Résvadász virtuális nehéztüzérséggel
Legyártottak pár nyereménnyel kecsegtető, színházi álborítóval ellátott CD-t, s postán elküldték a célszemélyeknek. Tízből hatan a munkahelyi gépükön nyitották meg az adathordozót – ezt úgy programozták, hogy összekösse az érintett cég informatikai rendszerét a kívülről támadó számítógéppel. –Olyan alkalmazott is lépre ment, aki nem volt rajta a listánkon, azaz továbbadták neki a csali CD-t. Pedig egy időben elvégzett programfrissítéssel tulajdonképpen elkerülhették volna a csapdát – érzékelteti a magyarországi internetbiztonsági tudatosságot Pánczél Zoltán.
A 28 éves fiatalember, egy budapesti informatikai-biztonsági cég társtulajdonosa etikus hacker. Lyukvadásznak is hívjamagát,mert a törvényeket tiszteletben tartva keres réseket megbízói számítógépes rendszereiben – Tíz rendszerből kilencet sikerül úgy megtörni, hogy hozzáférjünk az érzékeny adatokhoz – meséli.
A szaporodó hackertámadásokról szóló hírek kapcsán Pánczél annyit jegyez meg: a pár évvel ezelőtti patakocska időközben tengerré duzzadt, s hamarosan óceánná növi ki magát. Többen felfedezték, hogy a média „bukik” e szenzációként tálalható sztorikra. A spanyol rendőrség honlapját megbénító Anonymous-csoport érezhetően fürdik a „celebség” szerepében.
Az informatikai szakember a hacker világot színek alapján kategorizálja. A feketekalaposok a kárt okozók, akik ezt többnyire anyagi haszonért teszik. A szürkekalaposok szintén átlépik a jogi küszöböket, de nem lopnak vagy rombolnak. Ellenkezőleg, jelzik a célpontnak, hogy problémát találtak. A fehérkalaposoknak hívott etikus hackerek mindent az előzetesen lefektetett szabályok szerint tesznek.
Az utóbbiak közül sokan jobbító szándékkal is cselekszenek, a gyenge pontokra pár soros mailben hívják fel a figyelmet. Pánczél szintén tapasztalta, hogy az érintett cégektől, szervezetektől köszönet helyett gyakran durva ledorongolás jön válaszként. – Bár egyre több hazai vállalat ismeri fel, hogy eminens üzleti érdeke ügyféladatainak megfelelő védelme, az internetes biztonságtudatosságban több évtizedes lemaradást látok – hangoztatta.
Nyugaton a jó útra tért hackerek, mint a bálványként tisztelt amerikai Kevin Mitnick jól megélnek a biztonsági tanácsadásból, az előadásokból. Több cég 1500-tól 50 ezer dollárig terjedő jutalmat fizet azoknak, akik hibákat találnak rendszereikben vagy programjaikban. Magyarország sajnos még nem tart itt. Pánczél úgy látja, itthon gyakran egy-két ember kirúgásával letudják a problémát. A biztonsági réseket nem tömik be, vagy a belső bürokrácia miatt vészesen hosszú ideig tart a változtatások átvezetése.
Ami a hackerek módszereit illeti, ők először általában automatizált szoftverekkel tüzelnek a célpontokra, majd „intuitív alapon” keresik a réseket. Támadógépként nagy memóriával, erős processzorral felszerelt laptop is megteszi. A szoftverek segítségével virtuális számítógépeket hoznak létre, így növelve meg a „rohamozók” létszámát. A hackerek előszeretettel használják az angolul „social engineeringnek” hívott feltérképezéses-rábeszéléses módszert. Az internetről beszerzett információk mellett jó meggyőző képességgel, hiteles fellépéssel és pár telefonhívással meg lehet szerezni a szükséges kiindulási pontokat.
Jevgenyij Kaszperszkij, a nevét viselő orosz vírusirtó szoftvercég, a Kaspersky Lab első embere globális internetrendőrséget és internetes útlevelet vetett fel a kiberbűnözés visszaszorítása érdekében. – Nézze, az internet a kezdetektől egyenlő a teljes káosszal, de azt szorozza meg ezerrel! Nem lehet felette ellenőrzést gyakorolni, ezért is aggódnak annyira az olyan nemzetközi szervezetek, mint a NATO – mondta. A Kaszperszkij által felvetett internetes útlevelet azért tartja kivitelezhetetlennek, mert a bevezetéshez minden világhálós hozzáférési pontot le kellene állítani, majd a szükséges „okmányok” birtokában újranyitni.
Pánczél szerint a nagy mennyiségű ügyféladatot kezelő, de a szükséges védekezést elmulasztó cégeket, szervezeteket és szolgáltatókat kellene példásan megbüntetni. Magyarországon most olyan törvény készül, ami kötelezi a megtámadott cégeket és szolgáltatókat, hogy bejelentsék, ha adatlopás áldozatai lettek. Ez elvezethet végre egy precedensértékű büntetőperhez. Jelenleg az áldozatul esett cégek vagy szervezetek – sokszor üzleti érdekből –inkább eltitkolják, elhallgatják a többnyire felbérelt feketekalaposok által okozott veszteségeket.
Arra a kérdésre, hogy Magyarország ellen lehetne-e átfogó hackertámadást intézni, Pánczél óvatos választ ad. Szerinte egyéves felkészüléssel összehozható az a tízfős csapat, amely képes lenne a kitűzött célt hétnapos heves ostrommal bevenni. Százszázalékos biztonságot azonban egy etikus hacker sem tud garantálni, de fokozott védelmet igen. A feketekalaposok mindenáron hozzá akarnak férni a kiszemelt számítógéphez. Még ha képletesen meg is kell érte halniuk.