudományok és a művészetek határait és kérdéseit.
Fehér vs. fekete kalaposok
Amennyiben kifejezetten az IT „hackerek” világára fókuszálunk, a létezésük lényegében a számítógépes rendszerek megszületéséig vezethető vissza. Tevékenységük alapján két csoportra oszthatjuk őket: az etikus, más néven fehér kalapos hackerekre, akik tudásukat arra használják fel, hogy megbízás alapján biztonsági hibákat tárjanak fel és javítsanak ki, illetve a fekete kalaposokra, akik jogosulatlanul törnek be számítógépbe, illetve számítógép-hálózatokba, a céljuk pedig haszonszerzés, károkozás vagy mindezt puszta kíváncsiságból teszik. Mint ahogy a világ sem fekete-fehér, a hackerek között is van átmenet. A szürke kalaposok átlépik a törvényi határokat, nem megbízás alapján törnek be, de a szándékuk a fehér kalaposokkal alapvetően megegyezik. Számukra a morális jó fontosabb, mint az, hogy mit tart a törvény legálisnak. Török Dávid szerint az IT-rendszerekkel kapcsolatos bűncselekmények elkövetése nem különbözik a „hagyományosabb” bűncselekményektől, ugyanakkor arra is felhívja a figyelmet, hogy a támadók sok esetben mások által fejlesztett kész eszközöket használnak, és nem is pontosan értik szakmailag, hogyan működik a támadás, amit végrehajtanak. Magyarországon a Btk. 300/C paragrafusa szabályozza a számítástechnikai rendszer és adatok elleni bűncselekményeket, a büntetés – a kár mértékétől függően – egytől tíz évig terjedő szabadságvesztés lehet.
Az információbiztonsági szakértő szerint az a fejlemény, hogy a hackerek hogyan kezelik az erőforrásaikat és az érzékeny információikat, nagymértékben azokon a cégeken múlik, amelyek fejlesztik és karbantartják az érintett szoftvereket. „Még külföldön is nagyon gyakori, hogy nem fizetik meg eléggé a bug bounty (hibavadász – a szerk.) programok keretében a felfedezett sérülékenységeket, és ennek nemritkán az a következménye, hogy az eredmények harmadik félhez jutnak el a gyártó helyett” – mutat rá a rendszer gyenge pontjára Török Dávid. Érdekes módon nem egyoldalú az átjárás, azaz nemcsak eltévelyedőket ismer a történelem, de olykor a „sötét oldalról” is visszatalálnak néhányan a fényre.
Közülük is a fiatal brit informatikus, Marcus Hutchins története a leghíresebb. A fiatalember két évvel ezelőtt a WannaCry nevű zsarolóvírus megfékezésével szerzett magának hírnevet, majd nem sokkal később kiderült róla: olyan rosszindulatú programokat, malware-eket készített 2014 és 2015 között, amelyek valódinak tűnő, de hamis banki oldal megnyitására irányították a felhasználókat, hogy így ellophassa azok adatait. A bírósági ügy egészen idén nyárig húzódott, a bíró pedig a vádak és a bizonyítékok homályossága, a WannaCry megállítása, továbbá a nagyon fiatal korában elkövetett bűneinek látszólag őszinte megbánása miatt végül megkegyelmezett neki. Elítélte ugyan Hutchinst, azonban letöltöttnek tekintette a büntetését, így nem kell börtönbe vonulnia.
Folyamatos (ön)képzés
És hogy kiket vonzhat és legfőképpen miért napjainkban ez a szakma? Egy friss kutatás szerint meglepő módon a meggazdagodás nem szerepel az első helyen. A brit National Crime Agency felmérése a többi között arra mutat rá, hogy sokkal inkább vonzó lehetőségként tekintenek a fiatalok a hackerkedésre, mert így tesztelhetik képességeiket, és egyben elismerést is szerezhetnek azok körében, akiket szintén érdekel a techvilág. A hackerek 61 százaléka 16 éves kora előtt kezdi a „pályafutását”, és a kutatók arra a megállapításra jutottak, hogy a különböző online játékok is ösztönzik a tinédzsereket, hogy kedvet kapjanak illegális behatolásokra.
Török Dávid szintén gyerekkorában kezdett érdeklődni a téma iránt, elmondása szerint vonzóbb volt számára ez a terület, mint bármilyen más alternatíva, mellyel akkoriban találkozott. Tízévesen már neten rendelte meg a különböző programozási nyelvek több száz oldalas könyveit, melyekből autodidakta módon tanult meg programozni. Emellett már tinédzserként is folyamatosan olvasta a külföldi szakirodalmat és figyelemmel kísérte a techvilág újdonságait. Mérhetőbb eredményét 18 évesen érte el az első nagy értékű bug bounty formájában. A hibavadász programok olyan sebezhetőségek után fizetnek, amelyek bizonyíthatóan bűnözők dolgát segíthetik, azonban a támadás maga nem tekinthető újszerűnek. Minél veszélyesebb forgatókönyvvel rendelkező sérülékenységet fedez fel valaki, annál komolyabb összegeket fizetnek a vállalatok az etikus hackernek. „Logikusan kell tudni gondolkodni, nagyon kíváncsinak kell lenni az adott téma iránt, és sok-sok időt kell foglalkozni vele” – sorolja Dávid, mire is van szükség ehhez a munkához. Az iskolai végzettség, a diploma nem feltétlenül szükséges ahhoz, hogy valaki ezen a piacon tevékenykedjen. Léteznek úgynevezett „certificate”-ek, azaz tanúsítványok a szakmában, mint például az OSCP (Offensive Security Certified Professional), Török Dávid azonban ezeket nem tartja elég hasznosnak, mert nem tükrözik sem a kíváncsiságot, sem a kreatív gondolkodást, valamint szakmai tudást is csak korlátozott területeken és mértékben ad megszerzőinek.
„Magyarországon jelenleg egy olyan szakmai laborról tudok csak, ahol véleményem szerint érdemes erről tanulni, ez a CrySys Lab a budapesti Műegyetemen” – jegyzi meg az információbiztonsági szakértő, azzal árnyalva a képet, hogy maga a mérnöki képzés, amely megelőzi a bekerülést, számos olyan tárgyat és kötelező időtöltést foglal magában, amelyek szinte egyáltalán nem fejlesztik azokat a képességeket, amelyekre egy hackernek valóban szüksége van. Azt is elmondta, hogy a területen dolgozó legjobb szakemberek többsége elsősorban autodidaktaként tanul, méghozzá folyamatosan. A hackeléshez ugyanis komoly elhivatottság kell, és naprakésznek kell lenni az újdonságokat illetően. Az új rendszerek ugyanis új sebezhetőségeket generálnak.
Véleménye szerint a hackerversenyek, a CTF-ek (Capture The Flag) jelentik a legjobb lehetőséget a tanulásra. Maga az elnevezés a hagyományos zászlófogásos harci játékra vezethető vissza, ebben az esetben azonban a flag, vagyis a zászló többnyire egy titkos információ, azt kell megszerezni egy szolgáltatás megtörésével, egy kriptográfiai feladat megoldásával vagy valami hasonló technológia használatával.
A versenyek közül kiemelkedik a szakmában a DefCon, amikor Las Vegasban egyszerre két szakmai konferenciát szerveznek a kódfeltörés témájában. Az érdeklődés akkora, hogy jóllehet ezer fő befogadására alkalmas előadótermek vannak, mégsem lehet könnyen bejutni egy-egy előadásra. Ezen a megmérettetésen a CrySys Lab egykori csapata a !SpamAndHex többször is döntőbe jutott, és Dávid kétszer is a csapat tagja volt. A 16-os döntőbe jutásért idén 1262 csapat versengett – mindez jelzi a kihívás nagyságát, kiemelve: a sérülékenységkutatáshoz hasonlóan itt is rengeteg energiát és időt igényel a fejlődés, csakis így lehet jó eredményeket elérni. Az új, fiatal egyetemistákból álló magyar csapatot, a nevük: c0r3dump, is a legjobb 100 között jegyzik idén. A DefCon és a hozzá hasonló versenyek jelentőségét a szakmai ismereteken túl még „ugródeszka” jellegük is adja: a kiemelkedő eredményeket elérő hackerek komoly vállalatoknál juthatnak gyakornoki pozícióba, azaz a szamárlétra első fokának is tekinthetők ezek a megmérettetések.
Fókuszban az adatbiztonság
Török Dávid számos területtel foglalkozik, de a reverse engineering áll hozzá a legközelebb, vagyis az a folyamat, amikor egy rendszert vagy objektumot az alkotóelemeire bontanak le, és megpróbálják megérteni a dizájnját, architektúráját. Ez az IT kontextusán belül nagyon gyakran olyan szoftverek visszafejtését jelenti, amelyeknek a forráskódja az etikus hacker számára nem elérhető. Minderre azért volt szükség, mert a fejlesztők is gyakran követhetnek el hibákat, esetenként nincsenek tisztában azzal, hogy amit csinálnak, az akár potenciális veszélyforrás is lehet. Tapasztalatai szerint a webalkalmazásokhoz köthető hagyományos hibákból még ma is igen sok fordul elő. Mint mondja, az SQL Injection és a cross-site-scripting nem szűnt meg. Ez utóbbi módszer lényege, hogy egy már meglévő rendszerbe egy kártékonyprogram-részletet tudunk beilleszteni, majd maga a megtámadott ügyfél futtatja le a kódot.
Természetesen a weben kívül is van élet. „A natív programok világában élő memory corruption sérülékenységek veszélyességét nagyban csökkentik az új védelmi technikák, mint az ASLR, Stack canaryk, RELRO, NX, CFI, már ahol használják őket” – magyarázza Dávid. Mivel ezek a védelmi technológiák nem végfelhasználói funkciók, az átlagos vásárlók részéről nem tud megjelenni az igény arra, hogy a gyártók alkalmazzák azokat annak ellenére, hogy a meglétük vagy hiányuk alapvetően el tudja dönteni egy sérülékenység kihasználásának az összetettségét. Tipikus termékek, amelyek fokozottan érintettek a probléma által: a hálózati eszközök és a beágyazott rendszerek, beleértve a ma nagyon divatos Internet of Things (IoT) kategóriába sorolt okos eszközöket.
Mint folytatja, a sérülékenységek megtalálását tovább nehezíti, hogy ezek az eszközök túlnyomó többségükben zárt forráskódú firmware-rel rendelkeznek, vagyis a gyártó cégen kívüli kutatóknak nincs elérésük a forráskódokhoz; a gyártók és szolgáltatók pedig képtelenek belátni, hogy a saját termékeik szabad szoftverré tétele a felhasználók érdekeit szolgálja. „Mivel így a kutatók könnyebben megtalálják a sérülékenységeket, azokat lehet javítani, és a tulajdonosok nemcsak fizikailag uralnák ténylegesen az eszközeiket, hanem a cyber térben is” – érvel a folyamat mellett. Török Dávid szerint a hibák feltérképezése leggyakrabban az erőforrás befektetésének mértékén múlik. „Rengeteg időt kell fordítani arra, hogy az adott szoftvert megértsük, a támadási felületek feltérképezésére, a potenciális sérülékenységek átgondolására, a fejlesztő szemszögéből is körbe kell járni a témát” – avat be a részletekbe.
Az információbiztonsági szakértő szerint a jövőben az adatbiztonság kérdésének extrém prioritást kell élveznie, mivel ennek hiányában csak idő kérdése, hogy mikor kompromittálódik egy cég hírneve vagy válik működésképtelenné. Mindemellett a különböző technológiák egyre inkább kihasználják a mesterséges intelligenciában rejlő lehetőségeket, ezért az illetéktelen adatmódosítások végzetesek lehetnek. „Nem kell messzire menni, elég, ha az önvezető autókra gondolunk” – mondja Török Dávid, aki szerint bár az elmúlt harminc év biztosítási kultúrájának fejlődése azt hozta, hogy vagyontárgyainkat, életünket megvédjük, az adataink biztonságával azonban még mindig kevésbé foglalkozunk.•