Hogy hogyan jönnek a jedik a hackerekhez, arról majd később. Cikkem a hackerekkel kapcsolatos 2 problémáról szól. Az első egy elég fontos tévedés, amely a hacker fogalommal kapcsolatosan terjedt el. A hackerek helytelen megítéléséről sok cikket olvashatunk az interneten, de egy dologban egyeznek, miszerint ez csak az érintettek számára fontos. A laikusok sajnálatos módon továbbra is rendületlenül úgy vélik, hogy a hackerek ,,rosszfiúk”. A második kérdés, amellyel foglalkoztam, az a hackerek legális alkalmazásával, munkáikkal kapcsolatos. Magyarországon, meglepő módon, több program kapcsolódik hozzájuk, mint gondoltam. De kezdjük a legelején.
A hack és crack fogalmak tisztázása
Hack
A sajtó félreértelmezésének köszönhetően manapság már elterjedt az a magyaráztat, hogy a hacker az, aki mások számára ártalmas tevékenységet folytat. A valódi hackerek mindezt módfelett sértőnek tartják magukra nézve, és állítják, hogy keverik őket a crackerekkel. A dolog nagyjából úgy néz ki, hogy a hacker fogalmát és tevékenységét két részre kell bontani, a régi és a mai értelemben vett hackerre. A régi értelemben vett hacker számítógépes szakembert, aki alaprendszerek létrehozásával, fejlesztésével, programozással, rendszerbiztonsággal foglalkozik. A mai értelemben vett hacker a számítógépes bűnözőt jelenti, aki számítógépes betörésekkel, rendszerek feltörésével, adatlopással illegális tevékenységet folytat.
Crack
A kereskedelmi szoftver illegális feltörésére készített segédprogram, vagy maga a feltört szoftver. Sok esetben a crack fájlnak álcázott vírus, féreg. A cracker fogalmában a kavarodás ismét a sajtónak köszönhető, így újból két részre kell bontani a fogalmat. Azon számítógépes „guruk”, akik tudásukkal nem a társadalmat szolgálják, hanem visszaélnek vele régi értelemben vett crackerek. Tevékenységük a jogtalan behatolás, adatok lopása és felhasználása, valamint a lopott információkkal való visszaélés. Azon személyek, akik a szoftverek kódjait visszafejtik, és módosítják mai értelemben vett crackerek. Fő profilja, többek között, a másolásvédelem megszüntetése, programoknál és játékoknál a CD-vel való indítás kiiktatása és a valódi CD/DVD imitálása.
Hacker vs. Cracker
Az összehasonlításhoz egy elég szemléletes idézetet találtam, mely szerintem nagyon érthető és vicces is. A cikkem címét is ez a cikk ihlette.
,,A hacker/cracker szavak használata terén is elég lehangoló a helyzet. Az még rendben van, hogy az emberek jelentős része nincs tisztában a különbséggel (pedig ez kb. olyasmi mint a sith lovagok és a jedik helyzete... azt persze nem keverik :)), de hogy a sajtó is tévesen használja az azért elég szomorú (és talán pontosan ennek köszönhető, hogy a köztudatba is hibásan kerül be).”
A cracker feltör egy adatbázist, és abban kárt okoz. Általában programokat tör fel és nem honlapokat.
A hacker fogalomnak két jelentése van! Az egyik jelentése a számítógépek hőskorára nyúlik vissza, amikor a Hacker nevet az érdemelte ki, aki a mindig a maximumot hozta ki a gépéből. Mindig csak azon járt a feje, hogy hogyan lehetne egy adott programot gyorsabban, jobban futtatni ugyanazon a gépen. A másik jelentése egy Kultúra. Ez a kultúra a kiváló programozók és hálózati varázslók közös kultúrája. Ez is szintén évtizedekre nyúlik vissza. Ma már ez a kultúra van többségben. "Hackerek építették az Internetet, ők tették azzá a Unix operációs rendszert, ami." De a Hackerek NEM rombolnak! Nagy tévedésben van az az ember, aki azt hiszi, hogy a Hackerek feltörnek egy adatbázist és abban kárt okoznak! Hallottam már sok olyan esetet, hogy Amerikában egy Hackert kértek fel egy hálózat biztonságának tesztelésére. Meg már olyanról is hallottam, hogy egy Hacker feltört egy oldalt, és a cégnek eljuttatta a hiba leírását!
A hackerkedés legális oldala
Azokat a hackereket, akik bizonyos cégek megbízásából megpróbálják kifigyelni a biztonsági hézagokat, "Penetráció-tesztelőknek" nevezik. Ezek legálisan tevékenykednek, hiszen megbízásra cselekszenek, és ami a felismeréseket illeti, tartják magukat az előírásokhoz. Azon kívül biztosítva vannak, ha a feltörési kísérlet során károk keletkeznének.
Csukott szemmel nem lehet védekezni, vallják az etikus hackelés hívei, akik szerint fontos dolog a rendszerüzemeltető céges IT-alkalmazottak arra való oktatása, hogyan lehet nem kívánatos vendégként beköszönni egy számítógépes hálózatba. Egy szép összegért cserébe már hazánkban is bárki pandúrból rablóvá válhat.
Netakadémia, az etikus hackelés oktatása
Fehér kalapos hackerekről hallottunk már, akik megrendelésre tesztelnek rendszereket úgy, hogy megpróbálnak minden eszközzel behatolni vagy hibát találni. Ez már mondhatni erkölcsösebb módja a csintalankodásnak. De vajon miféle tudással rendelkezhet valaki, aki elvégzi az ezen a héten induló első hivatalos, 5 napos Ethical Hacking képzést? Sőt, vajon mire tudja használni a sötét tanokat? Alapjában véve olyan szakemberek számára lehet hasznos, akiknek a napi munkájuk során egy kisebb-nagyobb hálózatot kell működtetniük és szeretnének önmaguk is megbizonyosodni - lehetőség szerint elszenvedett károk nélkül - arról, hogy amit alkottak, az valóban megbízható és biztonságos. A Netakadémia alapítója, Fóti Marcell szerint leginkább az autós töréstesztek esetére hasonlít az etikus hackelés. Hogy lássuk, hogyan viselkedik egy autó balesetkor, ahhoz össze kell törni. Ugyanígy kell megostorozni egy számítógépes hálózatot, amennyiben valaki nem akkor szeretne rájönni a gyengeségekre, amikor reggel a vállalat weblapja helyén a gay.hu-t találja.
A rizikók ismeretében érthető, hogy az egyébként főként szerveroldali alkalmazások oktatására specializálódott Netakadémia belefogott egy ilyen oktatásba is (még akkor is, ha 395 ezer forintot kér érte fejenként). Bárkiben felvetődhet viszont a kérdés, hogy vajon mitől válik etikussá egy hacker? Az újságírók kérdezősködésére Fóti Marcell elmondta, hogy külön etikai modulokat nem tartalmaz a tanfolyam, csak jogi és egyéb hasznos tudnivalókkal látják el a jelentkezőket a szakmai mondani valón felül. Így elméletileg valaki gonosz motivációkkal is magára vehetné itt a tudást.
Az etikus hackelés fogalmának népszerűsítésére a Netakadémia létrehozott egy szervert, ahol egy 12 szintes akadálypályát állítottak fel az önjelölt betörőknek, amin letesztelhetik tudásukat. A legegyszerűbb feladatok szimpla URL-hackelésre építenek, de később cross-site scripting és SQL Injection (adatbázis módosítása anélkül, hogy az illetőnek hozzáférése lenne a belépéshez, egyszerűen a paraméterezés során kell becsapni az alkalmazást) is előkerül.
A közelmúltban már több, mint 2500 felhasználó vágott neki ennek a kihívásnak (ez valószínűleg kevesebb ember, mert egyes feladatok során néhányan a felhasználónévvel is próbáltak trükközni). Közülük 5-700 fő jutott át az egyszerűbb feladatokon, de 400-an az SQL-t is átverték, és több mint 200 ember végigvitte az egészet. Többen jelezték, hogy szívesen továbbfejlesztenék a feladatokat nehezebbekre. Mindezt egy olyan országban, ahol összesen körülbelül 1000 embernek van MCP vizsgája, ami bizonyítja, hogy MS-rendszereket képes üzemeltetni.
KÜRT Információbiztonsági és Adatmentő Zrt.
A KÜRT Információbiztonsági és Adatmentő Zrt. végezhette el a Zain Csoport kuvaiti leányvállalatának biztonsági átvilágítását. A csapat a világ legnagyobb biztonsági szakértő szolgáltatóival versenyzett a megbízásért. A projekt 2 hónapig tartott és ez év februárjában zárult. A magyar szakembergárda (köztük hivatásos hackerek) a Közel-Kelet meghatározó telekommunikációs cégének információbiztonságát tette próbára. A megbízó elégedettségét fémjelzi, hogy már folynak a tárgyalások a projekt folytatásáról. Ma már világszinten sikert aratnak a KÜRT által folyamatosan fejlesztett és tökéletesített Biztonsági Intelligencia termékek, amelyek egyben a vállalat egyik húzóerejét jelentik.
A KÜRT 2007 őszén a világ legnagyobb „big 4” vállalataival, valamint szaudi és belga biztonsági szakértő cégekkel vette fel a versenyt, és elnyerte a 42 millió ügyfelet kiszolgáló, 6 milliárd dolláros árbevételű Zain telekommunikációs csoport kuvaiti leányvállalatának információbiztonsági átvilágításáról szóló megbízást. Ez volt a közel-keleti mobil telekommunikációs cég életének eddigi legnagyobb és legbonyolultabb IT biztonsági projektjére.
A két hónapos munka során a hazai szakemberek először Magyarországról dolgoztak a cégóriás kuvaiti leányvállalatának, majd Kuvaitban folytatták a legális hackelést, a humán hackelést, valamint a szabványi megfelelőség felülvizsgálatát. Feltárták a Zain rendszerében felmerülő biztonsági réseket és valós, azonnali „sérülékenységi elhárítást” végeztek. Ezt követően megoldási akciótervet készítettek a biztonsági hiányosságok kiküszöbölésére, ezzel még átláthatóbbá vált a szakértők számára az it rendszer, és biztonságosabb adatkezelést sikerült megvalósítani.
KÜRT Biztonsági Intelligencia csomag termékei: legális hackelés, log elemzés, a biztonsági tudatosság programszerű fejlesztése és hálózati nyomozás.
A legális hackelés esetében a szakemberek éles, az „alvilági” hackerek által használt módszerekkel támadják meg az ügyfelek rendszereit, először az Internet felől, majd a vállalaton belülről. A biztonsági problémák megszüntetésére vagy mérséklésére azonnali akciótervet készítenek.
A log elemzés szolgáltatói egyfajta őrszemként felügyelik a vállalati rendszert. Ezzel a tevékenységgel előre jelezhetővé válnak a vállalatot fenyegető rendszer-összeomlások, a betörési kísérletek, de figyelmeztet a KÜRT csapata abban az esetben is, ha az informatikai (pl. vállalatirányítási vagy ügyfélszolgálati) rendszerek nem állnak a felhasználók rendelkezésére az üzlet által elvárt időtartamban.
A biztonsági tudatosítás a humán hackerek elleni védelem legfontosabb eszköze. Ma már olyan fejlett eszközöket használnak a rosszindulatú phising (adathalászat) vagy éppen social engineering támadások megalkotói, amelyek elől csak a legfelkészültebb vállalati felhasználók tudnak kitérni.
A KÜRT nyomozati tevékenységét abban az esetben veszik igénybe az ügyfelek, amennyiben egy visszaélés körülményeit, elkövetőjének kilétét és az elkövetés módját kívánják feltárni.
doubleTwist
A doubleTwist tulajdonképpen egy megosztóprogram, ami képeket, videókat, zenéket oszt meg különféle eszközök (számos hordozható medialejátszó formátum) és felhasználók között egyszerű 'drag and drop' technikával. Az alkalmazás kompatibilis a Facebook-kal, tehát a megosztás a közösségi oldalon keresztül is történhet.
Ami az új, és egyébként legális szoftverben külön érdekes, hogy automatikusan felismeri és importálja az iTunes-ból letöltött zenéket, és a háttérben megszünteti a fájlok másolásvédelmét, így ezeket is megoszthatja a user. A módszer egyszerű, hasonló a rippeléshez, a zenéket lejátszva a program újrakódolja azokat bizonyos (nagyjából 5 százalékos) minőségromlásért cserébe.
Kutatók Éjszakája
A hackerek is képviseltették magukat a Kutatók Éjszakáján. Frész Ferenc, a Kürt Zrt. Biztonsági Intelligencia Központjának vezetője a legális hackelésről, az oldalak sebezhetőségének vizsgálatáról beszélt. A szakember szerint az elmúlt három évben Magyarországon is iparággá vált a számítógépes biztonság, megjelent az igény az ilyen jellegű vizsgálatokra. Ennek ellenére a közgondolkodás még mindig képes a biztonságra úgy tekinteni, mint egyszer telepítendő és működő termékre. Legjobb példa erre a felhasználók által épített adattest, az a sok neten szétszórt személyes adat, amiből az egyes emberek teljes profilját fel lehet építeni. Az adatok ilyen szivárgását csupán a felhasználók tudatosságának növelésével lehet megszüntetni.
Hackerverseny
A kancellar.hu és az Eötvös Loránd Tudományegyetem közösen már harmadik alkalommal rendezte meg a hackerversenyt, amelyen a jelentkezőknek a mindennapi életből vett IT-biztonsági feladatokat kellett megoldaniuk.
Az első rendezvény egyéni verseny volt, és a résztvevőknek öt feladatot kellett megoldaniuk 16 óra alatt. A többség három "versenyszámot" is alig tudott teljesíteni a megadott idő alatt, a szervezők ezért idén már egy egész napot adtak a megoldásra, és kétfős csapatoknak hirdették meg a versenyt.
A második erőpróba 2009 márciusában került megrendezésre. A résztvevők az ELTE, a Budapesti Műszaki és Gazdaságtudományi Egyetem és a Miskolci Egyetem informatikus és programozó informatikus szakjáról érkeztek az ELTE Informatikai Kar Lovarda néven ismert hatalmas számítógéptermébe. Típusproblémákat kellett megoldaniuk, amelyekkel nap mint nap találkozni fognak, ha az egyetem után az információbiztonsági szakterületet választják.
Az első feladat egy elképzelt nagyvállalati alkalmazásfejlesztési projekt biztonsági problémáinak kezelése volt. A második feladat az alvilági módszerekkel folytatott, de legális, úgynevezett etikus hackelés területén tette próbára a csapatokat. A harmadik feladat a prímszám-tesztelés, a titkosításban alkalmazott egyik tipikus eljárás alkalmazása volt. A csapatoknak egy algoritmust kellett készíteniük, amellyel megállapítható, hogy prímszám-e az előre megadott, több tucat jegyből álló szám.
A kancellar.hu és az Eötvös Loránd Tudományegyetem közösen már harmadik alkalommal rendezte meg a hackerversenyt idén, amelyen a jelentkezőknek a mindennapi életből vett IT-biztonsági feladatokat kellett megoldaniuk. A hackerverseny győzteseit nemcsak az egymillió forintos fődíj motiválta a jelentkezésre, hanem az a kihívás is, hogy életszagú, izgalmas feladatokat kellett megoldaniuk. Ráadásul az első három helyezett gyakornoki állást is kap Magyarország vezető információbiztonsági cégénél.
Ezek a programok is mutatják, hogy mennyi lehetősége van a Magyarországon egy feltörekvő hackernek. Nem feltétlenül kell a ,,sötét oldalra” állniuk és illegális dolgokat elkövetniük. Legálisan hackerkedni ma már egyre inkább megéri. Lehet, hogy mindezzel vissza lehet szorítani az adatlopások mennyiségét.
