Egyre többet hallunk az etikus hackingről, a hackelés megszelídített, jó célokra felhasznált módjáról. Ha jól csinálják, az etikus hacking olyan, mint az etikátlan (legalábbis szakmailag) csak a végeredmény felhasználását tekintve különböznek. Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja és jó esetben teljességre törekszik. A hackernek ezzel szemben mások a motivációi és ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt igazán. Viszont egyben megegyeznek. Mind a ketten a figyelmünket akarják felhívni rendszereink sérülékenységére. Engem viszont most jobban érdekeltek a hackerek figyelmeztetései. Merthogy igazából ellenük küzdenek a biztonsági szakemberek. Ezért örültem, amikor néhányan a valódi hackerek közülük vállalták, hogy beszélgetnek velem, felfedik titkaikat és megosztják velem a véleményüket.

Mindig izgatott, hogy milyenek az igazi rosszfiúk. Például azért, mert nagyon szeretik őket a nők. No meg azért is, mert kimondhatnak és csinálhatnak olyan dolgokat, amiket a hétköznapi, tisztes magaviseletű állampolgárok nem. Persze a biztonsági szakmában többen tudjuk, hogy hol és mivel tudnánk igazán gonoszkodni csak nem tehetjük meg és igazából nem is akarjuk megtenni. Mégis ott van a kuriózum varázsának ígérete, a tiltott gyümölcs íze, hogy vajon érezné-e az ember a bizsergést a hátán, ha betört egy informatikai rendszerbe és izgul, hogy rajta kapják-e? És vajon melyik biztonsági szakértőnek nem fordult még meg a fejében, hogy de jó lenne, ha egy bizonyos cég makacs informatikai vezetése egy nap arra ébredne, hogy feltörték a rendszereiket, ellopták az adataikat és sírva könyörögnének segítségéért ahhoz a szakértőhöz, akinek intelmeit pár nappal az előtt figyelmen kívül hagyták?

Beszélgetőpartnereim, a hackerek azt mondják, hogy ez utóbbi egy nagyon kellemes érzés és kifejezetten jót tesz az ember igazságérzetének. Természetesen anonimitást ajánlottam a srácoknak, amit örömmel és ismerősen üdvözöltek, de még emellett sem mulasztották el hozzátenni, hogy bármi amiről szót ejtünk elsősorban barátaikkal, ismerőseikkel esett meg és nem velük. Külön örültem neki, hogy volt köztük olyan aki rosszalkodott régebben, de ma már "jó" útra tért, mert nagyon kíváncsi voltam, hogy akkori és mostani szemével mit látott a biztonságban. Mindegyikükre jellemző, hogy megbízásra, legálisan (etikus hacking) is dolgoznak a mai napig. Mostantól kezdve H1, H2, H3, H4 ként fogok rájuk hivatkozni.

Motiváció és késztetés

Vajon miért tör be valaki egy informatikai rendszerbe? Amikor az utcán sétálva meglátjuk egy épület nyitott hátsó ajtaját hányan lépnénk be rajta?

H2 szerint ez a kérdés az egyik kulcs a hackerek viselkedésének megértéséhez. A hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek. Miért hagyták nyitva, ha nem lehet bemenni? H1 szerint is minden csak látásmód kérdése. Ha megkérdezzük az embereket, hogy blicceltek-e már a tömegközlekedésen, a legtöbben igennel felelnének. De ha úgy fogalmaznánk, hogy hányan okoztak már üzleti kárt a Budapesti Közlekedési Vállalatnak, akkor már jelentősen csökkenne az igenek száma.

Akkor mégis mi választja el a jót a rossztól? Mondhatnánk, hogy a törvény és a gyakorlat. De ahogyan H1 rámutat, Magyarországon már több évtizede egy "következmények nélküli" állapot van, ami kedvez a hackereknek. "Amikor egyik haveromat végtelenített telefonkártyával elkapták komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak mint Ő maga, amikor a tőle elvett kártyát eladták másoknak." Különösen a hacking terén soha nem hallunk feljelentésekről, bűnesetekről és ami talán még ennél is fontosabb nem hallunk retorziókról sem. Ahogy H1 fogalmaz "a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele, ahhoz, hogy megnyugodjon".

H3 a felelősségtudat hiányát, pontosabban annak újraértelmezését tartja fontos kérdésnek. "Tudom, hogy nem szép dolog feltörni egy cég rendszerét, de leszarom. A cégek is pontosan ugyanígy szarnak a biztonságra." H4 is azon a véleményen van, hogy nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak. "Nem érdekel, hogy egy hacking nyomán kinek, mennyit kell dolgozni. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség." De még a hacker világban is van más aspektusa a problémának. H2 szerint az "ember néha nem gondol bele", hogy amit csinál vajon pontosan milyen következményekkel járhat. Annak idején egy bizonyos nagy internetszolgáltató jelszavainak publikálása során sem Ő rakta ki a jelszavakat, arról nem tudott, hogy a barátai az Ő infrastruktúráját erre a célra használták volna.

Gyakran viszont nagyon is tudatos a hacker tevékenysége. Ilyenkor sok esetben az hajtja, hogy megmutassa, mennyire sérülékeny vagy kiszolgáltatott egy rendszer. H3 szerint "ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs", ez pedig általában felbőszíti a hackert és piszkálja az igazságérzetét. Ahogy H2 fogalmaz: "Megcsinálják pár forintból a rendszert és drágán eladják", miközben a valódi szakmai tudást nem fizetik meg a cégek. "A hacker sok esetben csak rá akar világítani a problémára." A hackerek szerint a legtöbb cég bármilyen közeledésükre és szaktudásuk értékbe bocsátására elutasítással reagál és feljelentéssel fenyeget vagy 1-2 millió forintos megbízásokat dob oda nekik, ami a hackerek körében tovább erősíti azt a megérzést, hogy a valódi biztonsági szaktudásra nem árában költenek a cégek, míg a funkciók megvalósítására nagyságrendekkel többet áldoznak. H3: "Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek el, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól!" "...és mert lehet, hogy nem is tudnak a saját sérülékenységeikről" folytatja H1 "ez a hackert nagyon bosszantja".

A rossz érzéseket tovább erősíti az, hogy a valódi hacker tudás látszatának köpönyegébe bújva sokan állítják ma magukról, hogy értenek a biztonsághoz, legalábbis papírjuk van róla. A srácok maguk közt csak "papírhackerként" hivatkoznak rájuk. H4 szerint ma sok rendszert inkompetens üzemeltetők felügyelnek és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik. H1 továbbviszi ezt a gondolatot "az ilyen rendszerek mindig törhetőek, még akkor is ha van időnként penetration testing".

A "Deface" bénaság, módszerek és megközelítések

Milyen módszerekkel dolgoznak a hackerek? Követnek-e bármilyen stratégiát vagy elvet amikor akciókat hajtanak végre? Vajon jó ponton összpontosul-e a biztonsági szakemberek védelemre fordított figyelme, amikor hackerek támadásaira készítik fel egy cég infrastruktúráját?

H4 idézi fel az IRA brightoni bombamerénylete után a britt kormánynak írt levelének egy részletét "...nekünk csak egyszer kell szerencsésnek lennünk. Önöknek mindig." A biztonságban is ez különbözteti meg a hackert és az üzemeltetőt. "Támadni mindig könnyebb." teszi hozzá.

A hackereket általában ugyanaz motiválja a módszer megválasztásában felnőttként, mint ami gyermekkorában "a dolgok szétszedése, működésének megértése adja a késztetést" állítja H1, hozzátéve, hogy az idő múlásával a felelőség tudat nő, de ez a vágy akkor sem csökken. H3 a hackert "jó iparosembernek" tartja, legalábbis ebből alakult át más valakivé, akit ma már az igazságtalanság, szakmaiatlanság vagy alábecsültség iránt érzett ellenszenve hajt és ebből fakadnak technikái is.

A deface (a weboldalak megváltoztatása) megítélésével kapcsolatban H2 elmondta, hogy soha nem tartotta igazán nagy teljesítménynek, ha valaki megváltoztatja egy oldal tartalmát. Vannak olyan webhelyek, ahol napi szinten pontozásos verseny folyik a weboldal deface-kért (a török állítólag kifejezetten jók ebben), de H2 szerint ez komolytalan. Nem véletlen, hogy a nagyobb "terméssel" kecsegtető banki szférában nagyon ritkán alkalmazzák a hackerek az egyszerűbb defacing-et. Nem lebecsülve a deface politikai vagy figyelemfelhívó lehetőségeit (lásd. valasztas.hu) H2 szerint az ilyesminek akkor van értelme, ha mélyebb szakmai problémákra világít rá. Meséli, hogy egyik társa mindig kíváló volt ebben a műfajban. Elég volt rámutatni bármilyen weboldalra és Ő puszta lelkesedésből azonnal deface-elte. Legimpresszívebb húzása az volt, amikor a weboldalt nem egyszerűen átírta, hanem kitett rá egy form-ot, amelybe a bármely látogató által beírt tartalmat a webszerver adminisztrátori jogokkal lefutatta és természetesen ehhez instrukciókat is mellékelt. Így az oldalt gyenge biztonságáért nem is hacker, hanem az oda látogató érdeklődők büntették meg. A módszerben megbúvó irónia jól érzékelteti a hackerek látásmódját, humorérzékét is.

Az ilyen akciók H2 véleménye szerint az üzemeltetők szakmai tekintélyét rombolják, mert el kell ismerniük saját hibáikat. Ugyanakkor a hackerek azzal is tisztában vannak, hogy legtöbb támadásukról a cégek leginkább hallgatnak. H1 megjegyzi: "Jó lenne, ha letagadhatatlan balhék lennének." Ez segítene felszínre hozni valódi problémákat, amelyekre ezután valódi megoldások születhetnének.

A hackerek számára kifejezetten csemege, amikor olyan rendszerekbe törhetnek be, ahol a nyilvánvaló védelmi igény ellenére nagyon gyenge a biztonság. Ilyenek például a kórházak, ahol az asztaltársaság egybehangzó véleménye szerint a informatikai biztonság az utolsó amire áldoznak. H3 elmesélte, hogy miként bukkant rá egy kórház tűzfalán futó torrent szerverre, ehhez többen csatlakoztak történeteikkel, egyértelműen állítva, hogy a személyes, betegadatok megszerzéséhez ma alapszintű hacker tudás, egyszerű hozzáférés elégséges.

Az ipari kémkedés hazai penetrációjában már nem volt ennyire egységes a hackerek véleménye. Van aki szerint még gyerekcipőben jár, de voltak ellentétes gondolatok is. H3 szerint napi szinten lehet találkozni vele, de sokkal inkább egy megbízható belső ember megvásárlásán keresztül, mint klasszikus hacking módszerek által. "Egy kisebb elektronika alkatrészeket gyártó magyar cég munkatársát például jövedelmező amerikai állás várta, a magyar cég összes szakmai adatát tartalmazó CD-vel együtt." - meséli. H4 tapasztalata is az, hogy olcsóbb egy cég kereskedelmi munkatársát megkörnyékezni és ilyen módon megszerezni ügyfél- és kereskedelmi adatbázisokat, mint hackerekkel ellopatni ugyanazt. Az emberi tényező mindig a gyenge láncszem. Beszélgetésünk ezen a pontján megdöbbentő kijelentés hangzik el. "Ma a CIO-k is viszik az adatokat amikor egyik cégtől a másikhoz mennek dolgozni." mondja H1 a többiek egyetértő bólogatása mellett. Általános derültség mellett a srácok tovább szövik a gondolatot, állítva, hogy az sem ritka, hogy egy fejlesztő cég összes információját, kódját, adatait egy új cégbe lopják át, ahol mindjárt meg is ígérik minden "régi" felhasználónak, hogy az általuk fejlesztett "új" termékere való átállás teljesen "zökkenőmentes lesz".

Esetek, tanulságok, következmények nélkül

Kiváncsi voltam, vajon mi lapul még a hackerek tarsolyában konkrét esetekről, átélt élményekről, de mielőtt még bármit kérdezhettem volna H4 azonnal bedobott minket a sűrűjébe. Elmesélte, hogy egy bizonyos önkormányzat szervereit hogyan radírozták le, a vezetés miképpen tagadta le a tényeket és azt is, hogy valóbban tudták ki követte el, mégsem tettek semmit. Aztán mégis feljelentés született, erre a megvádoltak is feljelentették vádlóikat és az eset innentől fogva amolyan hazai szitkomként laposodott bele a magyar valóságba, valódi következmények nélkül.

H2 sztorijában elmeséli, hogy néhány hacker jó pár éve feltörte egy nagyobb cég ftp szerverét és azon keresztül jutottak be a szervezet rendszerébe. Aztán később az utcán sétálgatva a fiúk véletlenül megpillantották az adott cég logóját az egyik portálon és némi dilemmázás után bementek. Elmesélték a portán, hogy a biztonsági problémák ügyében járnak itt és nem sokkal később már egy tárgyalóban is találták magukat, ahol kellemes aprósütemények és tea kíséretében a rendszer üzemeltetőivel beszélgettek arról, hogy ha itt tényleg lennének olyan biztonsági problémák, amikről a neten "hallottak", akkor azok mitől lehetnek és ők hogyan javítanák ki. Megdicsőülve és természetesen következmények nélkül hagyták el ez épületet.

H2 egy másik történetében egy nyelvi akkreditációval foglalkozó szervezet rendszergazdája annyira rosszul végezte a dolgát, hogy a levelezőszerverük a világ több nagy spammer listájára felkerült, ezáltal szép számmal gyűjtött be kitiltásokat, black list jegyzéseket is. Egy idő után már csak akkor lehetett levelezni, amikor a rendszergazda beérkezett a munkahelyére és bekapcsolta a levelezőszervert(!). A hanyag gyakorlatnak végül az vetett végett, hogy a szervezet webszerverének online játékokra való felhasználását már a vezetőség sem nézte jó szemmel.

"Egy ismert nagy üdítőipari vállalatot figyelmeztette a másik ismert nagy üdítőipari vállalat, hogy egy bizonyos kollégájuk értékes adatokat akar nekik értékesíteni." meséli H1. A vizsgálódás során egy kifejezetten MS Outlookra kihegyezett trójai program felhasználásával kiderült, hogy az inkriminált személy és a "jóindulatulag" figyelmeztető cég már régebben kapcsolatban álltak és az adatlopás már jóval ez előtt lezajlott. Amikor a cég figyelmeztette a másikat valójában csak elfedni akarta korábbi akcióját.

Az ipari kémkedés történeteihez csatlakozva H2 állítja, hogy amikor egy fizikai biztonsági cégnél dolgozott kapott olyan megkereséseket, amelyek tárgya az a cég bizalmas adatbázisainak megvétele lett volna. Nem élt a lehetőséggel.

A történetekben azonban megütötte valami a fülem. A hackerek dolgoznak? Munkavállalóként tevékenykednek cégeknél, szervezeteknél? Vitapartnereim nem hagytak kétséget afelől, hogy a legtöbb hacker átlagos dolgozóként éli mindennapjait.

H1 állítása szerint ismernek olyan tisztes korú hackert, aki egy neves bankban dolgozik főtanácsadóként és a mai napig aktív hacker is. De a frusztrált, elhanyagolt és alábecsült rendszergazdák közt is található ilyen. Sőt, belső körökben a közelmúltból is ismert olyan bizalmi pozícióban lévő biztonsági tanácsadó cég, amelynek munkatársa az összes adattal a hóna alatt távozott egy konkurens biztonsági céghez.

Azért nem állíthatjuk, hogy az ilyen esetek teljesen konzekvencia nélkül maradtak volna. 2003-ban született egy törvény, amely az illegális informatikai betörések bünthetetőségét próbálta kezelni, de a hackerek szerint a törvény elvétette a célt, sőt bizonyos értelemben túl is lőtt rajta. H3 szerint ha a törvényt betartanák, akkor még oktatni sem lehetne a hacking semmilyen formáját (etikusat sem), birtokolni olyan eszközöket amikkel meg lehet valósítani ilyen cselekményeket pedig szintén tilos lenne. H4 szerint ma egy legális penetration teszter notebookjának tartalma már magában illegális, csupán az ilyen eszközök birtoklásáért is bajba kerülhetne. Ebből az következett, hogy a törvény alapján valódi következmény vagy retorzió nem valósult meg az elmúlt években és ezzel tulajdonképpen a hackerek hozzáállása sem változott. Továbbra is úgy gondolják, hogy ami sérülékeny az törhető, ami törhető az bizonyítványt állít ki a készítőjéről, karbantartójáról.

Miért szorul háttérbe a biztonság? Hol hibázik a védelem?

A hackerek véleménye egyértelműen az, hogy a védelemért felelős szakemberek ma alulértékeltek, mind anyagilag, mind szakmailag. Az álvédelemnek és a papírpajzsoknak köszönhetően a legtöbb cég felső vezetése biztonságban érzi magát, de ez egy kétes alapokon nyugvó biztonságérzet. H4 mosolyogva meséli, hogy valamelyik elvégzett legal hacking munkája után megkérték, hogy oldja meg, hogy a riportot mindenképpen egy CISA végzettségű kolléga írja alá, mert a vezetés úgy gondolta, hogy ettől lesz majd műszaki szempontból is megalapozott, miközben minden szakember tudja, hogy az auditor és a hacker a skála két ellentétes szélén szokott dolgozni.

A hackerek körében a szakmaiságon mindig nagy volt a hangsúly, szakmai profizmusukat, IT biztonságra specializálódott vájt fülüket tartják ma is egyetemleges ismertetőjelüknek. De azért itt is van egy bökkenő. "Hol lehet kipróbálni az új dolgokat, amiket tanulunk?" teszi föl a kérdést magának H2, de rögtön válaszol is rá. "Éles rendszereken, működő infrastruktúrákon. Máshol csak laborkísérlet lenne. Mi pl. egyszer egy tájföldi iskola rendszereink gyakorlatoztunk." H1 sietve hozzáteszi. "Persze az egyszerű szkennerképzőben tanultakat bárhol ki lehet próbálni, viszont a bonyolultabb hack-ekhez komplex, élő környezet kell."

A védelem másik aspektusa a már létező biztonsági elemek hatásfoka. H3 szerint a jelenlegi vírusvédelmi technológiák kezdenek elavultak lenni. "A mai vírusirtók ritkán találnak komoly dolgokat. Egyedi vírussal szemben általában tehetetlenek." állítja. H2 folytatja a gondolatot kiemelve, hogy a biztonsági termékek jó része sajnos csak PDF-ben létező funkciókat támogat, ezek a valóságban nem működnek hatékonyan.

A hagyományos IT Biztonsági eszközök általában védtelenek a profi hackerekkel szemben, akik mindig eltüntetik munkájuk nyomait, állítja H4. Ne felejtsük el, hogy támadni mindig könnyebb, mint védekezni. Különösen egy olyan térben, ahol az IT Biztonsági szakembereket nem tudják megfizetni. A nyitva hagyott hátsó bejáratok, a rosszul beállított biztonsági eszközök, az aktív hackerek számára barátságosan hívogató rendszert kínálnak. Pedig H4 szerint a hackereknek is van határuk. Tudják, hogy vannak olyan rendszerek, olyan védelmi megoldások, amelyek feltöréséhez többet kell a támadási oldalon belefektetni (mind anyagilag, mind szellemileg), mint amennyit megér a megszerzett információ vagy más hackerek elismerése.

H1 kiemeli, hogy a rossz ellenőrzési, auditori gyakorlat is káros lehet. Az auditorok részéről hiányosságként hozza fel, hogy nincs valódi szakmai tapasztalatuk és a legtöbb esetben rossz irányból közelíthetik meg az IT Biztonság mély szakmai kérdéseit. Ebből általában rossz becslések születnek, ami félreviszi az IT Biztonsági védekezésre szánt költségeket, amit aztán rossz helyen és más elemekre költenek el, mint kellene. Ezt a hackerek kívülről is jól látják és ezzel csak nő a késztetésük, hogy bebizonyítsák az adott rendszer gyengeségeit.

H1 szerint a védelmet gyengítő trend még az is, hogy a fejlesztők szinte teljesen negligálják a biztonsági elemek beépítését az új alkalmazásokba. Ennek hátteréről keveset szóltak beszélgetőpartnereim, de a témát egyhangúlag az IT Biztonság egyik fundementális problémájaként azonosították.

Tanulságos pár óra volt, amit ezekkel a srácokkal el tudtam tölteni. Mint az IT Biztonságért tenni akaró szakember kifejezetten örültem, hogy bepillanthattam a függőny mögé és most talán egy kicsivel többet értek a hackerek motivációkból, gondolkodásmódjából. Egyuttal rájöttem arra is, hogy a hackerek sokkal inkább velünk élnek, mint azt elsőre gondolnánk. Valamelyik munkatársunk, tanácsadónk vagy éppen egy cég CIO-ja akik nappal lelkesen installálnak, felhasználók problémáján segítenek vagy éppen beszerzési terveken gondolkodnak üres óráikban vagy éppen miután lemegy nap pedig folyamatosan tesztelik a biztonság határait. Ki tudja, talán többet kellene foglalkoznunk ezekkel az emberekkel. Ha több figyelmet, pénzt, szakmai megbecsülést kapnának a végén még ők építhetnék fel biztonságosabb védelmi rendszereinket. Akárhogy is lesz, nem érdemes figyelmen kívül hagynunk a figyelmeztetéseiket. Talán éppen ezért döntöttünk úgy, hogy idén lesz hacking szekció is az ITBN-en is.

Keleti Arthur

A fenti cikk írójaként nincs tudomásom konkrét bűncselekményekről vagy bizalmas céginformációkról. Interjúm alanyainak állításai, gondolatai a saját véleményüket, tapasztalatukat és tudásokat tükrözik.