Dojcsák Dániel

Legális hackelés - csukott szemmel nem lehet védekezni

Csukott szemmel nem lehet védekezni, vallják az etikus hackelés hívei, akik szerint fontos dolog a rendszerüzemeltető céges IT-alkalmazottak arra való oktatása, hogyan lehet nem kívánatos vendégként beköszönni egy számítógépes hálózatba. Egy szép összegért cserébe már hazánkban is bárki pandúrból rablóvá válhat.

A hacker a legtöbb ember fejében a gonosz, pénzsóvár adattolvaj képét villantja fel, többnyire anélkül, hogy e mellé az "etikus" szó köré épült fogalom is kapcsolódna. Fehér kalapos hackerekről hallottunk már, akik megrendelésre tesztelnek rendszereket úgy, hogy megpróbálnak minden eszközzel behatolni vagy hibát találni. Ez már mondhatni erkölcsösebb módja a csintalankodásnak. De vajon miféle tudással rendelkezhet valaki, aki elvégzi az ezen a héten induló első hivatalos, 5 napos Ethical Hacking képzést? Sőt, vajon mire tudja használni a sötét tanokat?

Alapjában véve olyan szakemberek számára lehet hasznos, akiknek a napi munkájuk során egy kisebb-nagyobb hálózatot kell működtetniük és szeretnének önmaguk is megbizonyosodni - lehetőség szerint elszenvedett károk nélkül - arról, hogy amit alkottak, az valóban megbízható és biztonságos. A Netakadémia alapítója, Fóti Marcell szerint leginkább az autós töréstesztek esetére hasonlít az etikus hackelés. Hogy lássuk, hogyan viselkedik egy autó balesetkor, ahhoz össze kell törni. Ugyanígy kell megostorozni egy számítógépes hálózatot, amennyiben valaki nem akkor szeretne rájönni a gyengeségekre, amikor reggel a vállalat weblapja helyén a gay.hu-t találja.


Egyre trükkösebbek

Ugyan az elmúlt néhány évben az IT-biztonság terén olyan szintű előrelépések történtek, hogy a klasszikus, egyszerű betörések gyakorlatilag elképzelhetetlenné váltak, de mégsem lehet hátradőlni. Néhány évvel ezelőtt még a NASA honlapja is arra a sorsra jutott, hogy valaki befurakodott és lecserélte a kezdőoldalt, de ez ma már szinte elképzelhetetlen. Akkoriban a gyerekcipőben járó szerveralkalmazások és fejletlenebb protokollok nyilvános hibáit kihasználva akár tinédzser gyerekek is tudtak kárt okozni. Mára viszont a legtöbb szoftvergyártó komolyan veszi a biztonsági fejlesztéseket, igaz van aki hangosabban dicsekszik vele, mint a Microsoft, van akik pedig kevésbé feltűnő módon, de ugyanazt képviselik.

A legtöbb rendszergazda azt kommunikálja kifelé, hogy rendben van a hálózatuk, de valójában félnek eléggé. A statisztikák sem megnyugtatók: tavaly csúcson volt a beismert hackelések száma, de ezekhez hozzá illik számolni azokat a be nem vallott sikeres támadásokat is, melyeket a cégek inkább szőnyeg alá söpörnek, minthogy kiderüljön a hibájuk. Az érdekesség, ami miatt létjogosultsága van a jófiúk képzésének viszont nem az, hogy romlanak a mutatók, hanem az, hogy ma már egész más módszerek sikeresek, mint pár éve.

Ma már nem olyan egyszerű lezúzni egy SQL adatbázist, megfektetni egy levelező szervert, vagy áttörni egy vállalati tűzfalon, bejutni egy titkosított csatornába, mint rég, viszont az emberi tényezők egyre cifrábbak. Az egyszerű butaság még továbbra is hódít, mint rizikó faktor. Ma már bevett szokás, hogy a rafináltabb betörők jelentkeznek a kiszemelt céghez alkalmazottnak, majd belülről feltérképezik a rendszert és szép lassan megfejtik azt. Sőt, hogy tovább ne menjek, hiába mágnes­kár­tyás, recepciós, regiszt­rálós a beléptetés a legtöbb multicégnél, többek közt jómagam is sikeresen besétáltam a T-csoport egyik üzleti meetingjére, amit nyugodtan végig is ülhettem anélkül, hogy bárkinek is gyanús lettem volna mikor helyet foglaltam. Én egyszerűen elnéztem a dátumot egy sajtóeseményre, egy rosszindulatú kíváncsiskodó viszont komoly üzleti titkokat is szerezhet ilyen módszerrel. Megdöbbentően egyszerűen.

Arról nem is beszélve, hogy ma már szinte mindent fontos adat elérhető a weben keresztül. Klisének tűnik, de gondoljuk át! Ha én elérem egy böngészőn keresztül a saját banki adataimat, ha te is eléred böngészőn keresztül a sajátodat, akkor az azt jelenti, hogy weben keresztül mindegyik adat hozzáférhető, csupán egy szoftver kerítés védi azokat az illetéktelen kezektől. Akinek sikerül megmászni ezt a kerítést, gyakorlatilag bármit megkaparinthat. Ha pedig Kevin Mitnick példáját említjük, tisztán látszik, hogy bizalmas adatok megszerzéséhez még számítógép se kell, elegendő egy telefon és az emberek jóindulata, hiszékenysége vagy a munkahelyi megfelelni vágyása.

A rizikók ismeretében érthető, hogy az egyébként főként szerveroldali alkalmazások oktatására specializálódott Netakadémia belefogott egy ilyen oktatásba is (még akkor is, ha 395 ezer forintot kér érte fejenként). Bárkiben felvetődhet viszont a kérdés, hogy vajon mitől válik etikussá egy hacker? Az újságírók kérdezősködésére Fóti Marcell elmondta, hogy külön etikai modulokat nem tartalmaz a tanfolyam, csak jogi és egyéb hasznos tudnivalókkal látják el a jelentkezőket a szakmai mondani valón felül. Így elméletileg valaki gonosz motivációkkal is magára vehetné itt a tudást.

Persze, nyilvánvaló, hogy aki fekete kalapos, az underground forrásokból szerzi meg többnyire a tudását, ráadásul nem nagyon szeretne regisztráltként szerepelni egy listában, hogy ő képes feltörni rendszereket. A kalandozó "script kiddie"-ket pedig többnyire elriasztja a magas ár. Akiket pedig a cégük befizet egy ilyen akcióra, azok egyébként is hozzáférnek titkos adatokhoz, mégsem élnek vissza vele. Bár állítólag évente több tíz embert visznek el bilincsben bankoktól, pénzintézetektől. Mindig van, aki megpróbálja.

Az etikus hackelés fogalmának népszerűsítésére a Netakadémia létrehozott egy szervert, ahol egy 12 szintes akadálypályát állítottak fel az önjelölt betörőknek, amin letesztelhetik tudásukat. A legegyszerűbb feladatok szimpla URL-hackelésre építenek, de később cross-site scripting és SQL Injection (adatbázis módosítása anélkül, hogy az illetőnek hozzáférése lenne a belépéshez, egyszerűen a paraméterezés során kell becsapni az alkalmazást) is előkerül.

A közelmúltban már több, mint 2500 felhasználó vágott neki ennek a kihívásnak (ez valószínűleg kevesebb ember, mert egyes feladatok során néhányan a felhasználónévvel is próbáltak trükközni). Közülük 5-700 fő jutott át az egyszerűbb feladatokon, de 400-an az SQL-t is átverték, és több mint 200 ember végigvitte az egészet. Többen jelezték, hogy szívesen továbbfejlesztenék a feladatokat nehezebbekre. Mindezt egy olyan országban, ahol összesen körülbelül 1000 embernek van MCP vizsgája, ami bizonyítja, hogy MS-rendszereket képes üzemeltetni.

Ha az önjelölt hackereknek csak kis százaléka igazán durva szakértő, és közülük is csak minden harmadik dönt a sötét oldal mellett, akkor az adataikat féltve őrző vállalatoknak érdemes igyekezni, hogy lépést tartsanak a kevésbé etikus hackerekkel is.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • dfdd #17
    http://imagerz.com/QEQVDUtvAwIAAFpOEgVR

    http://imagerz.com/QFdCWAoFAFU

    Aki meg irányitja az egész müveletet és egyben admin is (fömufti)
    - banyix vagy BNC

    ezek törték fel a számitogépemet és lemásolták róla az össze informáciot és megfenyeg.ettek egem ha nem adok ki több informáciot magamról akkor trojai virust küldeni fognak a számitogépemre hiába használok virust irto progit vagy tűzfalat.

    Már küldtek nekem virust nekem ezek a felhasználok:
    sajna nem tudom ezek közül kik küldheték de azt tudom hogy lés sok informácioval birnak és fel is törték valamelyik nap a számitogépemet akik már tudják idáig az ipcimemet:

    Antares,
    atom,
    BUT4,
    C0d3r,
    Hanzo,
    Jonas,
    KeNTaGoN,
    Kinga,
    Kovi87,
    lindemann

    -mj12
    - BNC stb.. lehet hogy több is van

    ez egy internetes bünőzést mutattam be.
    ahol a legtöbb infot tárolják föleg az ipcimet az sql adatbázisban található

    Remélem hogy előbb vagy utobb lekapcsolják a szerverr gépet.
    És kénytelen voltam megváltoztatni ez végett a bankszámlaszámomat meg sok adatokat volt amikor pl 5000 ft volt rajta másnap megnéztem és márcsak 1000 ft volt rajta a számlaszámomon az internetes bankszámlámon.
    És meg probált behatolni az ftp cimemre ami természetessen titkos volt.
    az ipcim akikmegprobálták feltörni egyenlőre ezen az ip cimen probálkoztak:

    213.157.100.100 - hackthat.net server ipcimről probált behatolni vágyzat elkerülendő ez az oldal akár ha még rálépsz is akkor már egyből mentenek minden infot a gépedről és főleg ha regisztrálsz is ez véget kb nekem nem volt 3 napig netem és ez végett is csökkent a net sebességem.

    fent láthato a kép bizonyiték mindenre
  • talk #16
    El kell várni egy ilyen oldaltól, hogy tudja mit ír le, és azt helyesen írja, nem pedig keverje a szezont a fazonnal (Hackert a Crackerrel).
  • Renegade #15
    a kollegák véleménye nem túl pozitív, iránymutatás, egy rakás szoftver használata, de csak mint egy suli, első lépésnek jó, meg ahhoz, hogy merj csinálni white boxot, esetleg grey-t.
  • Deus Ex #14
    Köszönöm, már túl vagyok néhány MCP tanfolyamon és vizsgán, engem konkrétan erről a tanfolyamról szerzett benyomások érdekelnének..
  • Bandee1987 #13
    Ha képes vagy könyből magadtól tanulni, akkor inkább vedd meg az angol nyelvű mcp-s vizsgafelkészitőket, sokat spórolhatsz rajta.
  • willcox #12
    Saját pénzen nincs az az elmebeteg, aki 395000 Ft-ot kiad ezért. Maximum gazdag cégek engedhetik meg maguknak, hogy egy emberüket odaküldjék. De szerintem ez kidobott pénz.
  • Deus Ex #11
    Esetleg valaki részt vett már ezen a tanfolyamon?
  • chuky123 #10
    No igen belülröl könnyebb bomlasztani a rendszert illetve kárt okozni .
  • sajoati #9
    en meg decemberben vegignyomtam ezt az ordoglakatot, mondhatom, kellemes szorakozas volt, egyaltalan nem nehez, ha meg megy, barki nyugodtan probalja meg, alap fogalmakrol ad nemi tajekoztatast, az igenybeveheto segitsegekkel meg szerintem barmelyik palya letudhato igen gyorsan.
    mindenesetre a kezdemenyes szerintem remek.

    regen meg a cyberarmynak volt egy zebulon nevu jateka, na az mar egy fokkal jobban tetszett, csak sajnos a site eltunt a sullyesztoben. (egyebkent is epp el voltam akadva az Elizanal, ami egy ALICE alapu chatbot volt, es tole kellett volna kiszedni a palya jelszavat. :) )

    egyebkent, aki ilyennel akar foglalkozni, annak ugyis a folyamatos tanulas lesz az elete, egy par napos tanfolyam nem oszt nem szoroz. (persze a papirt lehet lengetni, ha levizsgazik, eljen.)
  • bakagaijin #8
    Igen, sajnos nem az RMS-féle értelmezés nyert. Ma a klasszikus értelemben vett hekker helyett a "guru" inkább a helytálló. A cracker pedig mint kifejezés teljesen el is tűnt (illetve megvan, csak teljesen mást jelent :)). Jöttek viszont újabbak: spammer, phishing, pharming, stb.

    Biztos ott rontották el, hogy nem párbetűs rövidítést adtak ennek a fogalomnak, azokat kevésbé szokták megkavarni :D. Bár arra is van példa (ld. GB Vs. GiB)... Szomorú, de ez van.