Netidők Blogtársaság

Már sok éve tudjuk, hogy az informatikai rendszerek leggyengébb láncszeme maga az ember, vagyis a felhasználó. Csak hát itt nem lehet hazaküldeni a gyengén szereplő játékost, mint egy tévés vetélkedőből – hanem a rendszerre továbbra is fenyegetést jelent az emberi jelenlét. A Netidők „biztonsági őre” kéjes örömmel figyeli azokat a melléfogásokat és elbaltázásokat, amelyekből lehet tanulni. Szemezgetés következik az elmúlt évek biztonsági történeteiből Keleti Arthurtól.

Mi a szakmában mindig abban reménykedünk, hogy egyszer majd találunk egy olyan informatikai rendszert, amiben nincsenek felhasználók. Mert ugye onnantól kezdve a dolog egészen jól működik.

Nagyon sok vezető rendkívül büszke arra, hogy ő milyen ügyes és mennyire jól tud titkot tartani. Egyszer komoly önuralomra volt szükségem, amikor tárgyaltam egy informatikai vezetővel, ugyanis végig nem volt hajlandó elárulni, hogy miképpen néz ki az informatikai hálózata. Ez egy nagyon vicces beszélgetés általában a biztonsági szakember és az informatikus között, mert ugye én nem azért vagyok ott, hogy a titkait kilessem, hanem azért, mert segíteni akarok, de ő rajtam akarja demonstrálni, hogy ő mennyire biztonságtudatos. Mindenre kitérő válaszokat adott, amikor megkérdeztem, hogy:

- X technológia?
- Nem!
- Y technológia?
- Nem!
- Akkor Z technológia?
- Nem! Egyik sem.
Mondom: „Akkor melyik, hát csak ez a három technológia van!” Tehát egyszerűen nem sikerült sehogy sem közelebb jutni a valósághoz.
Na most azért volt komoly önuralomra szükségem, mert miközben erről beszélgettünk, a vezető háta mögött a teljes informatikai rendszer rajza ott volt a falon! Az ábrán pedig az összes információ, amit nem akart elárulni…

***
Aztán volt egy nagyon kellemetlen eset, amikor az egyik cég azt kérte, hogy nézegessék már meg neki a biztonsági szakemberek, hogy mégis mi az a nagyon nagy mennyiségű letöltött információ, amit a kollégák letöltenek? Ráadásul mindez egy közintézményben volt. Elkészült a jelentés és hát… ööö… ránéztem erre a jelentésre és azt mondtam, hogy ebben nem vagyok biztos, hogy ezt így tényleg el kell mondanom. De hát muszáj volt, nagyon tipródva odaadtuk a megfelelő vezetőnek, aki először elfehéredett, majd elzöldült, majd megkérdezte, hogy „Teljesen biztos, hogy a legtöbbet letöltött alkalmazás a JATEK-A-CICIKKEL.EXE fájl?”

***

Volt egy olyan történet is, hogy egy tesztet kellett végrehajtani egy szervezetnél és meg kellett vizsgálni, hogy az információk mennyire szivárognak. Ennek vannak fokozatai. Ha az ember adatszivárgást vizsgál, akkor – gondolom, úgy, mint a vízszerelésnél is, hogy egyszerre nem teszi rá az egész nyomást a vízre, először csak kicsit, aztán nagyobbat és meg fogja nézni, hogy hol fog szivárogni. Na most itt is ez történt, először történt egy vizsgálat, melynek keretében egy hagyományos levelet küldtek ki a kollégáknak, melyben konkrétan az szerepelt, hogy „Ez a levél szigorúan titkos információkat tartalmaz. Ne küldd ki!” Egy kétezer fős szervezetben húsz embernek sikerült kiküldenie ezt a levelet, mégpedig azonnal! Ezek közül az egyik egyébként egy informatikus volt, aki ráadásul nem is kifejezetten alsó beosztásban dolgozott.

***
Az egyik teszt során egy hacker kolléga észrevette, hogy az adott alkalmazás, ami egyébként egy VoIP dobozban futott, sérülékeny. Ha ugyanis a felhasználónevet az ember feltöltötte több mint 2000 karakterrel, akkor az egy olyan sérülékenységhez vezetett, amellyel root, adminisztrátori jogokhoz lehtett jutni pillanatok alatt. Úgyhogy ezzel a feldezéssel fel
is hívta a gyártó által üzemeltetett ügyfélszolgálatot, ahol egy kedves indiai kolléga fogadta a hívást. A tesztelő hacker akkor már érezte, hogy ez komoly harc lesz. Ilyenkor mindig érzi az ember, hogy körülbelül hány szinttel jár a helyi ranglétra gyémánt szintje alatt, ahol el kell kezdeni a küzdelmet, hogy megértsék az embert. És hát neki is kezdett, majd 10 perc után kénytelen volt letenni a telefont, amikor a helpdeskes kolléga nem értette, hogy mi ezzel a probléma, ez nem is hiba. Mert "ki az a hülye, aki kétezer karakter hosszú usernevet ad meg??"

Úgy tűnik, hogy valami igen gonosz dolog történt, bár szerencsére nem Magyarországon. Ez persze nem vigasztalja az Atlanta közelében található Gwinnett Medical Center kórház munkatársait és pácienseit, mert a hír szerint egy nem valami jószándékú malware program túlterhelte a kórház számítógépes rendszerét. Biztonsági szakértőnk, Keleti Arthur mesélt az esetről a műsorban.

Nagyistók Tibor: Történt-e valami a betegekkel?

Keleti Arthur: Gyógyulgattak. Bár annyi mégis történt a betegekkel, hogy akiknek nem sürgősségi ellátásra volt szükségük, azokat a kórház kénytelen volt máshova irányítani. Tehát effektíve nem tudott úgy működni a kórház, ahogy kellett volna. A komputervírus megfertőzte a számítógépeket a kórházban, majd az informatikai rendszer tulajdonképpen leállt, mivel túlterhelte a rendszert a vírus által okozott nagymennyiségű adat. Volt egy ehhez hasonló eset egyébként körülbelül két hónappal ezelőtt: akkor Új-Zélandon egy mentőhálózatot üzemeltető szervezetet támadott meg egy vírus…

Nagyistók Tibor: Szándékosan idézik elő ezt a támadást?

Keleti Arthur: Nagy valószínűséggel ez nem hackerek műve, ugyanis ha az lett volna, akkor sokkal nagyobb kárt okoznak. Valószínűleg egy „kósza vírus” volt – furcsa, hogy pont egy kósza vírusról beszélünk egy kórházban, de hát a számítógépekkel nem foglalkoznak annyian, mint ahányan a betegekkel. Ez az esetből is tisztán látszik. És az látszik egy kimutatásban, amit az USA-ban végeztek pár héttel ezelőtt, hogy két éven belül minden egészségügyi intézmény tapasztalt informatikai biztonsági problémát… Azért itt én felvonnám a szemöldökömet. Ugyebár ma az átlagos vállalatok és intézmények tekintetében is igen jellemző az, hogy meg vannak győződve, hogy ha az irodai rendszerek relatíve jól működnek (most ebben az esetben azok se működtek jól!), akkor „biztos nem lesz baj az ipari rendszerrel!”, vagy ahogy szépen magyarul mondjuk, a core business-szel (a fő tevékenységgel) – márpedig azzal is gond lehet! Itt is lehet ezzel gond. Tehát amikor egy komputervírus bekerül egy kórházi informatikai rendszerbe, olyankor két dologtól félek. Az egyik az, hogy elvesznek adatok, vagy egészségügyi adatok kiszivárognak, amire nagyon sok példa volt. A másik pedig, hogy ezekben a modern kórházi eszközökben már informatikai elemek működnek. Ahogy most már otthon a kenyérpirítónkban is számítógép működik lassan, így már ezekben az eszközökben is, elég régóta. És hiába jóminőségű gyártmányok ezek, hiába tesztelik az eszközöket, a biztonsági problémákra, sérülékenységekre azért gyakran érzékenyek. Tehát én jobban félek attól, hogy megáll egy művese-eszköz, rosszul működik az anesztéziának valamilyen gépe, kialszik a lámpa a műtőben, mert elektronika irányítja, és nem úgy működik, ahogy az kellene. Tehát ez egy komoly veszély. Magyarországot én abból a szempontból féltem, mert a kórházi informatikán az egészségügyben soha nem volt igazán nagy hangsúly.
Egy évvel ezelőtt készítettem interjút hackerekkel: órákon keresztül beszéltek arról, hogy hogyan futtatnak torrent szervereket kórházi tűzfalakon és így tovább… Tehát egy eléggé szegényes képet látunk itt kibontakozni.

Bódi Zoltán: De ha korábban azt említetted, hogy valószínűleg ebben a konkrét esetben egy kósza vírus volt – nem egy megszervezett hacker-támadás – egy ilyen kórházi informatikai rendszerbe hogy kerülhet be egy kósza vírus?

Keleti Arthur: Pont úgy, ahogy a te otthoni rendszeredbe. Tehát például a titkárnő jön be, hozza magával a pendrive-ot – mellesleg nem lehetetlen, hogy hazavitte a kórházi adatokat, a betegek Excel-táblájával együtt és otthon mondjuk javítgatott és aztán visszavitte…

Nagyistók Tibor: Jó, de hát az „hermetikusan” le van zárva az ipari rendszertől

Keleti Arthur: Mi van lezárva?

Nagyistók Tibor: A titkárnő gépe és a nagy adatbázis.

Keleti Arthur: Dehogy van lezárva! Ez ugyanaz a rendszer. Ne legyenek illúzióink, itt nincsenek ilyen „hermetikus” lezárások. És sajnos, mivel a magyar egészségügyben eleve igen kevés pénz van, nyilván ezekre a rendszerekre, amelyek úgy ahogy működnek, általában utoljára jut pénz. Tehát az, hogy ezek biztonságosak legyenek, hogy az adatvédelemre odafigyeljenek, az nyilván egy olyan faktor, hogy „hát így is megy, nem? Akkor mi itt a probléma?”…Hát ez itt a probléma! Ha bekeveredik oda egy vírus, taccsra vágja az adatbázist, esetleg módosít adatokat és rossz esetben kiszivárogtat, elküldi valahova, mindig így kerülnek ki az adatok…

Ausztrál kutatók kimutatták, hogy a mai Flash, SSD (NAND) alapú memóriák és háttértárak biztonsági szempontból újszerűen viselkednek az eddig megszokott mágneses adattárolókhoz képest. Szakértők erre a problémára a napokban hívták fel a szakma és főleg az IT biztonsági helyszinelő/nyomrögzítők figyelmét.

A technológia átállása az új tárolási megoldásokra folyamatosan zajlik és miközben csendben lecseréljük a régi adathordozókat (vannak olyan számítógépek, amelyek már nem is rendelkeznek hagyományos meghajtókkal) észre sem vettük, hogy a biztonság terén milyen változásokat hoznak.

Hogyan dolgoznak a biztonsági bizonyíték gyűjtők?
- A gépek és azok adathordozóinak tartalmát igyekeznek "megfagyasztani" és egy pillanatfelvételt készíteni az adatokról. Ezekről másolat készül és azt már lehet boncolni.
- A "boncolás" közben bizonyítékokat, elrejtett tartalmat és konkrét információkat keresnek.
- Előfordulhat, hogy dekódolni kell titkosított tartalmat vagy visszafejteni nehezen értelmezhető elemeket.
- Érdekes, hogy a Windows-os rendszerek nagyon sok nyomot hagynak maguk után (sok ideiglenes állomány, több helyen letárolt adatok) és akkor még nem beszéltünk a felhasználók átalános figyelmetlenségéről (rossz helyre lementett vagy nem törölt adatállományok).
- És akkor ott vannak még persze a hackerek vagy a nagyon leleményes felhasználók, akik érdekes helyekre is eldughatnak adtokat (pl. képekbe rejte szövegeket).

Mikre mutat rá a tanulmány?
- Az új adathordozókon törlésre kijelölt adatok helyét csak akkor lehet feltölteni új tartalommal, ha azokat ténylegesen letörli a meghajtó. Nem úgy, ahogy egy mágneses adathordozó esetében teszi, hanem az eredeti adat megsemmisítésével (elektronikai úton történő törlésével). Vagyis az eredeti adat tényleg teljesen elvész.
- Az új tárolóeszöközök (pl. SSD memóriát használók, pendriveok stb.) a felszabadítandó területet három percen belül autmotikusan törlik. Erre azért van szükség, mert az új adathordozók lassan törölnek (blockokat kell törölniük, amelyek nagyok) és azért a gyártók egy Self-Healing vagy Garbage Collection nevű automatikus technológiával rendszeresen törlik a "nem használt" részeket.

Miért probléma ez?
- A bizonyítékokat gyűjtő adatvédelmi szakértők elől a memóriák maguk törlik az információt, még mielőtt rögzíteni lehetne őket.
- A már letörölt adatokat nem lehet visszaállítani (a hagyományos mágneses tárolóknál ez sokkal egyszerűbb volt).
- A korródálódott digitális bizonyítékok (pl. egy bírósági perben) nem használhatóak fel vagy nehézkes a felhasználásuk.
- A megnövekedett adatmennyiséggel már így is sok probléma van (pl. átnézni egy terrabyte-os háttértárat), a törlések vagy nem törlések és adatállomány maradványok még tovább nehezítik a helyzetet.
- Egy másik tanulmány a problémák közül utolsónak említett gonddal kapcsolatban éppen azt mondja, hogy nehéz eldönteni, hogy a tároló letörölt-e valamit vagy sem. Vagyis bizonytalan. Ez talán a legrosszabb hír egy biztonsági szakértő számára.

A lényeg az, hogy úgy néz ki, hogy az operációs rendszer és a tárolóegységek egymástól független működése bizonytalanná teszi az adatok törlésének, bizonyítékként való megőrzésének vagy törlés után történő visszaállításának kérdését. Ez komoly biztonsági probléma és azoknak is rossz hír, akik nem szoktak mentéseket készíteni a fontos állományokról, mert ha elveszik az egyetlen példány egy modern memória meghajtón, akkor lehet, hogy soha többé nem jutunk hozzá.

Az eredeti tanulmány letölthető itt.


A The Register eredeti cikkét itt olvashatjuk.

Keleti Arthur