Informatika | Informatikai biztonság » Krasznay Csaba - Információbiztonság a másik oldalról, hackerek Magyarországon

ELŐADÁSOK NYOMDAKÉSZ ANYAGA INFORMÁCIÓBIZTONSÁG A MÁSIK OLDALRÓL: HACKEREK MAGYARORSZÁGON Krasznay Csaba, krasznay.csaba@kancellarhu kancellár.hu Kft Az információbiztonság területén a média érdeklődésének szinte egyedüli célpontjai a hackerek. A különböző motivációjú emberek között azonban a legritkábban tesznek különbséget, és a legtöbbször nem fordítanak elég időt arra, hogy a szakmai és szociológiai oldalt alaposan feltárják. Sokszor a területtel hivatásosan foglakozó szakemberek sem ismerik az „ellenségeiket”, holott a védekezés egyik legfontosabb eleme a támadók eszközeinek és motivációinak megismerése. Két elég szélsőséges véleményt alakítottak ki a hackerekkel kapcsolatban Egyesek úgy gondolják, hogy az ilyen emberek a modern kor Robin Hood-jai, akik elérhetővé teszik mindazokat az információkat, melyekhez az átlagember egyébként nem jutna hozzá. Más vélemények szerint terroristák, akik

működésükkel tönkreteszik az információs infrastruktúrákat, és keményen büntetni kell a tevékenységüket. A „hacker” szó definícióját megadni éppen azért nem egyszerű feladat, mert az igazság valahol a két állítás között van. Példaként fel lehet hozni a Hacker Jargon File-t [1], ami 8 különböző meghatározást tartalmaz erre a kifejezésre, beleértve a két szélsőséges nézetet is. A tapasztalati megfogalmazás, ami talán világossá teszi, hogy a szerző kiket ért hacker alatt így néz ki: Olyan szabályokat, határokat el nem fogadó, jó programozási tudással rendelkező, tinédzser vagy fiatal felnőtt, aki jobbító szándékkal vagy a saját maga és társai szórakoztatására infokommunikációs rendszerekbe hatol be. Ez a meghatározás eleve kizárja azokat a személyeket a hackerek köréből, akik valamilyen anyagi motivációból, kémkedési vagy károkozási céllal élnek vissza a tudásukkal. Az első jelentős, azóta

alapműnek tekinthető könyvet Steven Levy írta erről a szubkultúráról. Az 1984-ben megjelent könyv tartalmazza a Hacker Etikát, mely máig alapvetően meghatározza az „igazi” hackerek működését [2]. Ennek állításai a következők: • A számítógépekhez való hozzáférésnek – és bárminek, ami megtaníthat valamit arról, hogy a világ hogyan működik – korlátlannak és totálisnak kellene lennie. • Minden információnak hozzáférhetőnek kellene lennie. • Ne bízz a hatóságban – támogasd a decentralizációt! • A hackereket az általuk elkövetett tettek alapján kellene megítélni, nem pedig iskolai végzettség, kor, faj, vagy pozíció alapján. • Művészetet és szépséget kreálhatsz a számítógépeden. • A számítógépek jobbá tehetik az életedet. Sajnos a modern kor informatikai bűnözői a legkevésbé sem tartják magukat ezekhez az elvekhez. A hírek egyre gyakrabban szólnak olyan csoportokról, akik

elsősorban Oroszországból és Kínából támadják az információs infrastruktúrákat, komoly gondot okozva ezzel az internetezőknek és a kormányszerveknek is. Az egyre kifinomultabb támadások mögött komoly szaktudás áll, amit nem a fejlődésnek, hanem a károkozásnak rendelnek alá. Ezt elsősorban a két ország hatóságainak és jogrendszerének gyengesége teszi lehetővé. Jellemző példa, hogy az USA-ban, a hacker kultúra őshazájában az ilyen érdeklődésű emberek egyre kevésbé űzhetik hobbijukat, mert a hatóságok terroristaként kezelik őket, és egy rosszul sikerült cselekedetet gyorsan kinyomoznak, és súlyos büntetéssel sújtják. Ez a trend Nyugat-Európában is megjelent, így egyre kevesebben vállalják e cselekedeteiket pusztán a hírnévért. A rendszerek megismerése utáni vágy természetesen tovább él, de sokszor botnetek építésére, vagy a szervezett bűnözés kiszolgálására pazarolják el ezt a tudást. Néhány évvel

ezelőtt az volt a jellemző, hogy a „kiöregedett” hacker saját tanácsadó céget alapított, és tudását a legális világban kamatoztatta. Ez is egyre kevésbé jellemző, ami elsősorban az ilyen cégekkel szembeni bizalmatlansággal, illetve az üzleti ismeretek hiányával magyarázható. A mai világban egy hacker előtt három út állhat • Megfásult programozó lesz, akiben forr az elégedetlenség. • Belekerül a szervezett alvilágba, ahonnan nem nagyon van kitörés. • Biztonsági tanácsadó lesz, ami viszont a legtöbb (magyar) hackernek nem adatik meg lehetőség és tudás hiányában. A világnak ez utóbbi lenne a legjobb megoldás, de ehhez a szakmának más hozzáállást kéne kialakítania. A magyar hacker szubkultúráról viszonylag keveset lehetett tudni. Flammich Mariann 2002-es kutatása [3] próbálta meg bemutatni az érdeklődőknek a magyar viszonyokat. Flammich szerint a magyar hackerek általában 15-24 év közöttiek, középiskolások,

főiskolások, egyetemisták, értelmiségi szülők gyermekei, és többnyire Budapesten laknak. Az „igazi” hackerek számát 1020-ra teszi, a téma iránt érdeklődők száma 200 körüli lehet Ez a becslés 2008-ban is megállja a helyét. Egy elég statikus körről beszélünk, ahova nehéz bejutni, kikerülni pedig általában úgy lehet, hogy az illetőnek már nincs ideje ezzel a témával foglalkoznia. Sajnálatos, hogy napjainkban nem lehet közösségről beszélni, hiszen nagyon kevesen foglalkoznak „életvitelszerűen” hackeléssel. Az elit klub, akik között valamilyen kooperáció van, szinte megegyezik a Flammich által 6 éve kutatott társasággal. Valószínűleg többen is vannak, akik igen magas tudással rendelkeznek, de vagy egyedül, vagy valamilyen külföldi klubhoz kapcsolódva élik ki szenvedélyüket. Azok a fiatalok, akik az utánpótlást jelentenék, a nyilvános fórumok, klubok híján nem tudnak sehova sem kapcsolódni, így nagyon kevesen

jutnak el olyan szintre, hogy hackernek lehessen őket nevezni. Az egyetlen underground rendezvény Magyarországon a Hacktivity konferencia, ami 2007-ben negyedik alkalommal ültette egy rendezvényterembe a téma iránt érdeklődőket, szakembereket, egyetemi kutatókat, állami szervezetek képviselőit és a magukat hackernek nevezőket. A kb 300 érdeklődőt vonzó rendezvényen az általános információbiztonsági tudatossági előadásoktól a mélyen műszaki tartalmú prezentációkig széles skálán mozognak a témák. A konferencia legnagyobb tanulsága az, hogy a „hivatalos” szakma komoly érdeklődést mutat az „alternatív” szakma iránt, de nagyon kevés az a találkozási lehetőség, ahol egymással beszélgethetnének. Pedig ez az egész magyar közösség számára nagyon pozitív lenne. A hackerizmus iránt érdeklődő fiatalok szakmai útjának egyengetéséhez nagyon fontos lenne a magyar felsőoktatás aktív részvétele. Az információs

infrastruktúrák jelentős elterjedése miatt egyébként is fontos az információbiztonság széleskörű oktatása. Ezzel szemben azt érzékelhetjük, hogy a korábbi összefogott oktatások a bolognai rendszerbe való átállás miatt még nem találják a helyüket, így, bár vannak biztonsági szakirányok, szükség lenne ezek alapos újragondolására és szerkezetbe foglalására. Az Informatikai Vállalkozások Szövetsége Biztonsági Munkacsoportjának ezt kiemelt célkitűzésként szerepelteti programjában. Az Eötvös Lóránd Tudományegyetem részéről megtörtént az első lépés annak érdekében, hogy a piac és az egyetem elvárásait és lehetőségeit összehangolják. Valószínűleg ezt további intézmények is követni fogják. Természetesen felmerül a kérdés, hogy jó-e az, ha minél több hacker van? A válasz határozott igen. Hackelni ugyanis törvényes keretek között is lehet, a rendszerek megfejtése pedig segíti a mérnöki

problémamegoldást, a sérülékenységek megismerését. Ezen a területen fokozottan érvényes, hogy a rablóból lesz a legjobb pandúr, ha a szükséges támogatást és bizalmat megkapja az áttérésre. Így mind a felsőoktatásnak, mind a szakmában dolgozóknak komoly felelőssége van abban, hogy saját szervezetük, és az ország védelme miatt működjenek együtt a biztonsági érdeklődésű fiatalokkal. Magyarország, és a magyar cégek egyébként is egyre inkább céljai az informatikai támadásoknak. Ezeknek a támadásoknak a nagyobb része sosem derül ki, kivédeni pedig szinte lehetetlen. A hatékonyabb szervezet- és nemzetvédelem érdekében indokolt lenne az információbiztonságot kiemelt figyelemmel kísérni. A biztonsági incidensek túlnyomó többsége ugyanis külföldről indul, a magyar támadások száma elenyésző. Tipikus példa erre a visszavisszatérő török deface támadás, melynek során több száz magyar weboldalt változtattak meg

török támadók. Ez egyrészt figyelmeztet arra, hogy milyen alacsony szinten van a magyar webszerverek biztonsága, másrészt utal a magyar hackerek szervezetlenségére, hiszen semmilyen válaszlépés nem követte ezt a támadást. Magyarországról induló információbiztonsági esemény kétszer érte el azt a szintet, hogy a külföldi szaksajtó megemlékezzen róla. Az egyik Richter Csaba esete volt az Ericsson-nal, a másik pedig a Zafi vírus elterjedése. Részletesebben Richter történetét érdemes leírni, aki korábban bejutott a távközlési cég hálózatába, és az évek során több kulcsfontosságú dokumentumhoz fért hozzá. 2005-ben került nyilvánosságra ez a törés, amikor tudatta a céggel a tevékenységét. Ezután Svédországban letartóztatták, és 3 éves börtönbüntetésre ítélték Az ügy nagyon jól rávilágít a hackelés kényes természetére. Richter – állítása szerint – semmilyen kárt nem okozott, nem adta el a hozzá

jutó információkat sőt, kizárta a többi támadót a rendszerből, tehát még védte is a céget. Azért ment Svédországba, hogy ezért cserébe állást kapjon Megérkezése után azonnal letartóztatták, a bíróság előtt elmondása szerint nem vették figyelembe tettének valódi súlyát, példát statuáltak vele. A neve ismert lett, jelenleg a legális szférában nem nagyon jut álláshoz. Persze a másik oldal indokai is érthetőek Üzleti- és államtitkokhoz fértek hozzá, nem lehet tudni, hogy ez kihez szivárgott ki, és ez nem tesz jót a cég imázsának. Végül is senki nem járt jól, hiszen kár ért egy nagyvállalatot, és derékba tört egy tehetséges fiatal karrierje. Az ilyen esetek megelőzése érdekében az információbiztonsággal foglalkozók közösségének minél inkább rajta kell tartania a szemét a tehetséges fiatalokon, és segíteni nekik az elhelyezkedésben. Irodalomjegyzék [1] [2] [3] The Jargon File v. 447,

http://wwwcatborg/~esr/jargon/html/indexhtml Levy, Steven, „Hackers: Heroes of the Computer Revolution”, Anchor Press, 1984 Flammich Mariann, „Hackerek”, Médiakutató, 2002 ősz