Amíg a szakemberek konferenciák és szaklapok információit alkalmazva alakítják a felhasználók mindennapjait, addig maguk a felhasználók egyre inkább kiszolgáltatottá válnak a megnyugtató vagy éppen felkészítő információkra várva. Meglehet, hogy egy telekommunikációs cég megfelelő megoldást nyújt mobilkommunikációnkhoz vagy adattárolásunkhoz, ám emellett a veszélyekre nem hívja fel a figyelmet. De miért is tenné, hisz valószínűleg nincs meg a háttértudása, hogy az elvárt üzleti magatartásról ne is beszéljünk. Arról, hogy a mobilkommunikáció témaköre nem csupán a két résztvevős telefonálást vagy a letölthető applikációk felhasználói feltételeinek elolvasását öleli fel, Gyebnár Gergő informatikabiztonsági szakértővel beszélgettünk.

Foglaljuk össze, mit is takar a mobilkommunikáció kifejezés.

– A mobilkommunikációt lényegében a GSM-hálózatok jelenléte határozza meg. Magyarország ebből a szempontból egyedi eset, mivel öt különböző csatorna is használható, ehhez hasonló nincs még egy a világon. Általában három kommunikációs csatorna engedélyezése jellemző. Ha tehát kommunikálunk, akkor azt öt különböző frekvencián tehetjük meg. Ez azért érdekes, mert ha például zavarni szeretnék egy GSM-jelet, öt csatornán kell fehér zajt leadni az eredményességhez. (A GSM[2G], mellett számos más – 2.5G-GRPS; 2.75G EDGE; UMTS[3G] LTE[4G] –, rendszeresített szabvánnyal is kell számolni, és már úton az 5G[1–10 Gbit/s] is; ezeknek mind vannak biztonsági rései.)

Ez azt jelenti, hogy az öt különböző frekvencia miatt kicsit nehezebb is a dolguk a zavarkeltőknek?

– Igen, a jelek zavarása nehezebb, de itthon nem jellemző, tilos, ám sok külföldi moziban, tárgyalóban aktív, hogy ne zavarhassák a műsort, a megbeszélést.
Lehallgatni viszont annál könnyebb – mivel az okos eszközünkbe integrálva van minden fontos alkalmazás (levelezés, beszélgetés, szöveges üzenetek, telefonhívások stb.) – és kifizetődőbb lehet. A telefonok lehallgatását egyébként egyszerű eszközökkel meg lehet oldani. A hang alapú kommunikáció megfigyeléséhez csupán egy open source, azaz nyílt forráskódú szoftverre és open hardverre van szükség, legyen egy USRP (Universal Software Radio Peripheral) board és egy GNURadio (ingyenes és nyílt forráskódú fejlesztő eszköztár) a kezünkben. Természetesen mindez olyan magas, akár nemzetbiztonsági kategóriába esik, amiről itt aligha érdemes ilyen röviden beszélni. Mostanában lépnek ki például a Thuraya telefonok a túrázók, hajósok, egyéb GSM lefedettséggel nem rendelkező területeken járók felhasználói köréből, mert működésük műholdas kapcsolaton alapul, így feltörhetetlennek vélik… Valójában ezek a készülékek is ugyanebbe a feltörhető és lehallgatható kategóriába esnek.

Forrás: blackcell.hu

Ezt hallva úgy tűnik, nehéz a lehallgatás ellen megfelelő védekezést találni. Átlagos felhasználói szempontból nem is biztos, hogy erre gondolnunk kell – fontosabb lehet az a kérdés, ami az interneten megosztott adataink titkosítására vonatkozik: mennyire kell el­merülni a témában egy lakossági felhasználónak, és mire van szüksége egy cégnek vagy egyéb szervezetnek. Egyáltalán: helyes a kérdésfelvetés?

– Közelítsük meg más szempontból a dolgokat! Kezdjük onnan, hogy azt a titkosítási rendszert, amelyet a GSM-hálózatok használnak – az A5/1-es nevű titkosító algoritmussal – már 2009-ben, a Chaos Communication Congress elnevezésű hackerkonferencián bemutatták, meg azt is, hogy hogyan kell megtörni! Ez hat éve történt, és azóta is még mindig csak egy rádiófrekvenciás antenna, egy speciális eszköz és egy számítógép kell, és lényegében kedvünkre vandálkodhatunk, amíg az antenna hatótávolsága engedi.
A feltett kérdésre is válaszolva: el kell vonatkoztatni attól, hogy egy rendszert magánszemély vagy cég, netán valamely kormányzati szervezet birtokol. A lényeg az információs érték és annak kommunikációja. Általában szellemi tulajdonokról beszélünk, ami lehet süteményrecepttől kezdve akármi. Egy egyszerűnek tűnő étel alapreceptjének titokban tartása meglepő lehet, ugyanakkor volt példa arra, hogy ez a bizonyos recept kétmillió eurónyi értéket jelentett…
A szoftveres mellett a hardveresen titkosított (hardver alapú kulcsvédelemmel ellátott) eszközök, amelyek apropóján meg kell közben említenünk, hogy a külföldön jelenleg elérhető eszközök – amelyeket most több hazai cég is elkezd forgalmazni – használata tilos. Nagyon fontos tudni, hogy ez az egyetlen nyilvánosan, a piacon elérhető eszköz, ami nemzetbiztonsági eszköznek minősül – mivel kerneles szkenneres titkosítást tesz lehetővé, és ebben az esetben a jog elég szigorúan rendelkezik –, tehát ezek vásárlói úgy fognak járni, mint akik korábban kamerás tollal léptek be a határon, és ott rögtön rabosították is őket. Vagyis ott van a jogi határ, ami miatt mégiscsak szoftveres megoldásokat tudunk védekezésre használni, azokkal tudjuk erősíteni a mobil eszközeinket. Utóbbiakra pedig már léteznek rugalmas és költséghatékony megoldások, de megismétlem, hogy igazából a felhasználói alapokat kell megerősíteni. Például az nagyon fontos, hogy elzárjuk a gyerekek elől ezeket, vagy hogy senkinek ne adjunk jogosultságot, és próbáljunk meg minél kevesebb alkalmazást telepíteni.

Az erősítés lényegében azt jelenti, hogy „butítsuk le” a készüléket annyira, amennyire csak lehet, minél kevesebb alkalmazás, szolgáltatás legyen, mivel minden egyes alkalmazás kódolásának hibája veszélyeztetheti a felhasználót.

De az okostelefonoknak nyilván éppen az a lényegük, hogy úgy felturbózzuk őket, hogy lehetőleg minden automatizálva legyen a frissítéstől kezdve a szinkronizáláson át. Ezek szerint biztonsági szempontból mégiscsak az ellenkezője a jó. Hol van az arany középút, ha létezik egyáltalán?

– Jó megoldás erre a virtualizálás, vagyis ha olyan készülékünk van, amelyen külön tárolókat hozhatunk létre a közösségi és az üzleti alkalmazásoknak. Vagy egy nagy, teljesen külön tárolót, egy abszolút virtualizált eszközt hozunk létre magán a fizikai eszközön, és itt kezeljük a titkosított üzeneteinket, titkosított hanghívásainkat, innen intézzük a fájltovábbításainkat. Ezeket nagyon fontos diverzifikálni, különben megint ott vagyunk, ahol a part szakad. Emellett a protokollok kiválasztása, a titkosítások megfelelő használata is nagyon fontos.

Ezt házilag hogyan lehet megoldani? És mikor, miért „szakad a part”?

– Ezt házilag nem könnyű megoldani. Ahhoz nagyon kell érteni az eszközhöz is, a rendszerhez is. Vannak persze eszközök, amelyek képesek rá, és speciálisan erre a célra gyártják őket, illetve ennek megfelelően készítik el már magát a rájuk kerülő szoftvert. De például ahhoz, hogy az IOS operációs rendszeren ilyesmit csináljunk, kicsit mélyebb tudásra van szükség. Android esetében viszont már rengeteg lehetőség van. Az Androidot végül is a végtelenségig lehet erősíteni. Sokan azt mondják, hogy nem szabad ezeket megbolygatni, mert az ilyen szintű behatolás (rootolás) sok kiskaput is kinyit. Igen ám, de ha mégis megtesszük, akkor lényegében rendszergazda-jogosultságot szerzünk a saját telefonunk felett, ami lehetővé teszi, hogy eldöntsük, minek és mihez adunk engedélyt. (Ez ma már elvárható felhasználói szinten, a biztonság megteremtése érdekében.) Vagy legalábbis illene magasabb szinten ismernünk a veszélyeket és a megelőzés módjait. Ez persze tényleg veszélybe sodorhatja az óvatlan vagy figyelmetlen felhasználót, de ha telepítünk egy valóban hatékony tűzfalat, amely alkalmazás szinten képes szabályozni, hogy melyik appnak mihez legyen jogosultsága WiFi-n vagy 3G-n, akkor ezt gyakorlatilag tünetmentesen, remekül tudjuk szigorítani és szabályozni a működést. Így pedig okos maradhat a készülékünk.
Láthatjuk tehát, hogy ha igazán szeretnénk bebiztosítani magunkat, akkor mélyen bele kell nyúlnunk, mondjuk, az androidos eszköz rendszerébe.

Általában két dolog merül fel a kétkedőkben a biztonság megteremtésével kapcsolatban. Az egyik az „amit nem látunk, az nem véd” elv, a másik meg a kétkedés a felhő alapú rendszerek biztonságában. Utóbbi kapcsán oszlanak meg igazán a vélemények, vannak, akik szerint teljesen biztonságosak, mások szerint semmiképpen nem szabad ezeket alkalmazni, mert a kényes információinkhoz, adatainkhoz ott csak az nem fér hozzá, aki nem akar…

– Ez utóbbi a kulcsmondat ebben. Általában az, aki azt mondja, hogy a felhő nem biztonságos, az kellő információ hiányában a kevésbé stabil vagy rosszul használt megosztó alkalmazásokra, mint például a DropBoxra, esetleg a Gmail megoldásokra gondolhat, vagy laikusan gondolkodik. A felhők ettől függetlenül egyre nagyobb szerepet fognak betölteni. Az említett és más megoldásoknál is ugyanaz az alapvető biztonsági elem adott: ha én feltöltök egy adatot, azt nem tudom véglegesen törölni, mert a kiszolgáló kiszolgálójának a kiszolgálóján található, emellett felkerül még nagyon sok redundáns szerverre szerte a világon, így belátható, hogy azt az adatot nem lehet véglegesen törölni. Ellenben ha egy vállalat vagy egy magánszemély néhány  tízezer forintból kialakít magának egy felhőt, és azt felhasználói és hozzáférési szempontból kellőképpen lesarkosítja, szabályokkal szigorítja – és így csak ő, illetve a megfelelő autentikációval, vagyis hiteles azonosítással, felhatalmazással rendelkező felhasználók tudják elérni –, akkor abban már egyáltalán nincs több kivetnivaló, mint mondjuk egy outlookban vagy bármilyen más levelezési alkalmazásban.
Ez a saját kis felhőnk, a felhőszerverünk, amit mi magunk üzemeltetünk. Kiváló példa lehet erre a Málna PC (Rapsberry Pi, erede­ti­leg kisiskolásoknak alkotott apró, de nagy teljesítményt nyújtó számítógép), itt a behelyezett SD kártya méretétől függ a felhőn a tárhelyünk mérete. Ez egy meglehetősen rugalmas megoldás, hiszen nem kell magunkkal hordanunk, viszont akkor érjük el, és onnan, amikor és ahonnan csak szeretnénk, és a biztonságát meg tudjuk szigorítani magánszemélyként és vállalati felhasználóként is.
Aztán létezik felhőtitkosítás a piacon DropBoxhoz, Google Drive-hoz, Sky Drive-hoz is, és ezek nagyon jók még úgy öt évig. Ha azonban az a bizonyos adat öt év múlva is érdekes lehet, valószínű, hogy a jelen titkosítási metódus akkor már egy forintot nem fog érni.
És persze nem kell mindent feltenni a felhőkbe, a biztonságosan üzemeltetett vagy a saját felhőnkbe sem. Szegmentálni kell az adatokat. Csak olyan adatokat töltsünk fel, amelyekkel nem lehet visszaélni, nem féltjük őket és nem adnak alkalmat zsarolásra. Szükség van a racionális gondolkodásra, hogy, mondjuk, valóban csak a napi munkához szükséges dolgokat töltsük felhőbe. A többi maradjon a helyén, biztonságban. Ne felejtsük el, hogy a már említett DropBox és hasonlók összevonásával akár egy 250 GB méretű tárhelyet is generálhatunk, teljesen ingyen. Miért ne használnánk ki, miért ne dolgoznánk vele?
Igazából a felhő nem jelent nagyobb kockázatot, mint egy nyilvá­nos WiFi-hálózat használata. Sőt… Nézzük a napi rutinunk egyik leginkább kritikus pontját, a levelezést. Ha teszem azt egy wellnessben vagy egy étteremben vagy bárhol, ahol publikus WiFi-t talál és rá­kapcsolódik, a hálózat és a telefon közé egyszerűen be lehet ékelődni. Egy ilyen közbenállásos támadást indítva minden forgalom elterelődik a beékelődött eszközön keresztül, a forgalmon belül a kódok is. Itt már olyan automatizmusokat alkalmaznak, hogy különösebb parancssorra sincs szükség, hiszen annyiféle androidos fejlesztést találni, hogy lényegében egyetlenegy gombbal az összes fiókjának a jelszavát sikerülhet megszerezni…

Említette, hogy öt év múlva mennyit érnek majd a mai megoldások, és tudjuk, hogy az adataink és a mobilkommunikációnk sehol nincs százszázalékos biztonságban. Mi jöhet még?

– Minden túlzás nélkül állíthatom, hogy amitől a leginkább kell tartanunk, az egy cyberháború. Ott van például Kína, ahol barakkokban képezik át a katonákat IT szakértővé. Minek ide atombomba vagy atomcsempészet, elég eleve az adott környezetben felrobbantani, mondjuk, egy reaktort. Vagy említhetjük például az ipari vezérlők biztonságát is, ami világszerte kritikán aluli. Nincsen titkosított kapcsolat, maga a hardverkörnyezet is borzasztó. Ezeket frissíteni már nem lehet, mert akkor új eszközt is kellene vásárolni, ami ugye nem két fillér, hiszen nem egy „csirkedarálóról” beszélünk. Nyilván ezeket nem is szerzik be, nem csak itthon, máshol sem. Ezért ezek sérülékenysége kritikus infrastruktúra szinten nagyon nagy. A támadók tehát el tudnak árasztani, áramtalanítani, vagy akár lokálisan fel tudnak robbantani minket.

A cyberháború sokkal egyszerűbb és diszkrétebb, és főleg nem tudni, hogy honnan érkezik a támadás. Ennek kivédéséhez olyan központ felállítására van szükség, amelynek előkészítésében nemcsak itthon, de nemzetközi szinten is vannak hiányosságok. Erre elsősorban talán a hadsereg átképzésében, a képzések átgondolásában kell megoldást keresni, és majd a Z generáció, amely a tableteket úgy használja, hogy nem tudjuk követni, lesz a védelem – vagy éppen a támadás – első sora.

Tud említeni olyan alkalmazást, amely például az említett Android rendszerben a felhasználókat segítheti, és képes alapvető védelmet nyújtani?

– Lassan öt éve foglalkozunk telefontitkosítással, és míg a kezdet kezdetén egyértelmű megoldásokat tudtunk javasolni, mára nagyon sok új kérdés merült fel. Most, hogy az Android a régióban leginkább preferált operációs rendszer, minden egyes eszközre és felbontásra ki kell fejleszteni az adott alkalmazást, ez pedig hihetetlenül sok munkát jelent. Emiatt a kisebb fejlesztők ki is hullottak a piacról. Ettől függetlenül mindenkinek tudom ajánlani például a Silent Circle nevű megoldást, amivel lényegében akár már havi tíz dollárért tudunk kommunikálni. Ez alapvetően zárt rendszer, de van olyan modulja is, amivel kifelé tudunk telefonálni normál vonalas, illetve mobil irányba. Viszont ezt a kommunikációt csak egy szerverig, csak az első lépcsőig titkosítja. Ha tehát a hívott felet is megfigyelik, akkor a „felfújt lufi” effektus jön elő. Ezért a kommunikációban részt vevő minden eszközön engedélyeztetni (licencelni) kell ezeket a megoldásokat. Ezek általában úgy működnek, hogy a titkosítás megfejtéséhez szükséges kulcsokat minden egyes hívás után rögtön megsemmisítik. Ha ilyen megoldást keresünk, nagyon fontos ellenőrizni, hogy elliptikus szerkezetű titkosítást nyújtson – ami az alapvető szimmetrikus és az aszimmetrikus titkosítás egyvelege –, ezt jelen pillanatban nem lehet megtörni. Bár annak idején az Enigmára is azt mondták, hogy húsz év kell ahhoz, hogy egy nap alatt megtörjék. Hát csak sikerült. Érdemes feltennünk egy ezekhez hasonló önmegsemmisítő cookie plug-int a böngészőnkhöz, hogy az engedélyköteles cookie-k és egyéb kérelmek mögött ne surranjon be semmi, vagy legalább kicsit megnehezítsük annak a valaminek a dolgát.
Létező fogalom a „social engineering”, ami tulajdonképpen az emberi esendőségre és kíváncsiságra alapoz, vagyis nem is annyira összetett dolog, mint elsőre gondolnánk. A lényege a pszichológiai befolyásolás, aminek a kezdetekben még csak nem is volt köze az IT-hez. Később aztán informatikusok egy csoportja rájött, hogyan lehet összekötni a kettőt, és ettől kezdve nincs megállás. Online marketinggel összekapcsolva rendkívül erős fegyver. Egy példával élve: a kárt okozni, kíváncsiskodni vágyó vagy bizalmat alakít ki, vagy a valami-valaki részéről az iránta már meglévő bizalmat felhasználva célzottan és rendszeresen küld, mondjuk, egy brand nevében leveleket. Előbb-utóbb a legellenállóbb olvasó is megnyitja a mellékletet, és ezzel kiengedi a szellemet a palackból. A böngésző megerősítése – a tudatosság és ellenőrzés mellett – éppen ezek ellen nyújthat hatékony védelmet.

A rendszeres törlés és karbantartás nem megoldás?

– Természetesen az is nagyon jó, de minden oldalra belépést követően el kell végezni. Persze ha ezt akár hetente elvégezzük, máris tettünk valamit a biztonságért, de egy emeltebb szintű automatizmus sokkal jobb, csak rá kell keresni. Ráadásul ingyen van.

Összegezve: ha mobilkommunikációról beszélünk, mi az, amit mindenkinek feltétlenül el kell végeznie a laptopján és a mobilján is?

– Szerintem azért nem kell mindenkinek elvégeznie, de ha jót akarunk, mindenképpen nézzük meg, hogy milyen jogosultságai vannak azoknak az alkalmazásoknak, amelyekhez például a gyerekek hozzáférhetnek, és ne engedjük nekik a babrálást. Remek megoldás például egy ugrókód, vagy letöltések automatizálásának a korlátozása. Említettük a hálózatokat is: használjunk olyanokat, amelyekben megbízunk! Betörés elleni védelem szempontjából fontos ismernünk a betörni szándékozók lehetőségeit is. Nem szükséges persze profi szakértelem, de egy ismeretlen WiFi rendszerre ne csatlakozzunk fel bármi áron. Vagy használjunk ingyenes programokat, mint a Droidsheep guard.

És akkor egy kicsit beljebb vagyunk?

– Igen, de azért ne felejtsük el, hogy az alapkérdés mindig ugyanaz: kitől és mit féltünk.•