Magyarország helyzete meglepően előnyös az informatikai biztonság terén, ami nem kis részben a hazánkban dolgozó etikus hackereknek köszönhető, tartja Fóti Marcell, a Netacademia Oktatóközpont ügyvezetője. Szerinte hackerek mindig is lesznek, hiszen az állandóan változó informatikai környezetben csak álom a tökéletesen biztonságos rendszer.
Önök etikus hackelést tanítanak. A köznyelvben az etika és a hackelés nem összeegyeztethető fogalmak. Mit takar ez a kifejezés?
– Az etikus hackelés hasonló az autók töréstesztjéhez. Ott is a „gonosz” tesztelők vadonatúj autókat vezetnek a falnak, és összetörik őket. Ők is hasonló céllal teszik ezt, mint amit mi tanítunk tanfolyamainkon: fölmérik az autó biztonsági rendszerét. Erről szól az etikus hackelés: hacker-gondolkodásmóddal megkeressük az informatikai rendszerek biztonsági réseit. Eközben felmérjük a rendszerek biztonságosságának szintjét, feltárjuk a hiányosságokat. A munkamódszerek magukkal hozták a korábban ismertté vált hacker kifejezést. Ma már ez nemzetközileg elismert szakma, nemzetközileg elfogadott minősítőrendszerek működnek.
– Összetéveszthető munka közben az etikus hacker a gonosz hackerrel? Hasonlóak a teendőik?
– Vannak hasonlóságok, de vannak alapvető különbségek is. A legfontosabb különbség, hogy az etikus hacker a „megtámadott” cégtől származó írásos megrendelés alapján dolgozik. A másik különbség, hogy bár ugyanazokat az eszközöket használja, mint rosszindulatú kollégái, de a munkára szánt erőforrásai nem végtelenek, nem ez az életcélja, nem tölt el egy-egy munkával irreálisan sok időt. És természetesen, ha be tud hatolni a cég rendszerének belsejébe, ott nem tesz semmi olyat, ami sértené a cég érdekeit.
– A hackerek magányos zseniként jelennek meg a számítógépes világban, sikerességük főként kreativitásukon alapszik. Hogyan lehet mégis tanítani ezt a foglalkozást? Nem különbözik minden hackermunka gyökeresen az összes többitől?
– Számos alapvető technika áll a hackerek rendelkezésére, amelyek segítségével végül mégis egyedi megoldások születnek. Talán a legismertebb a rendszeren lévő úgynevezett portok letapogatása. A portok olyan kiskapuk, amelyeken keresztül beléphetünk a rendszer belsejébe. A honlapok is portok, hiszen rajtuk keresztül kapcsolatba léphetünk a webhellyel. A hackerek természetesen általában nem az efféle nyilvános portokat keresik, hanem a rejtett kapukat, amelyeket általában nem szándékosan hagytak nyitva a rendszer üzemeltetői. Sok programot írtak, amelyek a hackerek segítségére lehetnek a nyitva felejtett kiskapuk megtalálásában, hiszen szinte lehetetlen milliónyi programsort kézzel átbogarászni. De vannak olyan hackermódszerek is, amelyek éppen a nyilvános weboldalakon keresztül támadnak. Ilyenkor például adatbázis-kezelői parancsokat táplálnak be a távoli számítógépbe a weboldalakon gyakori szövegbeviteli mezők segítségével [ahova normális esetben felhasználónevünket vagy e-mail címünket kellene beírnunk]. Ha a weboldal üzemeltetői figyelmetlenül hozták létre az oldalt, a számítógép végre is hajtja ezeket az utasításokat, és például elküldi a hackernek az összes felhasználó személyes adatait. Vannak olyan programok, amelyek éppen efféle gyenge pontokat keresnek a honlapokon.
– Hogyan reagálnak a megrendelők, amikor szembesülnek az etikus hacker által feltárt hibákkal?
– Időnként az okoz gondot, ha a megrendelő cég vezetői nem értik a hiba lényegét. A rendszergazdák talán megértik, de ők gyakran eleve ellenérzésekkel viszonyulnak az egészhez, hiszen a munkájukkal szemben megfogalmazott kritikaként fogják föl a hibákat fölsoroló jelentést. Sokszor vitatkoznak a hackerrel, azt bizonygatva, hogy a megtalált kiskapu valójában nem is kiskapu, hanem „direkt” építették föl úgy a rendszert.
– Kik vesznek részt az etikushacker-tanfolyamokon? Ismerik a hátterüket?
– Igen, minden személyes adatukat meg kell adniuk, és aláíratunk velük egy nyilatkozatot arról, hogy a nálunk tanult ismereteket csak tisztességes célra használják föl. Diákjaink általában nem programozók, hanem vállalati informatikusok, rendszergazdák, akik azzal a céllal jönnek hozzánk, hogy megerősítsék saját vállalati rendszerüket. Törvényi kötelezettségünk egyébként, hogy mindent tudjunk a hallgatóinkról, hiszen a büntető törvénykönyv szerint aki ilyesmit tanít, mint mi, az maga is bűnsegéddé válhat, kivéve, ha meg tudja mondani a hatóságoknak, hogy kinek tanította.
– Még soha nem merült föl önben az a gyanú, hogy valaki azért jött ide, hogy az itt megszerzett tudást aztán tisztességtelen célokra használja?
– Ez elképzelhetetlen, mégpedig azért, mert igazából minden általunk átadott információ megtalálható ingyen az interneten. A tanfolyam lényege az, hogy összeszedetten átadja a tanulóknak azt a tudást, amelyet fél, egy év alatt egyedül is összeszedhetnének az internetről. Természetesen a tanfolyam egyhetes időtartamát nem úgy kell érteni, hogy ha valaki bejön az utcáról nulla informatikai tudással, akkor egy hét elteltével képzett etikus hackerként távozik. A tanfolyam végzett rendszermérnökök továbbképzését szolgálja.
– Képesek lennének betörni a hallgatók egy-egy vállalat rendszerébe a tanfolyamon megszerezhető tudás birtokában?
– Azért igen, mert nincs feltörhetetlen rendszer. A védekezési módok bármelyik formájával nem azt lehet elérni, hogy az én rendszerem tökéletesen biztonságossá váljon, ahová elvileg is lehetetlenség betörni, hanem azt, hogy ne az én rendszerem legyen a leggyengébb a piacon. A védelmi szint emelésével gyorsan nőnek a költségek, tökéletes védelem pedig nem is létezik. Hiába próbálják folyton befoltozni a rendszeren lévő lyukakat, a legtöbb vállalati hálózat burka hamar beszakad, ha kicsit megkapirgáljuk a felszínt. Ezek a rendszerek mára olyan összetettekké váltak, a vállalati környezet pedig olyan rohamosan változik, hogy folyamatosan kerülnek beléjük emberi hibák. Nem kell semmi misztikusra gondolnunk: minden kihasználható biztonsági rést egy másik ember hozott létre. A kérdés mindössze az, hogy eséllyel térül-e meg a védők, illetve a támadók által befektetett energia. Magyarán: a vállalat biztonságáért felelősök olyan erős védelmet kell hogy kiépítsenek, amelynek ára nem haladja meg a támadás jelentette kockázatot, a hackernek pedig olyan helyekkel kell próbálkoznia, amelyeken belátható időn belül sikerrel járhat, és a megnyerhető információ megéri mindezt.
– Az, hogy a cégek önökhöz küldik tanulni munkatársaikat, arra utalhat, fenyegetve érzik magukat a hackertámadásoktól. Van információjuk arról, hogy milyen gyakoriak hazánkban az ilyen incidensek?
– Hivatalosan nem tudunk ilyenekről, mert Magyarországon nem kötelező bejelenteni az efféle támadásokat. Csak a jéghegy csúcsa látszik, a többi kísérletet pedig elhallgatják a cégek. Feltételezhető azonban, hogy akárcsak mindenütt másutt a világon, gyakori lehet nálunk is a bankkártyaadatok lopása, hasonlóan az infrastrukturális létesítmények elleni támadásokhoz. Persze a hackertámadástól való félelem nem kis részben a sajtó híradásain alapszik, amely szívesen foglalkozik ezzel a témával, gyakran a veszély súlyát jóval meghaladó terjedelemben is. Annak oka, hogy ritkán hallunk sikeres magyarországi hackertámadásról, az is lehet, hogy sikeresen védekeznek a cégek. Valamiért ugyanis egészen jól állunk az informatikai biztonság terén. Talán nálunk a legnagyobb a kiképzett etikus hackerek népességhez viszonyított száma, ma már ezernél is többen vannak. Ennyien vannak Hollandiában is, ahol pedig az informatikai rendszerek elterjedtsége és a nemzeti össztermék is jóval nagyobb, mint nálunk.
– Az oktatók között sincsenek olyanok, akik a múltban nem mindig nemes célra használták a tehetségüket, de mára jó útra tértek?
– Ez a hollywoodi filmek romantikus világképe. A valóságban egyetlen ilyen figura létezik, Kevin Mitnick, aki valóban börtönviselt hackerből lett biztonsági szakértő, és mára felkapta a média. De ő az egyetlen ilyen, éppen ezért mutogatják minden konferencián. Látnunk kell, hogy az efféle pálfordulásnak nem is lenne sok értelme. Sem a hacker szempontjából, sem a megbízó cégek szempontjából. Melyik felelős vállalat bízna meg egy bűnözőt rendszere biztonságosságának vizsgálatával?
– A hackelés az utóbbi években az úgynevezett Anonymous csoport kapcsán került a figyelem középpontjába. Hogyan vélekednek róluk az etikus hackerek? Forradalmárok ők vagy szimpla bűnözők?
– Erkölcsi kategóriákba nem szívesen sorolnám őket, technikai szempontból viszont nem tesznek semmi különöset. Általában túlterheléses támadást hajtanak végre weboldalak ellen. Ez azt jelenti, hogy sok száz vagy ezer önkéntes közreműködésével ugyanabban a pillanatban tömegek kezdeményeznek valamilyen műveletet a webhelyen. Ezt általában nem bírja a webhelyet kiszolgáló számítógép, és a weboldal elérhetetlenné válik. Erre a feladatra számos könnyen hozzáférhető szoftver áll bárki rendelkezésére. Műszakilag tehát nincs sok minden az Anonymous mögött. A túlterheléses támadások ellen gyakorlatilag nem lehet védekezni. Legfeljebb annyit tehetnek, hogy a támadás idejére lekapcsolják a szervert. De ez nem nevezhető védekezésnek, hiszen pontosan a működés felfüggesztése érdekében indították a támadást.
– Az etikus hackerek tehát vállalati informatikai rendszerek biztonsági kockázatai után kutatnak. De mi a helyzet az otthoni számítógépekkel? Valóban veszélyben van mindenki, aki rákapcsolja komputerét az internetre, vagy ezt csak a vírusirtó szoftverek gyártói próbálják velünk elhitetni?
– A számítógép támadásoknak való kitettsége nagyban függ a rajta futó operációs rendszer frissességétől, tehát attól, hogy mikor telepítettek utoljára szoftverjavításokat. Ha valaki egy soha nem frissített Windows XP operációs rendszerről föllép a hálózatra, akkor a mérések szerint huszonhárom másodperc alatt megfertőzik a gépet a vírusok. De ha újabb operációs rendszert és tűzfalat használunk, akkor bizonyos mértékig védettek vagyunk a támadásokkal szemben. Ebben az esetben sem vagyunk biztonságban azonban a saját hiszékenységünktől. Ha rákattintunk egy e-mailben kapott gyanús linkre, amely például Kate Middleton leplezetlen fényképeit ígéri, nem véd meg bennünket semmilyen tűzfal. Hiába gondoljuk köztudottnak, hogy léteznek ilyen módszereket használó csalók, az emberek többsége még ma is könnyedén hisz nekik.
– Mit tapasztalunk, ha vírus fertőzi meg számítógépünket? Az internet előtti korokban megismert vírusok hatása inkább látványos volt, mint veszélyes, például lepotyogtak a képernyőről a betűk. Így van ez ma is?
– A vírusfertőzött komputer gyakran egy úgynevezett zombihálózat részévé válik. A zombi gépek fölött teljes ellenőrzést gyakorol a vírus írója, tehát a komputer minden funkcióját irányíthatja az interneten keresztül távvezérléssel. Elmentheti magának a jelszavakat, felhasználóneveket, minden gépen tárolt adatot. Mindezekből a felhasználó nem vesz észre semmit, tudta nélkül használhatják föl a gépét illegális tevékenységekhez. Ma még kérdéses, hogy jogilag felelősségre vonható-e ilyen esetekben a zombivá lett gép tulajdonosa, arra azonban már van példa, hogy a végletesen óvatlan komputerhasználók büntethetővé válnak. Németországban ma már tilos jelszavas védelem nélkül vezeték nélküli hálózatot, wifit üzemeltetni. Ezeken keresztül ugyanis bárki nyom nélkül kapcsolódhat az internethez akár egy utcán álló autóból is.
Fóti Marcell 1969-ben született informatikus, rendszermérnök, etikus hacker. A Kandó Kálmán Villamosipari Műszaki Főiskolán szerzett diplomát, majd számos cégnél dolgozott informatikusként, programozóként, informatikai tanácsadóként. 1990 óta foglalkozik informatikaoktatással, oktatásszervezéssel. Jelenleg a Netacademia Oktatóközpont tulajdonosa, vezető oktatója.
2012. november 3.
