Legális hackelés - csukott szemmel nem lehet védekezni

Csukott szemmel nem lehet védekezni, vallják az etikus hackelés hívei, akik szerint fontos dolog a rendszerüzemeltető céges IT-alkalmazottak arra való oktatása, hogyan lehet nem kívánatos vendégként beköszönni egy számítógépes hálózatba. Egy szép összegért cserébe már hazánkban is bárki pandúrból rablóvá válhat.

A hacker a legtöbb ember fejében a gonosz, pénzsóvár adattolvaj képét villantja fel, többnyire anélkül, hogy e mellé az "etikus" szó köré épült fogalom is kapcsolódna. Fehér kalapos hackerekről hallottunk már, akik megrendelésre tesztelnek rendszereket úgy, hogy megpróbálnak minden eszközzel behatolni vagy hibát találni. Ez már mondhatni erkölcsösebb módja a csintalankodásnak. De vajon miféle tudással rendelkezhet valaki, aki elvégzi az ezen a héten induló első hivatalos, 5 napos Ethical Hacking képzést? Sőt, vajon mire tudja használni a sötét tanokat?

Alapjában véve olyan szakemberek számára lehet hasznos, akiknek a napi munkájuk során egy kisebb-nagyobb hálózatot kell működtetniük és szeretnének önmaguk is megbizonyosodni - lehetőség szerint elszenvedett károk nélkül - arról, hogy amit alkottak, az valóban megbízható és biztonságos. A Netakadémia alapítója, Fóti Marcell szerint leginkább az autós töréstesztek esetére hasonlít az etikus hackelés. Hogy lássuk, hogyan viselkedik egy autó balesetkor, ahhoz össze kell törni. Ugyanígy kell megostorozni egy számítógépes hálózatot, amennyiben valaki nem akkor szeretne rájönni a gyengeségekre, amikor reggel a vállalat weblapja helyén a gay.hu-t találja.


Egyre trükkösebbek
Ugyan az elmúlt néhány évben az IT-biztonság terén olyan szintű előrelépések történtek, hogy a klasszikus, egyszerű betörések gyakorlatilag elképzelhetetlenné váltak, de mégsem lehet hátradőlni. Néhány évvel ezelőtt még a NASA honlapja is arra a sorsra jutott, hogy valaki befurakodott és lecserélte a kezdőoldalt, de ez ma már szinte elképzelhetetlen. Akkoriban a gyerekcipőben járó szerveralkalmazások és fejletlenebb protokollok nyilvános hibáit kihasználva akár tinédzser gyerekek is tudtak kárt okozni. Mára viszont a legtöbb szoftvergyártó komolyan veszi a biztonsági fejlesztéseket, igaz van aki hangosabban dicsekszik vele, mint a Microsoft, van akik pedig kevésbé feltűnő módon, de ugyanazt képviselik.

A legtöbb rendszergazda azt kommunikálja kifelé, hogy rendben van a hálózatuk, de valójában félnek eléggé. A statisztikák sem megnyugtatók: tavaly csúcson volt a beismert hackelések száma, de ezekhez hozzá illik számolni azokat a be nem vallott sikeres támadásokat is, melyeket a cégek inkább szőnyeg alá söpörnek, minthogy kiderüljön a hibájuk. Az érdekesség, ami miatt létjogosultsága van a jófiúk képzésének viszont nem az, hogy romlanak a mutatók, hanem az, hogy ma már egész más módszerek sikeresek, mint pár éve.

Ma már nem olyan egyszerű lezúzni egy SQL adatbázist, megfektetni egy levelező szervert, vagy áttörni egy vállalati tűzfalon, bejutni egy titkosított csatornába, mint rég, viszont az emberi tényezők egyre cifrábbak. Az egyszerű butaság még továbbra is hódít, mint rizikó faktor. Ma már bevett szokás, hogy a rafináltabb betörők jelentkeznek a kiszemelt céghez alkalmazottnak, majd belülről feltérképezik a rendszert és szép lassan megfejtik azt. Sőt, hogy tovább ne menjek, hiába mágnes­kár­tyás, recepciós, regiszt­rálós a beléptetés a legtöbb multicégnél, többek közt jómagam is sikeresen besétáltam a T-csoport egyik üzleti meetingjére, amit nyugodtan végig is ülhettem anélkül, hogy bárkinek is gyanús lettem volna mikor helyet foglaltam. Én egyszerűen elnéztem a dátumot egy sajtóeseményre, egy rosszindulatú kíváncsiskodó viszont komoly üzleti titkokat is szerezhet ilyen módszerrel. Megdöbbentően egyszerűen.

Arról nem is beszélve, hogy ma már szinte mindent fontos adat elérhető a weben keresztül. Klisének tűnik, de gondoljuk át! Ha én elérem egy böngészőn keresztül a saját banki adataimat, ha te is eléred böngészőn keresztül a sajátodat, akkor az azt jelenti, hogy weben keresztül mindegyik adat hozzáférhető, csupán egy szoftver kerítés védi azokat az illetéktelen kezektől. Akinek sikerül megmászni ezt a kerítést, gyakorlatilag bármit megkaparinthat. Ha pedig Kevin Mitnick példáját említjük, tisztán látszik, hogy bizalmas adatok megszerzéséhez még számítógép se kell, elegendő egy telefon és az emberek jóindulata, hiszékenysége vagy a munkahelyi megfelelni vágyása.

A rizikók ismeretében érthető, hogy az egyébként főként szerveroldali alkalmazások oktatására specializálódott Netakadémia belefogott egy ilyen oktatásba is (még akkor is, ha 395 ezer forintot kér érte fejenként). Bárkiben felvetődhet viszont a kérdés, hogy vajon mitől válik etikussá egy hacker? Az újságírók kérdezősködésére Fóti Marcell elmondta, hogy külön etikai modulokat nem tartalmaz a tanfolyam, csak jogi és egyéb hasznos tudnivalókkal látják el a jelentkezőket a szakmai mondani valón felül. Így elméletileg valaki gonosz motivációkkal is magára vehetné itt a tudást.

Persze, nyilvánvaló, hogy aki fekete kalapos, az underground forrásokból szerzi meg többnyire a tudását, ráadásul nem nagyon szeretne regisztráltként szerepelni egy listában, hogy ő képes feltörni rendszereket. A kalandozó "script kiddie"-ket pedig többnyire elriasztja a magas ár. Akiket pedig a cégük befizet egy ilyen akcióra, azok egyébként is hozzáférnek titkos adatokhoz, mégsem élnek vissza vele. Bár állítólag évente több tíz embert visznek el bilincsben bankoktól, pénzintézetektől. Mindig van, aki megpróbálja.

Az etikus hackelés fogalmának népszerűsítésére a Netakadémia létrehozott egy szervert, ahol egy 12 szintes akadálypályát állítottak fel az önjelölt betörőknek, amin letesztelhetik tudásukat. A legegyszerűbb feladatok szimpla URL-hackelésre építenek, de később cross-site scripting és SQL Injection (adatbázis módosítása anélkül, hogy az illetőnek hozzáférése lenne a belépéshez, egyszerűen a paraméterezés során kell becsapni az alkalmazást) is előkerül.

A közelmúltban már több, mint 2500 felhasználó vágott neki ennek a kihívásnak (ez valószínűleg kevesebb ember, mert egyes feladatok során néhányan a felhasználónévvel is próbáltak trükközni). Közülük 5-700 fő jutott át az egyszerűbb feladatokon, de 400-an az SQL-t is átverték, és több mint 200 ember végigvitte az egészet. Többen jelezték, hogy szívesen továbbfejlesztenék a feladatokat nehezebbekre. Mindezt egy olyan országban, ahol összesen körülbelül 1000 embernek van MCP vizsgája, ami bizonyítja, hogy MS-rendszereket képes üzemeltetni.

Ha az önjelölt hackereknek csak kis százaléka igazán durva szakértő, és közülük is csak minden harmadik dönt a sötét oldal mellett, akkor az adataikat féltve őrző vállalatoknak érdemes igyekezni, hogy lépést tartsanak a kevésbé etikus hackerekkel is.