Miért nem bomlanak a cégvezetők a hackerek után?

1. A hacker lelkét ki ismeri...
1. A hacker lelkét ki ismeri... 2. Esetek és tanulságok
Írta: IT café
2010-05-18 11:24

A hacker lelkét ki ismeri...

Roppant érdekes cikket tett közzé Keleti Arthur biztonsági szakértő az ITBN (Informatikai Biztonság Napja) honlapján, melyben négy gyakorló hackerrel folytatott beszélgetéseit summázta. Az alábbiakban a szerző jóváhagyásával a szöveg némileg rövidített változatát közöljük.

Keleti Arthur az írás elején igyekszik tisztázni a „hacker” szó lejáratódása miatt néhány éve megjelent „etikus hacker” megnevezés értelmét: „Ha jól csinálják, az etikus hacking olyan, mint az etikátlan (legalábbis szakmailag) csak a végeredmény felhasználását tekintve különböznek. Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja és jó esetben teljességre törekszik. A hackernek ezzel szemben mások a motivációi és ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt igazán. Viszont egyben megegyeznek. Mind a ketten a figyelmünket akarják felhívni rendszereink sérülékenységére.” Ráadásul, véli Keleti, a rosszfiúkat szeretik a nők is.

A megszólaló hackerek – természetesen – nem vállalták személyazonosságukat, ezért kódokkal vannak jelezve (H1, H2, H3, H4), s mindegyikükre jellemző, hogy megbízásra, legálisan (etikus hacking) is dolgoznak a mai napig.

Vajon miért tör be valaki egy informatikai rendszerbe?

H2 szerint ez a kérdés az egyik kulcs a hackerek viselkedésének megértéséhez. A hackerek úgy gondolják, hogy ők benézhetnek azon az ajtón, sőt talán be is mehetnek. Miért hagyták nyitva, ha nem lehet bemenni? H1 szerint is minden csak látásmód kérdése. Ha megkérdezzük az embereket, hogy blicceltek-e már a tömegközlekedésen, a legtöbben igennel felelnének. De ha úgy fogalmaznánk, hogy hányan okoztak már üzleti kárt a Budapesti Közlekedési Vállalatnak, akkor már jelentősen csökkenne az igenek száma.

Akkor mégis mi választja el a jót a rossztól? Mondhatnánk, hogy a törvény és a gyakorlat. De ahogyan H1 rámutat, Magyarországon már több évtizede egy „következmények nélküli” állapot van, ami kedvez a hackereknek: „Amikor az egyik haveromat végtelenített telefonkártyával elkapták, komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak mint ő maga, amikor a tőle elvett kártyát eladták másoknak.” Különösen a hacking terén soha nem hallunk feljelentésekről, bűnesetekről és ami talán még ennél is fontosabb nem hallunk retorziókról sem. Ahogy H1 fogalmaz: „…a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele, ahhoz, hogy megnyugodjon.”

H3 a felelősségtudat hiányát, pontosabban annak újraértelmezését tartja fontos kérdésnek. „Tudom, hogy nem szép dolog feltörni egy cég rendszerét, de leszarom. A cégek is pontosan ugyanígy szarnak a biztonságra.” H4 is azon a véleményen van, hogy nem érinti meg igazán, hogy valamely akciójának eredményeképpen sokat kell dolgoznia az adott cég munkatársainak: „Nem érdekel, hogy egy hacking nyomán kinek mennyit kell dolgozni. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség.”

Gyakran nagyon is tudatos a hacker tevékenysége. Ilyenkor sok esetben az hajtja, hogy megmutassa, mennyire sérülékeny vagy kiszolgáltatott egy rendszer. H3 szerint „ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs”, ez pedig általában felbőszíti a hackert, és piszkálja az igazságérzetét. Ahogy H2 fogalmaz: „Megcsinálják pár forintból a rendszert és drágán eladják”, miközben a valódi szakmai tudást nem fizetik meg a cégek. A hackerek szerint a legtöbb cég bármilyen közeledésükre és szaktudásuk értékbe bocsátására elutasítással reagál és feljelentéssel fenyeget, vagy 1-2 millió forintos megbízásokat dob oda nekik, ami a hackerek körében tovább erősíti azt a megérzést, hogy a valódi biztonsági szaktudásra nem árában költenek a cégek, míg a funkciók megvalósítására nagyságrendekkel többet áldoznak. H3: „Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek el, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól!”

A rossz érzéseket tovább erősíti az, hogy a valódi hackertudás látszatának köpönyegébe bújva sokan állítják ma magukról, hogy értenek a biztonsághoz, legalábbis papírjuk van róla. A srácok maguk közt csak „papírhackerként” hivatkoznak rájuk. H4 szerint ma sok rendszert inkompetens üzemeltetők felügyelnek, és ha egy ilyen rendszerbe törnek be a hackerek, egyúttal a szakmaiatlanság iránt érzett frusztrációjukat is kiélik.

A „deface” bénaság, módszerek és megközelítések

Milyen módszerekkel dolgoznak a hackerek? Követnek-e bármilyen stratégiát vagy elvet amikor akciókat hajtanak végre? Vajon jó ponton összpontosul-e a biztonsági szakemberek védelemre fordított figyelme, amikor hackerek támadásaira készítik fel egy cég infrastruktúráját?

H4 idézi fel az IRA brightoni bombamerénylete után a brit kormánynak írt levelének egy részletét „…nekünk csak egyszer kell szerencsésnek lennünk. Önöknek mindig.” A biztonságban is ez különbözteti meg a hackert és az üzemeltetőt. „Támadni mindig könnyebb” – teszi hozzá.

A deface (a weboldalak megváltoztatása) megítélésével kapcsolatban H2 elmondta, hogy soha nem tartotta igazán nagy teljesítménynek, ha valaki megváltoztatja egy oldal tartalmát. Vannak olyan webhelyek, ahol napi szinten pontozásos verseny folyik a weboldal deface-ekért, de H2 szerint ez komolytalan. Nem véletlen, hogy a nagyobb „terméssel” kecsegtető banki szférában nagyon ritkán alkalmazzák a hackerek az egyszerűbb defacing-et. Nem lebecsülve a deface politikai vagy figyelemfelhívó lehetőségeit, H2 szerint az ilyesminek akkor van értelme, ha mélyebb szakmai problémákra világít rá. Az ilyen akciók H2 véleménye szerint az üzemeltetők szakmai tekintélyét rombolják, mert el kell ismerniük saját hibáikat. Ugyanakkor a hackerek azzal is tisztában vannak, hogy legtöbb támadásukról a cégek leginkább hallgatnak. H1 megjegyzi: „Jó lenne, ha letagadhatatlan balhék lennének.”

A hackerek számára kifejezetten csemege, amikor olyan rendszerekbe törhetnek be, ahol a nyilvánvaló védelmi igény ellenére nagyon gyenge a biztonság. Ilyenek például a kórházak, ahol az asztaltársaság egybehangzó véleménye szerint a informatikai biztonság az utolsó, amire áldoznak. H3 elmesélte, hogy miként bukkant rá egy kórház tűzfalán futó torrentszerverre, ehhez többen csatlakoztak történeteikkel, egyértelműen állítva, hogy a személyes, betegadatok megszerzéséhez ma alapszintű hackertudás, egyszerű hozzáférés elégséges.

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

A hacker dilemmája

Adrian Lamo feladta a hatalmat kompromittáló adatok kiszivárogtatóját, ám ezzel a tettével nagyon nehezen képes csak megbirkózni.

Társadalom 2010-06-08 43
Újdonságok a hatodik ITBN-en

IT-biztonsági díjat és előadásokra szóló pályázati lehetőséget hirdetett meg az ITBN 2010-re.

Biztonság 2010-06-09 0
Már az FBI is vizsgálódik az iPad-botrány ügyében

Szerencsére nem számítható a legsúlyosabb biztonsági incidensek közé az e-mail címek kiszivárgása, de az Apple és az AT&T viszonyát tovább ronthatja, emellett a felhasználói bizalmat is csökkentheti.

Biztonság 2010-06-11 33
„Az Apple iPad platformja egyszerűen nem biztonságos”

Az AT&T a hackereket hibáztatja, ám ők visszavágtak, és egy újabb sérülékenységgel jöttek elő, mely már az Apple-t is érinti.

Biztonság 2010-06-15 49

Előzmények

Csatlakoznál az etikus hacker elithez?

Tanulj a szakma nagy neveitől!

Promo 2010-05-03 0
Felnőtt korszakába lépett a magyar hackervilág

Az idei Ethical Hacking megmutatta, hogy e szakterületen nem vagyunk rosszabbak másoknál, és azt is, hogy a közösség nagy erő.

Biztonság 2010-05-03 4
Kétnapos lesz az idei ITBN

Változatlan helyszínen, de több és hosszabb előadással jelentkezik 2010-ben az IT-biztonsági konferencia.

Biztonság 2010-03-01 1
Népi hős lett az adóhivatalt megtámadó hacker

A lettországi válság következményeit kihasználó hacker(csoport) azzal igyekszik a társadalmi változások szereplője lenni, hogy bizalmas adatokat hoznak nyilvánosságra.

Társadalom 2010-02-25 22

Hirdetés

Felesleges óvatosság a vírusvédelem?

PR Gyakran hallani ismerősöktől, fórumokban, hogy nem kell vírusvédelem, maximum a beépített, ingyenes. Sőt, szakcikkekben is sokszor lehet találkozni olyan állításokkal, hogy manapság már felesleges dolog az antivírus, kár erre költeni.

Percről percre

Tetőfokára hág a tavasz, és ezt a hardverek is érzik

ph Asztali PC-k, monitorok, videokártya, ház, hűtés és egér is került heti válogatásunkba.

Samsung Galaxy Tab S6 Lite 2024 - a visszatérő

ma Feltámadt poraiból a Tab S6 – a Tab S9 FE kérdezi: amúgy miért?

Poco X6 5G - egy Redmi álruhában

ma Ez az egyik legolcsóbb készülék Dolby Vision kijelzővel, és más jó tulajdonságai is vannak, de nem tökéletes.

MG5 menetpróba

ma Elektromos, kombi és most már elég jó áron van, de nem egy friss konstrukció. Vajon megéri?

Sand Land teszt

gp Több mint két évtizeddel az eredeti megjelenése után Akira Toriyama egyik kevésbé ismert mangája videojáték-feldolgozást kapott, hogy újra elmesélje a sivatagban lakók démonok és emberek történetét.

Állásajánlatok

Eladó - Szerviztechnikus

Cég: Alpha Laptopszerviz Kft.

Város: Pécs

Részletek

Full stack Laravel fejlesztő

Cég: Promenade Publishing House Kft.

Város: Budapest