We watch you watch

Talyigás Judit könyvében található Rácz Bencének a We watch you watch című írása, melyben a jelszavakról, hackerekről és a biztonságos rendszerekről ír. Több helyen is megdöbbentő dolgokról ír Rácz Bence, olyanokról, amit mindenkinek tudnia kéne, de kíváncsi lennék, hogy hányan vannak ezekkel tisztában. Ilyenek például a jelszavakkal kapcsolatos információi.

A JELSZAVAKRÓL:

Veszélyek

Milyen veszélyekkel kell számolnunk, ha akár csak egyetlen rendszert is feltörnek, amihez hozzáférésünk van? Tegyük fel, hogy van egy e-mail címünk, amihez van egy kevésbé bonyolult jelszavunk, mert nem itt folynak a legfontosabb levelezéseink. Az üzleti levelezésünkhöz ennél bonyolultabb jelszót használunk, és boldogok vagyunk, hogy így biztonságban tudhatjuk adatainkat. Ámde eljön az a pillanat, amikor feltörik a kevésbé biztonságos rendszert, és a működtetők mondjuk csak fél év múlva veszik észre, hogy feltörték a rendszert. Ez idő alatt a hacker a weblap belépéseket bonyolító részét olyan szoftverrel látja el, amely eltárolja az összes jelszópróbálkozásunkat. Így hiába változtatjuk a legfontosabb üzleti levelezésünket védő jelszót rendszeresen, ha az egyik rendszert, amelyhez közünk van, feltörik, akkor az azonosítás biztonsága az összes rendszeren kompromittálódhat. Szépen lassan egy hacker kezében összpontosul az összes rendszer összes felhasználójának összes adata.

Jellemző tévhit, hogy ha egy fájl, egy rendszer vagy eszköz jelszóval van védve, akkor az onnantól kezdve bizonyára feltörhetetlen. A jelszó esetében egy olyan karaktersorozatra bízzuk az informatikai rendszerek védelmét, amelyet egy ember képes fejben tartani. A jelszó mellett sok egyebet is alkalmaznunk kell, ha valóban meg szeretnénk védeni adatainkat.

Rossz jelszavak

Egy biztonsági incidens során 33ezer jelszó került a biztonsági szakemberek és a hackerek kezébe. A legtöbbet használt jelszavak a magyar keresztnevek, becenevek, főnevek, vagy a loginnév módosított verziói, vagy éppen a variáció hiánya voltak.

A kérdés, hogy hogyan kerülhetjük el a rossz jelszót. A következőket érdemes betartani:

Ne legyen köze a felhasználó valódi nevéhez, semmilyen tulajdonnévhez, baráthoz, rokonhoz, a billentyűzet bármilyen egymás mellett található karaktereinek sorozatához, születési dátumhoz, vagy ezek bármilyen eltorzított verziójához. Rossz jelszavak pl. az egyszerű számokkal kiegészített jelszavak (anyu1), az egyszerű számokkal behelyettesített betűket tartalmazó jelszavak (b0r1ska), az ismétlődő szavak (macimaci) is.

Kedves Internethasználók! Nézzen magába mindenki (én is ezt teszem)! Valószínűleg mindannyiunknak vannak hasonló jelszavai. Nyilván könnyebb megjegyezni a családtagjaim, barátaim neveit, adatait, mint valami nagyon hosszú, és bonyolult jelszót. Meg amúgy is, kit érdekelnének az én adataim, leveleim… Na de azért mégis… ne olvassa akárki a leveleimet! Mit tehetünk? Milyen akkor a jó jelszó?

A jó jelszó

A jó jelszó legalább nyolc (de inkább 12-14) karakter, tartalmaz számot, kisbetűt, nagybetűt, speciális karaktert. A jelszóban legyen egy darab egymás után ismétlődő karakter. (Ezt ugyanis nem biztos hogy észreveszi a mögöttünk settenkedő „jóakaró”, miközben gépeljük a jelszavunkat. Probléma, hogy ezt a jelszót szinte lehetetlen megjegyezni, ezért a felhasználó jó eséllyel le fogja írni. Azonban 4-5 ilyen karaktersorozat memorizálásával és kismértékű variációjával sok évig aránylag biztonságos jelszóval lehet védeni adatainkat.

Felmerülhet a kérdés, hogy valóban megéri-e belegyömöszölni a hosszú, és bonyolult jelszavakat a fejünkbe. Tényleg tovább tart így feltörni a jelszavunkat? A válasz: igen!

Brute force-nak, azaz „nyers erő”-t alkalmazó támadási módszernek nevezzük azt, amikor a támadó a jelszó összes karakterét egyesével végigpróbálgatja, A-tól Z-ig és 0-tól 9-ig stb. Azért rendkívül fontos, hogy 7-8 karakterből álljon a jelszó, és hogy többféle karaktertáblát használjon, mert egy hozzáadott karakterrel a feltörésre szánt számítási kapacitás és a szükséges időmennyiség nem lineárisan, hanem exponenciálisan nő.

Olyan helyzetekkel is találkozhatunk, amikor több tényező ismerete szükséges egy rendszerbe való belépéshez. Ezt nevezzük többfaktoros azonosításnak. Ezek olyan azonosítási módszerek, amelyek több tényezőt vesznek figyelembe az azonosítás kivitelezésekor. Ilyenek a tudás alapú, birtoklás alapú és biometrikus alapú hitelesítési módszerek. Pl. egy banki szolgáltatás igénybevételekor a loginnév és jelszó páros helyes megadása után (tudás a partner mobiltelefonjának száma) a felhasználó a mobiltelefonjára kapott hitelesítő jelszóval (birtoklás) két különböző információs csatornán történő hitelesítéssel bizonyítja a rendszerekhez való hozzáférés jogosultságát.

Létezik ezen kívül kulcsos vagy elektronikus aláírás. A kulcsos azonosítás azt jelenti, hogy az azonosításhoz több véletlenszerű karaktersorozatot használunk, amelynek hosszúsága a 2 valamelyik hatványa (általában 128 és 2048 karakter között).

A HACKEREKRŐL:

Ki a hacker?

Az akciófilmekben leggyakrabban úgy láthatjuk őket, mint egy bűnbanda által felbérelt extrém intelligenciájú egyént, aki pillanatok alatt feltöri akár az USA legbiztonságosabb rendszerét is, mindezt úgy, hogy maximum 2 percig nyomkodja a billentyűzetet. Valóban ilyenek a hackerek? „Számlálgatja Mehemed, hányfélék a hackerek….” Fehér, fekete, tarka? Majdnem!

A szakmai közösségek terminológiája

A szakmai közösségek azokat a rendkívüli technikai tudású informatikai szakembereket nevezi hackernek, akik az informatikai rendszerek működését az általános rendszergazdai és szoftverfejlesztői szint felett ismerik, és az informatika bizonyos ágait rendkívül magas szinten művelik. Olyan szakemberek ők, akik az informatikai biztonsági rendszerek megkerülésére specializálták tudásukat. A hackereken belül megkülönböztethető:

Blackhat: számítógépek illegális feltörése, információlopás, üzleti hírszerzés
Whitehat: biztonságtechnikai fejlesztés, hibák javítása
Greyhat: erkölcsileg egyik irányban sem elkötelezett
Cracker: szoftverek illegális módon történő technikai használhatóvá tétele, feltörése
Script kid: rosszindulatú, csekély technikai tudású kezdő hacker vagy informatikai szakember. Célja haszonszerzés, szórakozás vagy akár oktalan károkozás.

Érdemes megnézni a különböző hacker szubkultúrák jellemzőit egy összefoglaló táblázatban is.

Érdekes, és külön fórumot érne meg a crackerek helyzetének elemzése. Elgondolkozhatunk, hogy az átlagember informatikai tudása és eszköztára hol tartana nélkülük. Az nyilvánvaló, hogy tevékenységük jogilag nem megfelelő, mert mások szellemi munkáját törik fel, és teszik közkinccsé. Viszont az is tény, hogy mondjuk egy Word vagy Photoshop magyar pénztárcához képest horribilis áron szerezhető be a boltokban, és lehet, hogy az emberek többsége inkább lemondana a program előnyeiről, mintsem hogy megvegye azt. Most erről ennyit, nézzük a következő terminológiát!

A média terminológiája

Amikor a média a hacker szót használja, akkor többnyire azt a script kid definíció szerint teszi. Ez a típus az, aki önös érdekből mások informatikai rendszereit feltöri.

A céges hacker

Nagyobb vállalatok és szervezetek által felbérelt hackerek, valamint biztonsági auditorok csoportja. A hackereknek nevezett csoportok tagjainak többsége a karrierjét egy idő után nagy cégek alkalmazottjaként folytatja.

A hacker motivációja és társadalmi beágyazódása

Miért hackel a hacker? „Why? Because we can!” („Miért? Mert megtehetjük!”) A hackerek többsége szélsőségesen magas intelligenciájú és extrém technikai tudású, de csendes, visszahúzódó személyiség. Általában a többség számára kihívást nem jelentő kommunikációs problémákkal küzdenek. A szociális kapcsolatok terén elszigetelődő jellegű személyiségükből fakadóan a világtól elszigetelve, gyakran virtuális valóságukban élik életüket, és alakítják személyes kapcsolataikat is. A hacker többnyire autodidakta módon szerzi meg tudását, és a hozzá hasonló adottságú személyekkel keresi a többnyire csak kevés valós életbeli fizikai kontaktussal járó kapcsolatot. A 14-19 éves korban járó fiatalemberek többsége rendkívüli képességeit és saját maga által megszerzett extrém technikai tudást – jobb időtöltés híján – ebben az időszakban oly módon használja fel lázadása megélésére, hogy azzal visszaél: hackel.

Talán ők is a gyakran emlegetett „meg nem értett zsenik” kategóriájába tartoznak? Dr. Ceizel Endrének hallgattam nemrég egy előadását, amelyben arról beszélt, hogy míg az átlag alatti intelligenciájúakkal sokat foglalkozunk, külön felsőoktatási intézmény van a velük foglalkozók képzésére, addig az átlagon felüli értelmi képességekkel rendelkezőkkel nagyon keveset foglalkozunk, nem fejlesztjük eléggé a tehetségeinket. Vajon, ha valaki idejében felfedezné, felkarolná a script kidnek nevezett csoport tehetséges tagjait, akkor lehetséges lenne-e, hogy jó célra hasznosítsák tudásukat?

A VILÁG VESZÉLYEI

MI MILYEN VESZÉLYEKKEL TALÁLKOZHATUNK A MINDENNAPOKBAN?

WIFI

Érdekes problémákat vet fel a vezeték nélküli internet levédése és titkosítása. Könnyen megtalálhatók azok, akik jelszó nélkül osztják meg a világgal az internetet. Ezekre rácsatlakozva a hacker gyakorlatilag az előfizető nevében tevékenykedhet az interneten. Egy céges WIFI levédéséhez többcsatornás azonosítási módszert kell alkalmazni.

Instant Messaging

Olyan chat felületek, amelyek azonnali üzenetváltási lehetőséget biztosítanak. Ezek közül egyedül a Skype az, amelyik valódi titkosítási lehetőséget biztosít felhasználói számára. Ha a támadó félnek nincs és semmilyen módon nem is volt hozzáférése ahhoz a számítógéphez, amelyiken a beszélgetés történik, akkor az üzenetváltások nehezen támadhatók. Viszont, ha nem kapcsoljuk ki a Skype üzenetváltások szöveges mentésének funkcióját, akkor a szöveges részek áldozatul eshetnek a potenciális támadónak. A többi chat megoldás alapból nem titkosított, így ha titkosítással nem védett vezeték nélküli interneten csatlakozik ezekhez a felületekhez, akkor az itt közbetített információi, ezen kívül jelszavai, korábban folytatott beszélgetései is közkinccsé válhatnak.

Közösségi portálok

Több ilyen oldalról összeollózott információval és egyéb kutatási módszerekkel együtt szinte bárkiről bármilyen információt ki lehet deríteni. Mindezt úgy, hogy ezen információk jelentős részét az érintett önszántából osztja meg. A közösségi portálok használói megfeledkeznek az alábbi két szempontról: egyrészt a megosztott információt esetleg nemcsak a közösség tagjai láthatják, másrészt a portálokon megosztott és egyéb helyen elérhető információk együttesen már nem csak az illető személyes adatait, barátait és kapcsolati körével kapcsolatos egyéb információkat hordozzák magukban, hanem teljes gondolkodásmódját, személyiségprofilját is. Ezeket az információkat összeollózva a felkészült megfigyelő messzemenő következtetéseket vonhat le az illető szokásrendszerével és viselkedési mintáival kapcsolatban.

Ennek lehet pozitív és negatív hatása is. Mert az is előfordulhat, hogy egy jövőbeli munkáltató pont a közösségi portálon megszerkesztett profil alapján találja szimpatikusnak a munkára jelentkezőt, esetleg kiderül, hogy a főnökkel azonos hobbija van, és így megkapja a munkát. De elég thrillert és drámát láthattunk már ahhoz, hogy tudjuk, szokásrendszerünk megismerésével vissza is élhetnek.

SZERVEZETT BŰNÖZÉS

A szervezett bűnözés és a hackerek kapcsolata

Főként az orosz és a kínai Blackhat-csoportok között találhatók olyanok is, amelyek tagjai elfogadják a szervezett bűnözés által felajánlott busás összegeket, és így bizonyos speciális támadásokat hajtanak végre nagyobb cégek és szervezetek, vagy akár egész országok ellen.

Elsősorban az orosz szervezett bűnözés módszere, hogy összefognak a velük együttműködő hackerekkel, majd a bűnözői csoport egy képviselője kapcsolatba lép a kiszemelt áldozattal, és védelmi pénzt követel.

Oroszok és észtek

2007 májusában Észtország ellen hajtottak végre az oroszok egy akciót. 2007. április 27-én az észt kormány úgy döntött, hogy a Bronzkatonának nevezett szovjet háborús emlékművet elköltözteti Tallinn központjából. Az orosz hackerek ezért először az észt külügyminiszter pártjának honlapját alakították át, majd csaknem az összes minisztérium és Észtország jelentősebb és kevésbé jelentős gazdasági szervezetei is áldozatul estek támadásaiknak.

Ez az eset felhívta a figyelmet arra, hogy a DDoS (Distributed Denial of Service) a nemzetközi politika eszközévé is válhat, alkalmas az ellenfél megfélemlítésére, elhallgattatására, infrastruktúrájának potenciális kontroll alatt tartására, és a külvilággal való kapcsolattartás megakadályozására – és ezek által rendkívül értékes fegyver lehet egy háború korai szakaszában.

Kiberhadviselés

A legjelentősebb hatást egy DDoS támadás során azzal érik el, hogy az eredmény az, hogy valós felhasználói kérésektől megkülönböztethetetlen, legitimnek tűnő kérésekkel árasztja el az áldozat portálját, leterhelve ezzel annak számítási kapacitását, szélsőséges esetben annak sávszélességét is.

Ez olyan, mintha egyetemi létünk meghatározó rendszere, az ETR (Egységes Tanulmányi Rendszer), egyszer csak nem lenne elérhető, nem tudnánk belépni, mert mindig azt írná ki a rendszer, hogy túl van terhelve, próbáljuk meg később. Ilyen jelenleg tantárgyfelvételnél fordul elő, de viszonylag hamar orvoslódik. Ha valaki az ETR-t szemelné ki áldozatul, akkor valós felhasználói kérésekkel álcázva blokkolná a rendszert.

A BIZTONSÁGOS RENDSZER

Biztonságosnak azt a rendszert tekinthetjük, amelynek biztonsága megkerülése vagy kiiktatása nagyobb erőforrás-mennyiséget igényel, mint az általa védett dolog értéke. Feltörhetetlen rendszer nem létezik, pusztán olyan rendszer, amelyet feltörni drágább, mint amekkora a feltöréssel megszerezhető érték.

Szomorú ezt hallani, de nyilván így van. Valakinek megéri feltörni a rendszereket, és ha valaki képes rá, akkor a cégeknek megéri újabb és újabb védelmi rendszereket készíteni. Aztán valaki azt is feltöri majd. Ördögi kör…

Az informatikában az alapvető problémák az infrastruktúrában, illetve annak szintjeiben rejlenek. Mindig lesz egy adott szint, amelyen a rendszer működik, például a szoftver fut rajta, és egy „alacsonyabb” szint, pl. az adathordozó, amely a rendszert tárolja, és amelyet valaki meg tud támadni, és ezért az összes feljebb lévő szinthez hozzáférést szerez.

Ezért a feladat az, hogy olyan, elég biztonságos rendszert kell kialakítani mindig az általa védett értéktől függően, amelyről legalább azt biztosan és időben meg tudjuk állapítani, hogy illetéktelen behatolás történt.

Végül egy táblázat, amellyel mindenki elemezheti az információbiztonsággal kapcsolatos gondolkodásmódját és egyéni szokásait.

Írta: Fodor Anna

Forrás: Rácz Bence (2010): We watch you watch In: Az internet a kockázatok és mellékhatások tekintetében szerk. Talyigás Judit, Scolar Kiadó. 67-92. o.

Információtudomány és média a 21. század elején