Sok sztereotípia él a köztudatban a hackeléssel és művelőivel kapcsolatban, de mi van a hollywoodi forgatókönyvek mögött? Valóban léteznek titkos társaságok? Tényleg éjjel-nappal a gép előtt ülnek? A valóságban is olyan villámkezűek, mint a filmekben? Ilyen hackerek azok is, akik etikus keretek közt végzik a munkájukat? Bár az igazán nagy titkok valószínűleg még sokáig rejtve maradnak, Angyal Adrián, a Kürt Zrt. vezető információbiztonsági szakértője azért sok felmerülő kérdésre válaszolt, kicsit közelebb hozva a témát, mint azt a filmek vagy a néhány soros hírek teszik.

Adja magát az első kérdés: mitől etikus egy hackelés?

– Az etikus szó a hackelés célját, okát határozza meg. Nem az a célja, hogy bárkinek ártson, hanem etikus keretek között, előre egyeztetve, szerződéses alapon, az adott cég, állami intézmény vagy egyéb szervezet szabályait betartva menjen végbe.

Mikor merült fel először, hogy erre Magyarországon is van igény, sőt tudás és kapacitás is?

– A kilencvenes évektől egyre nagyobb IT rendszerek jöttek létre, egyre több számítógépet kapcsoltak össze nagyobb hálózatokká a többi közt az internet segítségével. Egyre több magánember csatlakozhatott a legnagyobb ilyen hálózatra, az internetre, akár névtelenül is, bizonyos eszközök segítségével. Ettől kezdve a rendszerek már nem voltak elszigetelve, azokat az internetről már bárki láthatja. Már csak azért is, mert léteznek olyan előtét (front-end) rendszerek, mint például egy weboldalt kiszolgáló szerver, amelyeket kifejezetten ki kell helyezni az internetre. Ha az ember a biztonságtudat szempontjából tekint ezekre a rendszerekre, felmerülhet benne a kérdés: vajon az én rendszerem védelme megfelelő-e az internet felől érkező támadásokkal szemben? Csak azok használják az adott szolgáltatást, akiknek szántam? A kétezres évek elején, amikor robbanásszerűen nőtt az internetkapcsolatok száma, rengeteg feltört FTP szervert lehetett látni, melyekre szép számmal kerültek fel illegális tartalmak. Nem is nagyon kellett „feltörni” ezeket, hiszen legtöbbször jelszó sem volt beállítva, még nyitott szerverek voltak. Erre aztán kiépült egy „szürke iparág” is, FTP kereső motorok jelentek meg. Ezeket persze hivatalosan nem arra fejlesztették ki, hogy illegális tartalmakat keressenek vele az emberek, sokan mégis erre használták. Sokszor nem is voltak igazán hackerek a nyitott FTP illegális felhasználói, tulajdonképpen bárki bármit feltölthetett.

Miért érdekes ez mégis? Mert egy IT rendszerrel szemben alapvető igény, hogy úgy működjön, ahogy azt elvárjuk tőle. Tehát ha nekem pénzbe kerül – és valakinek, valahol pénzbe kerül – egy FTP szerver létrehozása, üzemeltetése, akkor én azt akarom, hogy azon a gépen csak az legyen fent, amit én akarok, és csak azok lássák, akiknek én engedélyt adok.

De ez különböző biztonsági beállításokkal kivédhető, nem?

– Ha én rendszergazda vagyok, ideális esetben rendelkezem a megfelelő tudással a szolgáltatásom pontos és biztonságos beállításához. Ennek ellenére valószínű, hogy a szerverem valahogy mégis másként fog működni, mint ahogyan szeretném. Ezt alapvetően a programhibák okozzák, melyek minden programban jelen vannak, és lesznek is. Ennek egyik oka, hogy egyre bonyolultabbak a szoftverek, így aztán egyre szaporodnak a hibalehetőségek is. Az alkalmazásokat a nagyobb gyártók természetesen rengeteget tesztelik, és számos módszer létezik arra, hogy a hibákat kezelni lehessen. Mégis ott tartunk, hogy a számtalan kapcsolat, az idő szorítása és a bonyolult kód azt eredményezi, hogy vannak potenciális sérülékenységek. Ha ezeket nem javítjuk ki az adott rendszerben, akkor adott esetben hiába van tűzfal, hiába telepítettünk vírusirtót, kártékony kódok települhetnek a számítógépeinkre. Vagy mást ne mondjak, akár a mobiltelefonunkra is. Azért használom a kártékony kód kifejezést, mert a hackerek nem feltétlenül „vírusokat” használnak, hanem akár saját maguk által írt segédprogramot vagy mások által kifejlesztett eszközöket használva próbálnak meg behatolni egy-egy rendszerbe. Sokszor ezeket az említett eszközöket nem is erre fejlesztették ki, hanem nyomozati céllal vagy rendszerek tesztelésére.

Itt pedig felmerül a kérdés: mi lenne, ha megkérnénk azokat az embereket, akik tudnak hackelni, hogy ha lehet, ne a feltörés után „szóljanak”. Ha úgy tetszik, innovatív módon keressük meg őket, és töressük fel velük a rendszert, persze a megfelelő keretek között. Így aztán létrejött egy olyan kereslet, ami a rendszerproblémákra kíváncsi, és adott egy olyan kínálat, ami ezt az igényt ki is tudja elégíteni. Szolgáltatásszinten ez az etikus hackelés lényege.

Hogyan lesz valakiből etikus hacker?

– Erre több módszer is van, sokféleképpen lehet eljutni idáig. Inkább azt emelném ki, hogy miként lesz valakiből jó etikus hacker. Az illetőnek – mint bármilyen szakmában – nyilván magának is motiváltnak, elhivatottnak kell lennie, és szívvel-lélekkel kell dolgoznia.

Szívvel-lélekkel betörni vagy megvédeni? Mi az elvárás ezen a területen egy szakemberrel szemben?

– Aki ilyen munkakörben hosszú távon képes kimagasló eredményeket elérni, azt alapvetően a technikai kihívások érdeklik, és általában szilárd erkölcs, lelkiismeretesség jellemzi. Hogy mi az elvárás, az ebből a szempontból lényegtelen is. Kiből és hogyan lesz etikus hacker? Több útja is lehet, persze, nyilván akad olyan, aki az „előző életében” hacker volt, és ahogy a filmekben lenni szokott, történik valami, és átáll a jó oldalra. Biztosan van ilyen is. Működhet az autodidakta tanulás is, ami nagy hajtóerőt és szilárd alaptudást ad sokaknak, ezért ezt sosem szabad lebecsülni. A másik „tiszta út”, amikor képzés keretében válik valaki szakemberré. Például valaki eljön hozzánk dolgozni egy munkakörbe, mondjuk, rendszerintegrátori pozícióba. Munkája alapján a vezetők idővel úgy látják, hogy jó etikus hacker lehetne belőle, van érzéke hozzá. Ezután az illető bekerül egy képzésbe és egy olyan munkakörbe, ahol nemcsak a könyvolvasás, hanem a rengeteg gyakorlat, a komplex IT rendszerek megértése, a megfelelő látásmód elsajátítása is tananyag. Ha ugyanis ez a tudás és tapasztalat hiányzik, akkor sohasem lesz valakiből igazi szakember, nem lát meg olyan „ziccereket”, amelyek kihagyhatatlanok, ha fel akar törni egy rendszert.

Az a helyzet, hogy olyan mentalitással kell etikus hackert képezni, hogy szeresse, amit csinál. Ezt pedig képtelenség egy félnapos, gyorstalpaló tanfolyamon elérni, ennek életformává kell válnia. Ezek az emberek hajlamosak bizonyos területekről egészen más dimenzióban gondolkodni. És megesik, hogy bele is kell élniük magukat egy-egy szerepbe.

Milyen szerepre gondol?

– Többfajta etikus hackelési eljárás létezik, ezeket általában black box, grey box, white box (fekete, szürke, fehér doboz) technikának nevezzük. A fekete esetében a hacker szinte abszolút semmit nem tud a rendszerről, csak kap egy IP címet, webcímet, szervernevet vagy bármi mást, és fel kell törnie a rendszert. Úgy, mintha külsős lenne, minden tőle telhetőt meg kell tennie azért, hogy felderítse a rendszer tulajdonságait, és végül bejusson. A szürke esetében már arra vagyunk kíváncsiak, hogy mi történik akkor, ha valaki bekerül az adott cégbe, és kap egy „alapjogosultságot” az informatikai rendszerekhez. Ezzel a jogosultsággal mihez férhet hozzá, mivel tud visszaélni. A történelemben számos példa volt már arra, hogy egy hacker „felvetette” magát egy céghez, és már belső emberként törte fel a rendszereket vagy jutott kis erőfeszítéssel olyan információhoz, amit egy külsős elől nagyon költséges védelmi rendszerek védenek. A fehér technika arra való, hogy megvizsgáljuk: milyen kárt tud okozni a támadó, ha rendszergazda, alkalmazásgazda vagy fejlesztő jogosultságaival, illetve tudásával bír.

Ez utóbbi technikát nem csak támadások megelőzésére lehet használni. Adott esetben egy cégnél lehet olyan terület, amelybe egy rendszergazdának sem szabad belelátnia, pontosan azért, mert akkor nem lehet garantálni valamilyen biztonsági követelmény teljesülését vagy az auditálhatóságot. Ilyenkor tehát a megfelelőséget akarjuk biztosítani.
A fenti technikák fokozatos végigjárása egy-egy etikus hackelés alkalmával azért fontos, mert amíg ki nem próbáljuk, egy hackernél sem tudhatjuk, hogy milyen jogosultsági szintig képes majd eljutni.

Egyébként minden esetben arra kell törekedni, hogy ne okozzon kárt egy-egy ilyen tesztelés. Az etikus hacker bejut a rendszerbe, megvizsgálja és dokumentálja, hogy mit tudna megtenni, de nem hajtja végre. Aki ennél tovább megy, az már nem feltétlenül etikus hackelő. Érdekességként megemlíthetjük, hogy szoktak versenyeket kiírni bizonyos védelmi rendszerek kijátszására, megsemmisítésére (tesztelésére), ám ezek természetesen nem produktív rendszerek, ilyen esetekben minden eszköz megengedett.

Mikor van szükség az ilyen típusú tesztelésre: felderítésként vagy biztonsági erősítésként? Kinek érdemes elvégeztetnie egy-egy ilyen tesztet a rendszerén?

– Azt mondhatjuk, hogy legalább azoknak szükséges ezen gondolkodniuk, akiknek van az internetre kihelyezett rendszerük, és ott nem csak nyilvános adatot tárolnak. A teljes igazság azonban az, ha ezek a rendszerek csak nyilvános adatot tárolnak, akkor is szükséges lenne ez a tevékenység. A sokszor emlegetett zombigéphálózatok (botnetek) előszeretettel rántják be magukba az ilyen, felügyelet nélkül ketyegő, alap biztonsági beállításokkal futó gépeket. „Átlagos felhasználóként” esetleg nem ismerjük, vagy nem tudjuk felmérni, hogy milyen károkat okoznak a zombihálózatok. Ezek a géphálózatok rengeteg eszközből állhatnak, és segítségükkel az üzemeltetőik óriási támadásokat intézhetnek más szolgáltatások ellen. Nem titok, hogy az ezekből befolyó pénz sokszor szervezett bűnözői csoportokat finanszíroz. Eljutottunk odáig, hogy több bűnözői szervezet nagy erőkkel indult el ebbe az irányba. Ezt érdemes fontolóra vennie mindenkinek, mert közvetve azzal is hozzájárulunk az ilyen hálózatok épüléséhez, ha felelőtlenül kezeljük a saját eszközeinket. Míg a hackelés néhány évvel, évtizeddel ezelőtt leginkább a fiatalok csínytevése volt, addig mára „iparággá” nőtte ki magát, amelybe egyesek pénzt fektetnek be.

Az is igaz, hogy – egy közhellyel élve – nincs feltörhetetlen rendszer, de legalább meg lehet nehezíteni a támadók dolgát. Másképp fogalmazva: lehet, hogy ma még feltörhetetlen egy rendszer, ám holnap már nem lesz az. Mert lehet, hogy közben bekerül a rendszerbe egy hiba, akár változik az emberi tényező, ami az egészet megborítja. A fent említett botnetekkel kapcsolatban nem az elszigetelt, speciális rendszerekről beszéltünk. A hacker sem varázsló, illetve egy „zárt” rendszer kompromittálódása az érintetteket érzékenyen érinti, de legalább nem jelent közvetlen veszélyt más rendszerekre.

Milyen vagy mekkora vállalatnak érdemes ezt végigvinni?

– A vállalat mérete szinte teljesen mindegy, minden azon múlik, hogy a felhasználó számára mennyit ér a tárolt adat. Ha egy IT biztonságikockázat-elemzés során azt látjuk, hogy az adott rendszerben sok potenciális sérülékenység lehet, vagy akár fel is tárunk ilyeneket, akkor ajánlott végrehajtani egy etikus hackelést. Ezzel azt akarom mondani, hogy egy ilyen penetrációs teszt indítására számos kiindulópont adódik egy szervezet életében: elemzések eredménye, belső igény, új jogszabályok, tenderek követelményei vagy egy új IT rendszer bevezetése.

Milyen szervezetek, vagy ha úgy tetszik, kik vannak a legnagyobb veszélyben?

– A legnagyobb veszélyben azok vannak, akik nem foglalkoznak a rendszereik gyengeségeivel. Tipikus példa egy olyan – akár kétszemélyes – vállalkozás, ahol rengeteg ügyféladat, személyes adat halmozódik föl. Ez lehet egy egyszerű webshop is vagy egy kis könyvelőiroda IT rendszere. Ha nem megfelelően kezelik a tárolt adatokat, igen súlyos problémákat okozhat a cégnek egy-egy adatvesztés vagy adatszivárgás. Mindig azt kell mérlegelni, hogy meddig, hova juthatunk a kiindulópontról. „Mi a legrosszabb, ami történhet.” Ahogy már erről szó volt, itt nem feltétlenül az lesz a legrosszabb következmény, hogy jelszót kell cserélni, vagy újra kell telepíteni a rendszert, más nagyságrendekben kell gondolkozni. Akár a presztízsveszteség is hatalmas lehet: elpártoló ügy­felek, kiközösítés vagy a konkurencia előtt is szégyenben maradunk. Ezt kell végiggondolnia egy felelősen gondolkodó cégvezetőnek is. A tendencia jó, egyre többen jönnek rá, hogy tenniük kell valamit a rendszerek biztonsága érdekében.

A magánszemélyeknek vagy egy igazán kis cégnek mit javasol?

– Talán mondanom sem kell, hogy magánemberként más megközelítést kell alkalmaznunk. Egy etikus hacker megbízása nem reális alternatíva egy otthoni PC védelme érdekében. Akár magánszemélyként is érdemes azonban egy (etikus) hacker szemüvegén keresztül megvizsgálnunk a rendszerünket. Természetesen nem arra gondolok, hogy kezdjük tanulmányozni a programok forráskódját, konfigurációit, ezt senki nem várja el egy átlagos felhasználótól. Viszont mindenki keresheti a választ olyan kérdésekre, hogy mi történik akkor, ha egy illetéktelen bejut a rendszerembe? Mit tárolok, hol és hogyan? Mit teszek publikussá? Mit osztok meg magamról a közösségi oldalakon, és mit tehetnék, ha valaki belépne a Facebook profilomba? Mi történik, ha netán ellopják a laptopomat? Emiatt akár a havi fizetésemet elveszíthetem, mert mondjuk egy védelem nélküli dokumentumban tároltam a jelszavaimat, PIN kódjaimat. Mire egyáltalán észreveszem, hogy eltűnt a laptopom, addig százszor „vásároltam” az interneten vagy utaltam át pénzt. Sok esetben ezeket végiggondolva rájöhetünk, hogy valamilyen okból nem tudjuk megfelelően védeni a gépen tárolt adatokat önerőből. Ilyenkor akár magánemberként is megbízhatunk egy szakértőt, vagy általunk kontrollálhatóbb megoldást kell keresnünk.

Hogyan vehetjük észre, ha valaki betör a rendszerünkbe? Mi állít meg egy hackert?

– Hogy mi állít meg egy igazi hackert? Semmi… (lásd a fenti, „álmunkaviszony” példát), az észlelésre viszont több megoldás is létezik, vannak például real-time rendszerek, amelyek valós időben képesek jelezni, ha a normál munkafolyamatokhoz képest eltérés mutatkozik. Az ilyen eseményekről az üzemeltetők kapnak riasztást. A másik lehetőség a naplófájlok elemzése. Ma már egyes rendszerek akár kis késleltetéssel ki tudják értékelni az eseményeket, és jelezni lehet, ha a normál működéstől eltér valami. Egy támadás, hackelés nem feltétlenül egy pillanat műve. Amikor valaki jelszavakat akar kipörgetni, pláne úgy, hogy a tűzfal beépített biztonsági protokollja ne tiltsa le, ahhoz idő kell. Hogy ne legyen gyanús, mindezt nagyon lassan kell csinálni, így aztán az akció akár több hétig, hónapig is eltarthat. Ez egy hackernek nem probléma, beállítja a szükséges folyamatot, közben elmegy nyaralni, és pár hónap múlva visszanéz az eredményre. Szóval ez megint nem úgy működik, mint a filmekben, amikor valaki ül az asztalnál, és megkapja a parancsot, hogy most törd fel a Pentagont, aztán vadul elkezdi verni a billentyűzetet, miközben mindenféle csipogó hangok kíséretében pillanatok alatt bejut a rendszerbe. A valóságban ez nem így szokott lenni.

A lényeg itt is az, hogy minél több óvintézkedést teszünk meg, annál valószínűbb, hogy kikerülik a mi rendszerünket, mint nagyobb kihívást jelentő feladatot. Ez a meg­állapítás fokozottan igaz az automatikus (programok által végzett) és – csúnya szóval élve – a biodroidok által véghezvitt támadások kivédésére. Egy elszánt hackert ez nyilván nem feltétlenül fogja megállítani. Azt már tudjuk, hogy ha valaki el akar lopni valamit, például egy autót, el is fogja lopni. Ám az nem mindegy, hogyan, mekkora erőfeszítéssel tudja megtenni. Ilyen esetekben időt nyerünk, esélyt arra, hogy legalább közben észrevegyük, mi történik. Az etikus hackelés ebben is segít, lesz róla fogalmunk, hogy meddig tartanak ki a rendszereink egy támadás alatt, mik a gyenge pontok, mire figyeljünk jobban, és mik a jelei egy ilyen tevékenységnek.•