A Mátrix trilógia óta mindenki tudja, hogy hackerek a kreatív zsenik, akiket a többiek irigyelnek a tehetségükért. Bár a közvélemény szemében a hacker tevékenység még a mai napig megosztó, valójában az etikus hackerek nagyon pontosan körülhatárolt szabályok alapján végzik biztonsági szempontból kritikus jelentőségű munkájukat. Az érdeklődés tevékenységük iránt pedig rohamosan nő minden területen, így az e-kereskedelemben is. Frész Ferenccel, a Cyber Institute Etikus hacker képzés vezetőjével beszélgettem.
Kosárérték: Miben különbözik az etikus hacker a “sima” hackertől?
Frész Ferenc: Egy hacker akkor nevezhető etikus hackernek, ha egy szervezet konkrét megbízás keretében kéri fel, hogy külső és belső támadásoknak vesse alá a rendszerét. Ilyen értelemben nem nevezhetjük etikus hackernek azt a programozót, aki ugyan jó szándékkal, de felkérés nélkül lép be egy idegen rendszerbe, még akkor sem, ha erre ő hívja fel a cég figyelmét, támogató célzattal. Röviden az etikus hacking legális, a sima hacking bűncselekménynek minősül.
További különbség, hogy az etikus hacker ismert módszertannal dolgozik, lépésről- lépésre végig járva az utasításokat. Ezzel szemben a hobbi tevékenységet végző hacker véletlenszerű, ismeretlen, nem megbízható módon próbálja meg feltörni a kiszemelt rendszert. Az etikus hacker a vizsgálat eredményét a javasolt fejlesztésekkel együtt részletesen dokumentálja, és átadja a megbízónak. A nem hivatásos hacker vagy egyáltalán nem vagy nem formális úton dokumentálja a hackelés eredményét.
A fentiek alapján minek minősül, amikor például egy amerikai multi kéri meg a felhasználóit, hogy próbáljanak biztonsági réseket találni a rendszerükben?
Ebben az esetben bár nincs meghatározott módszertan, mert bármilyen módon meg lehet támadni a céget, de természetesen az adatokkal nem lehet visszaélni, és az eredményről értesíteni kell a vállalatot. Valamit a megbízás is megtörtént, még ha nem is egy két oldali szerződés aláírásával, de a vállalt konkrét felhívására válaszolva. Ebben az esetben legális tevékenység történik. Viszont nem ajánlatos átlépni a határt, tehát kérés nélkül biztonsági réseket keresni egy idegen rendszerben, mert könnyen támadásnak vélik a jószándékú vizsgálatot, és feljelentés esetén el is ítélhetik érte a hackert.
Milyen régi szakmáról beszélünk?
A hackerkedés nem is annyira újkeletű, mint sokan gondolják. A 60-as évektől jelentek meg az első hackerek, akik a legtapasztaltabb IT szakembereket jelentették, és sikerük abban rejlett, hogy a legbonyolultabb problémákra is gyorsan találtak pofon egyszerű megoldásokat. A különböző hibák megoldása közben igazi polihisztorrá váltak.
A 80-as években, a Háborús Játékok című film megjelenésével egyidőben a hackereket egyre inkább a bűnözői attitűddel azonosították. A kor krimi filmjeinek hősei a maguk szakállára, veszélyes környezetben programoztak, sokszor a fennálló hatalommal szemben állva.
Ennek hatására a 2000-es évekre a hackerkedés egyet jelentett a bűnözéssel, és ez a megítélés még ma sem kopott ki teljesen. Viszont a 90-es évek végétől nemzetközi szinten felerősödtek a biztonsági igények, elvárások a számítógépes rendszerek iránt. Ez vezetett a mai etikus hackeri tevékenységhez, amit sok helyen már a jogszabályok is megkövetelnek és aminek két fő ága van:
- Penetrációs tesztelés: a szoftver rendszerek biztonsági módszertanon alapuló tesztelése, előre meghatározott lépések végig járásával,
- Sérülékenységi vizsgálat: nem csak szoftverekre, hanem komplex információs rendszerekre vonatkozó, teljeskörű vizsgálat. Az e-kereskedelemre vetítve azt jelenti, hogy nem csak a webáruházat vizsgálják a szakértők biztonsági szempontból, hanem az egész környezetet, akár rosszindulatú támadást szimulálva (természetesen károkozó szoftverek telepítése nélkül).
Mindkét tevékenység lezárásaként a megbízott hacker egy részletes dokumentumban átadja észrevételeit az ügyfélnek, ami tartalmazza a megoldási javaslatokat is a felmerülő problémákra.
A feltárt problémákat mi alapján célszerű csoportosítani?
Az etikus hackernek mindig könnyebb dolga van a sok helyen használt, dobozos termék vizsgálatakor. Mivel ezeket a termékeket sok helyen használják, pl: ismert webáruház motornál a sérülékenységek is jól ismertek, dokumentáltak, így a tesztelésük, javításuk is ismert, nem annyira költséges. A hátránya, hogy ha a dobozos szoftver egy gyengesége napvilágra kerül, az az összes helyen használt webáruházra potenciális veszélyt jelent a hiba elhárításáig.
Ezzel szemben az egyedi fejlesztésű szoftvereknek nincsenek jól ismert problémái, mindegyiket egyedileg kell kivizsgálni, tesztelni, javítani, ami költség és időigényes. Ilyen esetekben érdemes profi, etikus hacker csapatra bízni a rendszeres biztonsági vizsgálatot.
A webáruházak alkalmazottként vagy külső alvállalkozóként foglalkoztatnak etikus hackert?
Mind a kettőre van példa. 2007-től kezdődően, az online kereskedelem robbanás szerű terjedésével előszeretettel alkalmaznak a nagy céges saját szakembert.
2013 óta viszont – elsőként – Magyarországon jogszabályi kötelezettségük is van az állami és önkormányzati cégeknek. A működtetett rendszereket sérülékenységi vizsgálatnak kell alávetni. 2018-tól, az adatvédelmi jogszabályok változása óta (GDPR) minden online adatkezelőt köteleznek a sérülékenységi vizsgálatok elvégzésére.
Természetesen uniós szinten is igazodnak a jogszabályok a biztonsági követelményekhez (Cyber act) és megkövetelik, hogy egy új rendszer kialakításánál előre biztosítani kell az adatvédelmet és a rendszerek biztonságát. Ezt jelenti a Security by design elve, vagyis a fejlesztés megkezdése előtt be kell építeni az adatvédelmi kontrollokat a rendszerbe.
Ezek szerint minden online adatkezelő felelőssége a saját rendszerének biztonságossá tétele. Mi történik abban az esetben, ha ennek ellenére adatlopás történik, pl: kiszivárog a felhasználók személyes adata?
A hatóság vizsgálat keretében ellenőrzi, hogy az adatgazda cég eleget tett-e a jogszabályi kötelezettségeinek. Ha hiányosságokat talál, az büntetést von maga után. Ezen kívül a cégnek el kell viselni a reputáció és bizalomvesztést, ami valószínűleg jó pár felhasználójának elvándorlását is okozza. Egy ilyen eset könnyen tönkre tud tenni még egy jól működő webáruházat is.
További probléma, hogy egy cégnek az összes rendszerét kell biztonságossá tennie, hiszen elég egy sérülékenység is ahhoz, hogy az adott rendszerhez hozzáférve, azon keresztül a cég összes többi rendszerét is támadás érje. Ráadásul hiába biztonságos a szoftver, ha sérülékeny infrastruktúrán fut, akkor ugyanúgy megvan a gyenge pontja a támadókkal szemben.
Azok a híres utolsó mondatok, hogy: Tegnap sem támadtak meg, ezért holnap sem fognak- már nem működnek többé. Sajnos egyértelműen megfigyelhető, hogy mindenhol a világon folyamatosan nő a támadások hatékonysága, erőssége és gyakorisága. Jelenleg 2.000 milliárd dollár veszteséget okoz éves szinten sérülékenységek miatti kár. 2022-re viszont várhatóan meg fog háromszorozódni, évi 6.000 milliárd dollárt kell fizetnünk a nem biztonságos rendszereink miatt.
Ráadásul a károkozó botnetek elsődleges célpontja egész Európában éppen Magyarország, ennek oka pedig a híresen gyengén védett online szolgáltatásaink. Számos jól ismert sérülékenysége van rendszereinknek, amit ráadásul nem is javítanak az illetékesek.
Milyen céllal találnak meg minket külföldi botnet-ek?
Alapvetően három fő célja van az ilyen jellegű támadásoknak:
- Pénz: webáruházaknál különösen fontos a banki adatok biztonsága, amihez hozzá lehet férni a user bankszámlájához.
- Adatszerzés: mivel a legtöbb user hasonló vagy ugyanazt a jelszót használja minden alkalmazásban, ezért elég a legsérülékenyebb rendszerből megszerezni a személyes belépési adatokat, amivel már könnyen feltörhetőek a userek által használt további fiókok is.
- Reputáció vesztés: akár a konkurens vállalat megbízásából, azzal a céllal, hogy tönkre menjen a hitelét vesztett cég. Sajnos ez sem ritka manapság.
Mindezek után mit tanácsol, hogyan érdemes nekikezdeni a rendszerek biztonságosabbá tételének egy hazai webáruház tulajdonosnak?
Az az első lépés, hogy be kell építeni a költségekbe éves szinten a rendszeres sérülékenységi vizsgálatot. Még egy jól működő webáruháznak is évente egyszer minimum át kell világítani a rendszereit. Ennél jóval biztonságosabb, ha minden változás, szoftver frissítés után is történik egy biztonsági tesztelés.
A webáruház tulajdonos elvárhatja a fejlesztőtől a Security by design elvét, vagyis azt, hogy már a rendszer tervezésekor illessze be az adatvédelmi szempontokat, amit dokumentál a rendszer üzemeltetőjének is. Mint mindenhol, itt is igaz, hogy sokkal olcsóbb a tervezéskor gondolni a biztonságra, mint utólag bele fejleszteni költségesen a rendszerbe a védelmi funkciókat. Például a rendszerbe nem csak egyszerű azonosító+jelszó párossal lehessen belépni, hanem kérjünk másodlagos megerősítést is, mondjuk egy SMS kód formájában. Így hiába kerül nyilvánosságra usereink belépési adatai, illetéktelen nem tud belépni a fiókba.
Az üzemeltetett rendszereket verziószámokkal együtt pedig érdemes rendszeres dokumentáció keretében összeírni (asset management). Ebből könnyen kiderülnek az ismert sérülékenységek, amit például egy nem friss verzió használata okoz.
Mivel a saját rendszereink hiányosságaiból fakadó adat lopás más rendszereknek is komoly problémát okoz, ezért a sérülékenység vizsgálat és biztonsági lépések megtétele közös felelősségünk!