Egy hacker rossz ember. Mindenki így gondolja. De így is van? Nem lehet, hogy ugyanolyan emberek, mint bárki más? Nem lehet, hogy igazából nem is ők tehetnek róla, hogy ilyen „munkát” kell elvállalniuk? A cikk ezekre a kérdésekre igyekezett választ találni.
Etikus hacking
Az etikus hacking a jó hackelés, ami nem okoz kárt, hanem jó célokra használják fel. Szakmailag lehet ugyanolyan, mint a „rossz” hackelés, a lényeges különbség abban van, hogy hogyan használják fel, amit „alkottak”. Az etikus hackerek (penetration testerek) munkájuk eredményét nem saját maguk számára, önös érdekből hozzák létre, hanem egy megrendelő számára, így igyekeznek teljes alkotásokat létrehozni. A hackereket viszont nem érdekli se a teljesség, se a megosztás. Amiben megegyeznek, az pedig az, hogy felfedezzék egy rendszer hibáit, sérülékenységét, majd erre felhívják mások figyelmét is. A biztonsági szakemberek a hackerek ellen küzdenek, ez a cikk pedig bemutatja 4 különböző hacker titkait, véleményét.
Miért?
Miért akar valaki betörni egy informatikai rendszerbe, hiszen, ha egy átlagember meglát egy nyitott hátsó ajtót, nem érez késztetést, hogy belépjen? Egy hacker viszont igen. Sőt, ő úgy érzi, ha nyitva van, akkor annak oka van, méghozzá, hogy akárki benézhessen, vagy akár bemehessen.
Következmények nélkül
A magyarországi hackereknek jó dolguk van, hiszen már a hackelésnek nincsenek következményei. Az egyik hacker (legyen H1) példát is mondott a mai állapotra: "Amikor egyik haveromat végtelenített telefonkártyával elkapták komolyan megijedt. De aztán az ügyét kezelő emberekről hamarosan kiderült, hogy semmivel sem etikusabbak, mint Ő maga, amikor a tőle elvett kártyát eladták másoknak." Ha bele gondolunk, valóban nem hallunk semmilyen feljelentésről, bűnesetről, se megtorlásról, ami a hackereket érné. Azért mert nincs is. Miért tér mégis „jó útra” egy hacker? H1 erre is megmondja a választ: "a telefonkártyás haverom sem azért vonult vissza a hackerkedéstől, mert félt a konzekvenciáktól, hanem mert elég pénzt szedett össze vele ahhoz, hogy megnyugodjon". Ennek a következmények nélküliségnek az is az oka, hogy a vállalatok nem szeretik kiteregetni a „szennyest”, nem szeretik szétkürtölni a gyengeségüket. H1 szerint, ha nem tudnák letagadni a balhékat, akkor kiderülnének a valódi problémák, és így akár valódi megoldások is létrejöhetnének.
Tudatosság
H4 tudja ugyan, hogy kárt okoz a cégnek, de nem érdekli: "Nem érdekel, hogy egy hacking nyomán kinek, mennyit kell dolgoznia. Törődtek volna többet a biztonsággal, akkor nem lenne erre szükség."
A hackerek sokszor azért teszik azt, amit tesznek, hogy megmutassák, mennyire sérülékeny is a rendszer. H3 szerint: "Ha látom, hogy a behatolásvédőn alapértelmezett beállítások vannak, akkor két dolgot tudok: pénz van, szaktudás nincs", ez idegesíti a hackert, és szeretne rajta változtatni. H2 se méltányolja a dolgot: "Megcsinálják pár forintból a rendszert, és drágán eladják, miközben a valódi szakmai tudást nem fizetik meg a cégek. A hacker sok esetben csak rá akar világítani a problémára."
Elutasítás
Ha a hackerek bármelyik céghez közeledhetnének, nem számíthatnak másra, csupán elutasításra, fenyegetésekre, 1-2 millió forintos megbízatásokra. H3 tudja ennek az okát: "Miért van az, hogy a cégek jogosultsági mátrix készítésére 100 milliót költenek, betörési tesztekre pedig 2 milliót? Mert nem értik, hogy valójában miről szól ez az egész, és mert lehet, hogy nem is tudnak a saját sérülékenységeikről"
Papírhackerek és hozzá nem értő emberek
Papírhackereknek nevezik a valódi hackerek azokat az embereket, akik úgy tesznek, mintha a valódi hackerekkel megegyező tudásuk lenne, hogy értenek a biztonsághoz, és erről természetesen papírjuk is van. H4 azt mondta, hogy a hackerek olyan rendszerekbe törnek be, ahol az üzemeltetők nem értenek a dolgukhoz. H1 még hozzáteszi: az ilyen rendszerek mindig törhetőek, még akkor is, ha van időnként penetration testing".
Deface
A deface a weboldalak megváltoztatását jelenti, H2 szerint pedig nem nehéz megváltoztatni egy oldal tartalmát. Nem becsüli le a módszert, hiszen ismeri a politikai és a figyelemfelhívó lehetőségeit, de úgy gondolja, csak akkor van értelme a daface-nek, ha mélyebb szakmai problémákra mutat rá. H2 mesélt egyik társáról, aki bármelyik weboldalt képes volt megváltoztatni. Leghatásosabb tette az volt, amikor egy weboldalra kitett egy form-ot, amibe ha valaki beírt valamit, akkor azt a webszerver adminisztrátori jogokkal lefutatta, és ehhez instrukciókat is csatolt. Így nem a hackert, hanem a látogatót büntették. Ez a módszer ironikus, a hackerek látásmódját tükrözi.
Hova egyszerű betörni?
A hacekerek szeretnek olyan helyekre betörni, ahol nagyon sok védelem kéne, de nagyon kevés van. Ilyenek a kórházak is, ahol az informatikai biztonság van az első helyen – hátulról számolva. A hackerek történeteikkel, tapasztalataikkal egyértelműen bebizonyították, hogy egy kórházban a betegadatokhoz hozzáférni pofon egyszerű, elég hozzá, egy alapszintű hackertudás.
Ipari kémkedés
Az ipari kémkedés Magyarországra való beszivárgásáról különböztek a hackerek véleménye. Valaki szerint ez még csak kezdetleges itt nálunk, de pl. H3 azt mondta, hogy napi szinten előfordul, főleg egy belső ember lefizetésével. "Egy kisebb elektronika alkatrészeket gyártó magyar cég munkatársát például jövedelmező amerikai állás várta, a hazai vállalat összes szakmai adatát tartalmazó CD-vel együtt." – mondta. Ez még nem minden, ezután még egy olyan hihetetlen kijelentés következett, amiben mindannyian egyetértettek: "Ma a CIO-k is viszik az adatokat, amikor egyik cégtől a másikhoz mennek dolgozni."
"Egy ismert üdítőipari vállalatot figyelmeztette a másik, szintén nagy üdítőipari cég, hogy egy bizonyos kollégájuk értékes adatokat akar nekik értékesíteni." – meséli H1. A kivizsgálások során egy trójai program segítségével kiderítették, hogy az említett személy és a figyelmeztető cég nem akkor kerültek először kapcsolatba, sőt az adatlopás is már rég megtörtént. A figyelmeztető cég is csak megpróbálta elrejteni saját bűnét.
Hétköznapi emberek
A 4 hacker biztosított arról, hogy a legtöbb hacker átlagos életet él, átlagos dolgozóként. H1 ismer egy neves bankban dolgozó főtanácsadót, aki mellesleg aktív hacker is. De sok olyan rendszergazda van, akit nem becsülnek meg eléggé, elhanyagolják, ezért ő is hackerkedik. Sőt, egy bizalmi pozícióban lévő biztonsági tanácsadó cég egy munkatársa is távozott egy konkurens biztonsági céghez, az első cég összes adatával együtt.
Alulértékeltek
A hackerek szerint a biztonságért felelős szakemberek munkáját minden szempontból alulértékelik. Biztonságban érzik magukat a cégek, úgy érzik, az álvédelem és a papírpajzs meg tudja védeni őket, azonban ez eléggé kétséges. H4 elmesélte, hogy volt egy legális hacking munkája, ahol azt kérték tőle, hogy ne ő, hanem egy CISA végzettségű kollégája írja alá a riportot. Úgy gondolták, így műszakilag is megalapozott lesz a jelentés.
Hol próbálhatóak ki a tanultak?
A hackerek számára a legfontosabb a szakmaiság, hogy profik legyenek saját szakmájukban, legfőbb ismertetőjelük pedig az IT-re specializáltság. H2 feltesz, majd megválaszol egy fontos kérdést: "Hol lehet kipróbálni az új dolgokat, amiket tanulunk? Éles rendszereken, működő infrastruktúrákon. Máshol csak laborkísérlet lenne." H1 hozzáteszi: „persze az egyszerű szkennerképzőben tanultakat bárhol ki lehet próbálni, viszont a bonyolultabb hack-ekhez komplex, élő környezet kell."
A már létező biztonsági elemek hatásfoka
H3 így vélekedik a mai vírusirtókról: "A mai vírusirtók ritkán találnak komoly dolgokat. Egyedi vírussal szemben általában tehetetlenek." A profi hackereken nem fognak ki a hagyományos biztonsági eszközök. Támadni sokkal könnyebb, mint védekezni. H4 a hackelés határairól is beszélt: Vannak olyan rendszerek, amiket nem nehéz feltörni, ha van elég befektetett anyagi és szellemi tőke. De van, hogy nem éri meg annyit belefektetni, amennyit az a munka igényelne.
Nagy meglepetéseket okozott ez a cikk, hiszen kiderült a hackerek motivációja, gondolkodásmódja, sőt azt is megtudhattuk, hogy a hackerek is velünk dolgozó emberek, akik nincsenek elszigetelődve, mint páran azt gondolhatják. Talán ha többet foglalkoznánk velük, jobban megbecsülnénk őket, akár ők építhetnék föl a biztonsági rendszereiket is.
Forrás: PcWorld (http://nonstopuzlet.hu/betekinto-a-valodi-hekkerek-mindennapjaiba-20100429.html)
Kapcsolódó linkek:
http://gnuwin.epfl.ch/articles/hu/esr3hackerhowto/hacker-howto.html
http://index.hu/tech/biztonsag/2010/05/01/az_etikus_hacker_atmegy_a_falon/
http://dudikoph.hu/kialtvany.php
http://hvg.hu/Tudomany/20100325_twitter_hacker_kaloz
