Netidők Blogtársaság

Jó hírnek tűnik az IBM X-Force munkacsoportjának jelentése, amely szerint az elmúlt évben „csökkent az alkalmazások és kódok biztonsági réseit kihasználó sikeres támadások és a kéretlen levélüzenetek száma. A hackereknek újra kell gondolniuk taktikájukat, érdemes lesz szűkebb informatikai kiskapuk vagy más, feltörekvő technológiák felé fordulniuk.” Keleti Arthurral, a Netidők biztonsági őrével arról beszélgettünk, hogy ez komolyan vehető hír vagy van benne túlzás?

Keleti Arthur: A hackerek elleni védekezés mindig nagyon problémás téma. Főleg azért, mert nagyrészt nem tudjuk, hogy ezek kicsodák meg honnan jönnek és állandóan csak úgy lecsapnak, sőt most már a kormányok is finanszírozzák a működésüket. Ebből az következik, hogy a védelem posztján dolgozó kollégákat időnként egy kicsit meg kell dicsérni. Itt is ez történt.



Valóban látható némi növekedés a védelem hatásfokában. Ez onnan érezhető, hogy a nagyobb gyártók egyre kevesebb javítást adnak ki az alkalmazásaikhoz és ez nem azért van, mert lusták, hanem azért, mert egyre kevesebbet kell kiadni hozzá. Ez mindenképpen pozitív. Ezen kívül a legnagyobb blődségeket már elég hamar észreveszik és kijavítják. Ez igaz a nagyobb szoftvergyártókra, de az egyedi alkalmazásfejlesztők természetesen most is ugyanazokat a hibákat elkövetik, mint azelőtt. Úgyhogy ebben olyan nagy fejlődés nem állt elő.

Fontos a jelentésben, hogy nagyon oda kell figyelni a mobileszközök sérülékenységeire. Éppen a riportot készítő X-Force csapat – amely már a kilencvenes évek közepétől foglalkozik a sérülékenységeknek a felderítésével –, ők jelentették, hogy felfedeztek egy olyan alkalmazást, ami százezer mobileszközből álló botnet volt. Tehát most már olyat is tudnak csinálni, hogy a mobileszközöket használják ugródeszkának, vagy valamilyen támadás végrehajtásához segítségnek a hackerek. Ez a következő probléma, amit meg kell majd oldani.

Ami a szakembereket illeti, ők nagyon örülhetnek, mert az ún. SQL Injection nagyon feltörekvőben volt az elmúlt években. Ez azt jelenti, hogy az adatbázis oldalát támadták meg a weboldalaknak. Most már úgy néz ki, hogy itt azért igyekeznek tenni valamit a fejlesztők és ennek a hatása érezhető. Most egy másik típusú támadással próbálkoznak a hackerek: ez a „shell command injection” típusú támadások, ami azt jelenti, hogy közvetlenül a szervernek próbálnak parancsokat adni és nem az adatbázisnak. Úgyhogy én azt gondolom, hogy itt komoly fejlődés jelei láthatóak, de azét vannak érdekességek is.

Ebben a kutatásban megjelenik egy olyan grafikon, amiben különböző körökkel ábrázolják a tavalyi évben (2011-ben) történt betöréseket, azoknak a hatását, illetve azt, hogy mennyit tudunk róluk. És ez nagyon érdekes trend. Magyarországon erről régóta beszélünk és tudjátok, hogy nekem az egyik vesszőparipám, hogy egyáltalán nem jelentik be az incidenseket, mert nincs rá se törvény, meg nem is foglalkoznak vele.

Bódi Zoltán: Mármint nálunk Magyarországon…

Keleti Arthur: Magyarországon, igen. Nyugat-Európában, meg Amerikában már az a jellemző, hogy bejelentik, de hogy pontosan hogy írják le, mi történt, az a szakembereknek nagyon fontos. És itt láthatóan egy trehányság indult el a cégek körében, akik ugyan bejelentgetik a történéseket, pláne ha törvényi kötelezettségük van erre, viszont nem nagyon mondják meg, hogy hogyan történt az eset. És ez probléma. Fontos lenne nekünk biztonsági szakembereknek elsősorban, mert ebből rengeteget lehet tanulni, úgyhogy erre is felhívja a figyelmet ez a kutatás.

Már sok éve tudjuk, hogy az informatikai rendszerek leggyengébb láncszeme maga az ember, vagyis a felhasználó. Csak hát itt nem lehet hazaküldeni a gyengén szereplő játékost, mint egy tévés vetélkedőből – hanem a rendszerre továbbra is fenyegetést jelent az emberi jelenlét. A Netidők „biztonsági őre” kéjes örömmel figyeli azokat a melléfogásokat és elbaltázásokat, amelyekből lehet tanulni. Szemezgetés következik az elmúlt évek biztonsági történeteiből Keleti Arthurtól.

Mi a szakmában mindig abban reménykedünk, hogy egyszer majd találunk egy olyan informatikai rendszert, amiben nincsenek felhasználók. Mert ugye onnantól kezdve a dolog egészen jól működik.

Nagyon sok vezető rendkívül büszke arra, hogy ő milyen ügyes és mennyire jól tud titkot tartani. Egyszer komoly önuralomra volt szükségem, amikor tárgyaltam egy informatikai vezetővel, ugyanis végig nem volt hajlandó elárulni, hogy miképpen néz ki az informatikai hálózata. Ez egy nagyon vicces beszélgetés általában a biztonsági szakember és az informatikus között, mert ugye én nem azért vagyok ott, hogy a titkait kilessem, hanem azért, mert segíteni akarok, de ő rajtam akarja demonstrálni, hogy ő mennyire biztonságtudatos. Mindenre kitérő válaszokat adott, amikor megkérdeztem, hogy:

- X technológia?
- Nem!
- Y technológia?
- Nem!
- Akkor Z technológia?
- Nem! Egyik sem.
Mondom: „Akkor melyik, hát csak ez a három technológia van!” Tehát egyszerűen nem sikerült sehogy sem közelebb jutni a valósághoz.
Na most azért volt komoly önuralomra szükségem, mert miközben erről beszélgettünk, a vezető háta mögött a teljes informatikai rendszer rajza ott volt a falon! Az ábrán pedig az összes információ, amit nem akart elárulni…

***
Aztán volt egy nagyon kellemetlen eset, amikor az egyik cég azt kérte, hogy nézegessék már meg neki a biztonsági szakemberek, hogy mégis mi az a nagyon nagy mennyiségű letöltött információ, amit a kollégák letöltenek? Ráadásul mindez egy közintézményben volt. Elkészült a jelentés és hát… ööö… ránéztem erre a jelentésre és azt mondtam, hogy ebben nem vagyok biztos, hogy ezt így tényleg el kell mondanom. De hát muszáj volt, nagyon tipródva odaadtuk a megfelelő vezetőnek, aki először elfehéredett, majd elzöldült, majd megkérdezte, hogy „Teljesen biztos, hogy a legtöbbet letöltött alkalmazás a JATEK-A-CICIKKEL.EXE fájl?”

***

Volt egy olyan történet is, hogy egy tesztet kellett végrehajtani egy szervezetnél és meg kellett vizsgálni, hogy az információk mennyire szivárognak. Ennek vannak fokozatai. Ha az ember adatszivárgást vizsgál, akkor – gondolom, úgy, mint a vízszerelésnél is, hogy egyszerre nem teszi rá az egész nyomást a vízre, először csak kicsit, aztán nagyobbat és meg fogja nézni, hogy hol fog szivárogni. Na most itt is ez történt, először történt egy vizsgálat, melynek keretében egy hagyományos levelet küldtek ki a kollégáknak, melyben konkrétan az szerepelt, hogy „Ez a levél szigorúan titkos információkat tartalmaz. Ne küldd ki!” Egy kétezer fős szervezetben húsz embernek sikerült kiküldenie ezt a levelet, mégpedig azonnal! Ezek közül az egyik egyébként egy informatikus volt, aki ráadásul nem is kifejezetten alsó beosztásban dolgozott.

***
Az egyik teszt során egy hacker kolléga észrevette, hogy az adott alkalmazás, ami egyébként egy VoIP dobozban futott, sérülékeny. Ha ugyanis a felhasználónevet az ember feltöltötte több mint 2000 karakterrel, akkor az egy olyan sérülékenységhez vezetett, amellyel root, adminisztrátori jogokhoz lehtett jutni pillanatok alatt. Úgyhogy ezzel a feldezéssel fel
is hívta a gyártó által üzemeltetett ügyfélszolgálatot, ahol egy kedves indiai kolléga fogadta a hívást. A tesztelő hacker akkor már érezte, hogy ez komoly harc lesz. Ilyenkor mindig érzi az ember, hogy körülbelül hány szinttel jár a helyi ranglétra gyémánt szintje alatt, ahol el kell kezdeni a küzdelmet, hogy megértsék az embert. És hát neki is kezdett, majd 10 perc után kénytelen volt letenni a telefont, amikor a helpdeskes kolléga nem értette, hogy mi ezzel a probléma, ez nem is hiba. Mert "ki az a hülye, aki kétezer karakter hosszú usernevet ad meg??"

Úgy tűnik, hogy valami igen gonosz dolog történt, bár szerencsére nem Magyarországon. Ez persze nem vigasztalja az Atlanta közelében található Gwinnett Medical Center kórház munkatársait és pácienseit, mert a hír szerint egy nem valami jószándékú malware program túlterhelte a kórház számítógépes rendszerét. Biztonsági szakértőnk, Keleti Arthur mesélt az esetről a műsorban.

Nagyistók Tibor: Történt-e valami a betegekkel?

Keleti Arthur: Gyógyulgattak. Bár annyi mégis történt a betegekkel, hogy akiknek nem sürgősségi ellátásra volt szükségük, azokat a kórház kénytelen volt máshova irányítani. Tehát effektíve nem tudott úgy működni a kórház, ahogy kellett volna. A komputervírus megfertőzte a számítógépeket a kórházban, majd az informatikai rendszer tulajdonképpen leállt, mivel túlterhelte a rendszert a vírus által okozott nagymennyiségű adat. Volt egy ehhez hasonló eset egyébként körülbelül két hónappal ezelőtt: akkor Új-Zélandon egy mentőhálózatot üzemeltető szervezetet támadott meg egy vírus…

Nagyistók Tibor: Szándékosan idézik elő ezt a támadást?

Keleti Arthur: Nagy valószínűséggel ez nem hackerek műve, ugyanis ha az lett volna, akkor sokkal nagyobb kárt okoznak. Valószínűleg egy „kósza vírus” volt – furcsa, hogy pont egy kósza vírusról beszélünk egy kórházban, de hát a számítógépekkel nem foglalkoznak annyian, mint ahányan a betegekkel. Ez az esetből is tisztán látszik. És az látszik egy kimutatásban, amit az USA-ban végeztek pár héttel ezelőtt, hogy két éven belül minden egészségügyi intézmény tapasztalt informatikai biztonsági problémát… Azért itt én felvonnám a szemöldökömet. Ugyebár ma az átlagos vállalatok és intézmények tekintetében is igen jellemző az, hogy meg vannak győződve, hogy ha az irodai rendszerek relatíve jól működnek (most ebben az esetben azok se működtek jól!), akkor „biztos nem lesz baj az ipari rendszerrel!”, vagy ahogy szépen magyarul mondjuk, a core business-szel (a fő tevékenységgel) – márpedig azzal is gond lehet! Itt is lehet ezzel gond. Tehát amikor egy komputervírus bekerül egy kórházi informatikai rendszerbe, olyankor két dologtól félek. Az egyik az, hogy elvesznek adatok, vagy egészségügyi adatok kiszivárognak, amire nagyon sok példa volt. A másik pedig, hogy ezekben a modern kórházi eszközökben már informatikai elemek működnek. Ahogy most már otthon a kenyérpirítónkban is számítógép működik lassan, így már ezekben az eszközökben is, elég régóta. És hiába jóminőségű gyártmányok ezek, hiába tesztelik az eszközöket, a biztonsági problémákra, sérülékenységekre azért gyakran érzékenyek. Tehát én jobban félek attól, hogy megáll egy művese-eszköz, rosszul működik az anesztéziának valamilyen gépe, kialszik a lámpa a műtőben, mert elektronika irányítja, és nem úgy működik, ahogy az kellene. Tehát ez egy komoly veszély. Magyarországot én abból a szempontból féltem, mert a kórházi informatikán az egészségügyben soha nem volt igazán nagy hangsúly.
Egy évvel ezelőtt készítettem interjút hackerekkel: órákon keresztül beszéltek arról, hogy hogyan futtatnak torrent szervereket kórházi tűzfalakon és így tovább… Tehát egy eléggé szegényes képet látunk itt kibontakozni.

Bódi Zoltán: De ha korábban azt említetted, hogy valószínűleg ebben a konkrét esetben egy kósza vírus volt – nem egy megszervezett hacker-támadás – egy ilyen kórházi informatikai rendszerbe hogy kerülhet be egy kósza vírus?

Keleti Arthur: Pont úgy, ahogy a te otthoni rendszeredbe. Tehát például a titkárnő jön be, hozza magával a pendrive-ot – mellesleg nem lehetetlen, hogy hazavitte a kórházi adatokat, a betegek Excel-táblájával együtt és otthon mondjuk javítgatott és aztán visszavitte…

Nagyistók Tibor: Jó, de hát az „hermetikusan” le van zárva az ipari rendszertől

Keleti Arthur: Mi van lezárva?

Nagyistók Tibor: A titkárnő gépe és a nagy adatbázis.

Keleti Arthur: Dehogy van lezárva! Ez ugyanaz a rendszer. Ne legyenek illúzióink, itt nincsenek ilyen „hermetikus” lezárások. És sajnos, mivel a magyar egészségügyben eleve igen kevés pénz van, nyilván ezekre a rendszerekre, amelyek úgy ahogy működnek, általában utoljára jut pénz. Tehát az, hogy ezek biztonságosak legyenek, hogy az adatvédelemre odafigyeljenek, az nyilván egy olyan faktor, hogy „hát így is megy, nem? Akkor mi itt a probléma?”…Hát ez itt a probléma! Ha bekeveredik oda egy vírus, taccsra vágja az adatbázist, esetleg módosít adatokat és rossz esetben kiszivárogtat, elküldi valahova, mindig így kerülnek ki az adatok…

„2060 körül a világ komoly gonddal találta magát szemben. A hagyományos IPv4 alapú internetből egy szörnyű és kusza NAT útvesztő lett, ahol képtelenség volt megmondani, hogy melyik felhasználó mit művel. A világ totalitárius kormányai az úgynevezett megfigyelési probléma dilemmájával küzdöttek. Annak érdekében, hogy megfigyelhessék a teljes lakosság tevékenységét, az emberiség egyik felével kellett volna megfigyeltetnie a másikat. Ez nem működhetett, de a technológia ismét a segítségünkre sietett és ezzel megszületett a valódi mesterséges intelligencia…”

(Üzenet 2111-ből – Marcus J. Ranum, világhírű amerikai biztonsági szakértő, az első üzleti felhasználású tűzfal megalkotója.)

Hogy micsoda? 2111-ből? Egy üzenet a 100 év múlva bekövetkező jövőből?!... A fenti sorokat az idei, tehát 2011-es ITBN (Informatikai Biztonság Napja) programfüzetéből idézzük. Vagyis tehát Keleti Arthurnak vagy sikerült időgépet alkotnia, vagy pedig a gépekkel kapcsolatban időben szeretne valamire ráirányítani a figyelmünket. Az immár hatodik ITBN-en ez alkalommal a jövő kerül a figyelem középpontjába. Ennek egyik mellékszála, hogy a Galaktika Magazin és az Informatikai Biztonság Napja közös akcióba fogott: sci-fi sorozatot adnak közre IT biztonság témában.
A Netidők műsorban a főszervező Keleti Arthur és a sci-fi író, Kovács Tücsi Mihály beszélt a kezdeményezésről.



Keleti Arthur: A kezdeményezés onnan indult, hogy elkezdtem gondolkodni ennek a minden év szeptember végén lezajló Informatikai Biztonság Napjának idei tematikáján. Ránéztem a 2011-es feliratra és észrevettem, hogy ebben a számsorban van egy kettes, ami nagyon nem illik oda, viszont a többi rendben van, mert nullák és egyesek; és mi lenne, ha az egyik nullából megint egyest csinálnánk és akkor rájöttem, hogy az már 2111 lenne. Hirtelen eszembe jutott, hogy ha jól meg lehetne mutatni, hogy 2111-ben történik valami biztonsági incidens, akkor ez a vízió bebocsátást enged majd nekünk abba a világba, hogy vajon mit tehetünk máshogyan most a jelenben, ahhoz, hogy ne így végezzük. Gondolkodtam tovább és beugrott, hogy a Galaktikában állandóan ilyenekről olvasgatunk, meg amikor Tücsivel beszélgetünk arról, hogy a Nagy Testvér már most figyel, akkor biztos, hogy neki lennének gondolatai arról, hogy majd 50 meg 100 év múlva mi lesz. Ekkor jött az ötlet, hogy kellene novellákat készíteni…

Az első novella aztán el is készült, íme egy részlet Kovács Tücsi Mihály Első randi c. írásából:

„Már csak azt kellett elérnem, hogy más személynek azonosítson. A privát szkennere hivatalos adatbázishoz nem férhetett hozzá, csak a nyilvánosakban turkálhat. Innen már egyszerű az egész. Elővettem két kék kontaktlencsét és felprogramoztam egy retina-mintára, és felhelyeztem. Bal szemem alá raktam egy diszkrét, ám jellegzetes digitális tetoválást. Digitális lakkot fújtam a hajamra és hollófeketére programoztam. Gyorsan csináltam egy képet magamról, amin jól látszik a szemem. Egy kis fotómódosítás, hosszú haj, ami takarta az arcomat. A képet feltöltöttem néhány ismertebb helyre és már kész is volt az új ember…”

Kovács Tücsi Mihály: Arthur nemrégen megkeresett, hogy lenne egy jó ötlete és előadta, hogy kellene neki néhány novella. Játszódjanak ezek a nem túl távoli jövőben játszódik és a történetek kifejezetten a biztonságra legyenek kihegyezve. Továbbá életszagúak legyenek, így szólítsa meg a szakembereket, de a nem annyira szakembereket is. Felállított nekem egy olyan szabályrendszert, amiben annyira beszűkítette a kereteimet, hogy ez már önmagában felvillanyozott! Gondoltam: hogy ha ezt meg tudom csinálni, akkor megveregethetem a saját vállamat. Amúgy is Nagy Testvér és kütyümániás vagyok, tehát nem áll messze tőlem ez a világ. Szeretem a techno-thrillereket, a krimiket és rájöttem, hogy ezt ilyen közegbe kellene illeszteni, hogy legyen egy kicsit krimis, amire fogékonyak az emberek. Aztán kiválasztottam körülbelül 15-20 ötletből olyanokat, amikről úgy éreztem, hogy elég frappánsak. És utána a többit már csak gépelni kellett. További érdekesség, hogy a második novella egy konkrét zenére íródott. Egyrészt maga a zene motivált, és aztán szerepet kapott a novellában is. Jeleztem Arthurnak: mindenképpen valahogy ajánlani kellene, hogy hallgassák közben ezt a zenét, mert ráhangolja őket és jobban átérzik. Erre Arthur megvalósította, hogy – mint a Csillagok háborúja elején – egy folyó szöveg megy végig előttünk, a zene pedig alatta szól és ez egy videókat fel van töltve a YouTube-ra. Ez egy teljesen új publikációs mód…

A 2011-es ITBN szeptember 27-28-án lesz Budapesten, a Cinema City Arénában.

A novellák itt találhatók:

1.) Első randi

2.) Zuhanás

A biometrikus azonosítást nagyon hatásosan jelenítik meg a hollywoodi produkciók, gondolhatunk például a Különvélemény c. Spielberg sci-fire, amiben a Tom Cruise által alakított főhős kifejezetten egy orvoshoz megy el, hogy a szemgolyóját cserélje ki, hiszen az alapján azonosítják őt be a rendőrök és robotjaik. Persze elkerekedett szemekkel ma már nem kell tekintenünk a biometrikus azonosításra, hiszen az ujjlenyomat- és retinaazonosítást már ismerjük. New York-ban most egy olyan tenyérfelismerő megoldást vezettek be egy kórházban, amely a pácienseket a tenyerük erezetének mintázata alapján ismeri fel és egyértelműen azonosítja őket. Keleti Arthur, a Netidők biztonsági őre segít eligazodni a témában.

Ez a tenyér-felismerési módszer, pontosabban a tenyér erezetének felismerése valójában nem új technológia. Az az igazán érdekes, hogy miért van rá szükség. A fő oka az identitás-lopás nevű probléma, vagyis az, hogy bizonyos azonosítóknak a felhasználásával embereknek a személyiségét, adatait ellopják. Az egyszeri felhasználó ilyenkor azt mondja, hogy „Jól van, hát nem örülök neki, de hát vigyék! Most mit csinálhatnak a nevemmel?” Igen ám, csak azt mondják itt a jelentések, hogy körülbelül másfél millió amerikai állampolgár esett már egyértelműen áldozatául valamilyen kifejezetten egészségügyi identitáslopásnak, s utána ezzel visszaéltek.

Milyen visszaélésekre lehet gondolni? Például olyanra, hogy valaki a beteg nevében bizonyos gyógyszereket, sőt, drága gyógyszereket felvett. Vagy valaki egy gyógykezelést vett igénybe, ami nagyon drága. 2010-ben egy ilyen esetnek a kiderítése, a számlának a pótlása, esetenként átlagosan több mint húszezer dollárba került. Ez nagyon sok esetben a valódi tulajdonos paciensnek a zsebéből kifizetett összegekről szól, ahol neki vissza kellett pótolni azt az összeget, amit valaki ellopott és ő meg nem tudta bizonyítani, hogy ezt a számlát nem ő hozta össze.

Ugyanez a tanulmány azt mondja, hogy az ilyen kifejezetten egészségügyi identitáslopásoknak a 36%-a, családon belül, valamilyen családtag által következik be. 17%-ról nem lehet tudni, hogy milyen forrásból történt ez a lopás, 14%-nak egyszerűen ellopják valamilyen szolgáltatótól. Aztán van 6% phishing, amikor kiénekelték az illető szájából a biztosítási számot, és van 8% olyan, amikor levelezésben ment valahova, és a levelet elkapta valaki, aztán elkezdte felhasználni.

Ezek eléggé elrettentő adatok. Márpedig ez a technológia igen olcsó, és ehhez képest elég sok bajtól tudja megóvni magát az a kórház, ha elkezdi bevezetni a tenyérfelismerést. Évente nagyon sok millió dollárba kerülnek a kártérítési perek is, meg sok minden más is, azoknak a kórházaknak, akiknek regisztrációs hiba miatt vétenek valamilyen orvosi hibát, ami ahhoz köthető, hogy nem jól azonosították a beteget. És aztán olyan gyógyszert adtak neki, amit nem kellett volna, vagy rosszul kezelték. Ezt szintén kiküszöböli ez a rendszer. Egy másik érdekes példa az, hogy mi van akkor, ha meg se tudunk szólalni? Nem tudjuk elmondani azt a számot, nem találnak nálunk azonosítót, esetleg eszméletlenek vagyunk – ez az eszköz akkor is tudja azonosítani az illetőt egészen pontosan.

Az is érdekes, hogy az ujjlenyomathoz képest egy picit biztonságosabb, mert azért az ujjlenyomatokat már lehet hamisítani. A tenyérlenyomatot, illetve véna-erezet lenyomatot azért nem túl gyakran hagynak az emberek maguk után. Vagyis, míg egy ujjlenyomatot relatíve könnyű ellopni, hogy ha valakiéhez hozzá akarok jutni, a tenyér vénák mintázatát, meg a benne lüktető vért nyilván nehezebb. Úgyhogy összességében ez egy nagyon jó módszernek tűnik és mindenki azt jósolja, hogy ez rohamos tempóban el fog terjedni. Azt hallottam, hogy Japánban már az ATM automatáknál is elkezdték használni ezt a technológiát…