Tech techline.hu 2010. május. 19. 05:30

Kábítószer helyett IT-bűnözés

Az igazi trendforduló már 2008-ban bekövetkezett.

Az igazi trendforduló már 2008-ban bekövetkezett. A 2009-es Hacker Halted konferencia egyik előadásán elhangzott, hogy 2008 volt az első év a történelem során, amikor a szervezett bűnözés nagyobb jövedelemre tett szert informatikai bűnözésből, mint kábítószer-kereskedelemből.
Felmerül a kérdés, hogyan lehetséges ez, hiszen ma már minden nagyvállalat milliárdokat költött és költ információbiztonsági hardverekre, szoftverekre, megoldásokra és tanácsadókra. Emellett azt is érdemes tudni, hogy 2009 januárjában az egyik népszerű böngészőben talált súlyos biztonsági rés valójában évek óta az első olyan komolyabb sérülékenység, amelyet nem maga a gyártó, hanem külsős biztonsági szakember fedezett fel és hozott nyilvánosságra. Egy évtizeddel ezelőtt szinte naponta új biztonsági réseknek „örülhettünk”, havonta csúfítottak el egy-egy amerikai kormányzati weboldalt. Mostanában évente egy ütős biztonsági rés már nagy eseménynek számít, komoly weboldalt tönkretenni pedig szinte csak belsősként lehet.
Aki manapság olyan oldalt keres az interneten, ahol különböző hackelések eredményeit (képernyőképeit) lehet megtekinteni, csalódással fogja tapasztalni, hogy egyrészt alig van ilyen oldal, másrészt a tartalmuk teljesen elavult, a „legfrissebb” bejegyzések 2001-2002-ből származnak. 2002-ben olyan hirtelen tűnik el minden nyom, mintha elvágták volna. És valóban, bizonyos értelemben el is vágták, mégpedig a szoftvergyártók vágták el a hackerek legfontosabb utánpótlási útvonalait, a remekül kihasználható biztonsági réseket. 

2001-ben a Microsoft és más informatikai gyártók ráébredtek, hogy biztonság nélkül nincs tovább, és eszeveszett tempóban kezdték befoltozni rendszereiket. Az azóta eltelt 8-9 év alatt ezek a fejlesztések értékelhető eredményeket adtak: ma már nem tinédzserjáték a rendszerfeltörés. A weblapcserélgetések ideje elmúlt, biztonsági réseket kihasználó kódot egyre kevesebb „szakember” képes készíteni. A fenti számok mégis azt mutatják, hogy egyre több adat kerül illetéktelen kezekbe. De akkor hogyan?

Ha már minden hardver és szoftver is „kiváló”, a kihasználható biztonsági réseket, kizárásos alapon, biztosan a felhasználók viszik a rendszerbe. A legtöbb adat, paradox módon, pont azoktól a szervezetektől kerül ki, ahol a legtöbb biztonsági megoldást halmozzák fel, vagyis a bankoktól. Persze az is igaz, hogy ők a legveszélyeztetettebbek, hiszen egy pármillió adatot tartalmazó hitelkártya-adatbázis ellopása semmivel sem nehezebb, mint mondjuk egy új autó látványtervének „beszerzése”, az előbbi azonban szinte közvetlenül készpénzre váltható, míg az utóbbi viszonylag szűk körben forgalomképes. 2008-ban összesen 285 millió hitelkártyaadat került ki különböző bankoktól, és az adatok szinte mindegyike gyakorlatilag készpénzre váltható, hiszen minden adat megvan egy funkcionálisan megegyező, csak éppen hófehér bankkártya legyártásához.
Tévedés ne essék, nincs baj a biztonsági megoldásokkal, a rendszer sebezhető pontja ma már nem a gép, hanem a rendszerben tevékenykedő ember. Mégpedig szinte bármelyik ember. A pénztáros, a rendszergazda, az osztályvezető, a programozó, a vezérigazgató – szinte mindegy. Hibázni mindegyikük tud.
Nézzünk néhány példát! Aki ügyes, az nem vásárol pendrive-ot, hanem talál magának egyet! Csakhogy ezek az adattárolók nagyon egyszerűen felszerelhetők kémprogramokkal, billentyűzetlopókkal, távirányító programokkal és egyéb gusztustalanságokkal, amelyeket már csak telepítenie kell a „szerencsés megtalálónak”, és a számítógépe elveszett. Még szerencse, hogy a megtalálók 40 százaléka nem indít el ilyesmit. „Csak” a maradék 60%.

Egy ügyes kis billentyűzetnaplózó program a felhasználó bármilyen adatbevitelét egyszerű e-mailben eljuttatja a világ tetszőleges pontjára. Jelszavak, banki titkos kódok, belépési adatok… Biztos, hogy Ön titkosított weblapba írja be a banki jelszavát? Egészen biztos? Csak azért, mert billentyűzetlopó esetén ez teljesen mindegy, mert már előbb ellopják a hozzáférési adatokat, mint hogy sor kerülne azok titkosítására.

Egy másik esetben úgy sikerült illetékteleneknek bejutniuk egy bank hálózatába az utca túloldaláról, hogy egyszerűen rácsatlakoztak a banki belső hálózatra botor módon gyári alapbeállításokkal rádugott Wi-Fi hozzáférési pontra. No de hogy kerül egy gyakorlatilag teljesen lyukas hozzáférési pont a bank hálózatára? Nyilvánvalóan a bevezetett és sokszorosan ellenőrzött szabályrendszer kihagyásával. Ilyen tipikusan akkor következik be, ha az egyébként szabálykövető rendszergazdát egy felettese erőszakkal ráveszi, hogy sértse meg a szabályokat.
„Szia Pali! Miért nem tudok még mindig a tárgyalóból internetezni? Tíz perc múlva tárgyalásom lesz, addigra csináld meg, vagy keresd meg a munkakönyved!”
Szegény Pali a szerelést választja a munkakönyve helyett, tíz perc múlva kész a net a tárgyalóban – és kész a nyitott kapu a hálózat felé. Probléma letudva, majd elfelejtve.
Szerencsére minél nagyobb egy vállalat, annál kevésbé fordul elő, hogy teljesen képzetlen egyének legyenek felelősek a vállalat legfontosabb kincse, az adatvagyon kezeléséért, védelméért. Sajnos azonban minél kisebb a vállalat, annál jobban lazul a fegyelem, és a sor végén a szomszéd Pistike által üzemeltetett „vállalati rendszer” áll. De kit zavar ez? Ha bedől az egyfős kft informatikája, hát bedől. Nemde?
De. Olyannyira de, hogy magával ránthatja azt a beszállítói láncot, amelyiknek a végén fityeg.

Összefoglalásképpen kijelenthetjük, hogy amíg világ a világ, mindig lesznek olyanok, akik anyagi haszon reményében próbára teszik biztonsági rendszereinket, amelyeket mi mindig meg fogunk védeni. Ez az örök körforgás pedig egyre több biztonsági szakembernek ad munkát. Ezt nevezzük fejlődésnek.
Az informatikai bűnözésről, illetve a védekezésről további érdekes részleteket olvashatnak a techline.hu szakmai támogatásával készült Business IT Plusz 2010 kiadványban, amelyet megvásárolhatnak az újságárusoknál vagy megrendelhetnek itt.

Hirdetés