Berta Sándor

Vagyont érnek az ismeretlen szoftverhibák

Az Internet Explorer egyik nemrég felfedezett hibája ismét rávilágított az úgynevezett zero day exploitok jelentette problémára. Ugyan a Microsoft viszonylag hamar reagált az esetre és kiadta a szükséges frissítést, azonban ez idő alatt a támadók kihasználhatták volna a hibát és megszerezhették volna az irányítást több ezer számítógép felett.

Jelenleg a redmondi konszern került a figyelem középpontjába, azonban ugyanez bármikor megtörténhet egy másik szoftverfejlesztő céggel is. A probléma ugyanis gyakorlatilag az egész szoftverfejlesztési üzletágat érinti. Biztonsági szempontból tökéletes program még soha nem jelent meg és a bűnözőknek akár egyetlen programhiba elég. Amennyiben ez a biztonsági rés egy zero day exploit, vagyis egy a gyártó számára ismeretlen probléma, akkor az adott szoftvert használó számítógépek könnyen célponttá válhatnak.

"A támadók mindig a legnépszerűbb, legelterjedtebb termékekre figyelnek, legyen szó operációs rendszerről vagy böngészőről" - mondta Rainer Link, a Trend Micro biztonsági szakértője. Korábban a hackerek a dicsőség és a hírnév megszerzéséért dolgoztak, ma viszont kisebb vagyonokat is kereshetnek. A még ismeretlen szoftverhibák utáni keresés valódi üzletággá vált az elmúlt években. Az iDefense és a Tipping Point komoly pénzjutalmakat ajánlanak fel a zero day exploitok megtalálóinak.

A WabiSabiLabi nevű svájci cég viszont biztonsági réseket és támadóprogramokat árul a honlapján. Az árak elérik az 5000 dollárt is. "A titkos fórumokban azonban ennél jóval magasabb áron kelnek el az információk. Ott nem ritkák a 100 000 dollárnál is nagyobb összegek. A vásárlók kiberbűnözők, akik üzleti titkokra és banki folyószámlák adataira kíváncsiak, de szintén jelen vannak a különböző titkosszolgálatok képviselői, akik a terroristák számítógépeibe akarnak bejutni ilyen módon. A lényeg, hogy egy olyan világ jött létre, amelynek tagjai a biztonsági hibák után kutatnak. S ez semmiképpen sem jó hír a felhasználók számára" - közölte Hartmut Pohl, a Bonn-Rhein-Sieg-i Szakfőiskola információsbiztonsági professzora.

"S hogy ki ezért a felelős? Leggyakrabban maguk a szoftverfejlesztők, ugyanis némelyik vállalatnak nem hetekbe, hanem van, hogy hónapokba kerül egy hiba befoltozása. Persze tegyük hozzá, egy új biztonsági rés létrehozása nélkül nem is olyan egyszerű ez a feladat" - tette hozzá Rainer Link.

Hartmut Pohl szerint a fenyegetés ellen védekezni gyakorlatilag csak két módon lehet: az egyik, hogy a legfontosabb adatainkat egy az internettel nem összekötött számítógépen tároljuk. A másik pedig, hogy a szoftvereinket állandóan frissítjük. A szoftverfejlesztők a programjaik előzetes biztonsági teszteléseivel szintén sokat tehetnek a kockázatok minimalizálásáért.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • dez #8
    "(Nem összetévesztendő ezzel a relatíve kis csoporttal a vandálok és bűnözők jelentősen nagyobb csoportja, akik a hackerek [vagy sokkal gyakrabban a rosszindulatú hackerekre használt kifejezéssel: crackerek] által létrehozott eszközök és eljárások – valójában szakképzettség vagy tudás nélküli – felhasználásával okoz kárt, vagy követ el bűncselekményeket.)"

    Ez így téves!!! Vannak a white hat hackerek (= fehér kalapos hackerek), azaz a "jófiúk", és vannak a black hat hackerek (fekete kalapos hackerek), azaz a "rosszfiúk".

    Crackereknek eredetileg és sok éven keresztül azokat nevezték, akik programokat törtek fel, és ingyen rendelkezésre bocsátották (tehát nem keresni akartak vele)! Ennek köszönhető, hogy a számtech sokkal népszerűbbé vált, mint ha csak azokhoz jutottak volna el pl. a számítógépes játékok, akik megengedhetik maguknak, hogy állandóan megvegyék az újabb játékokat. És nem is csak a játékokról van szó. Gondoljunk csak a legendás Cracking Crew-kra, amik nem éppen hálózati betöréssel foglalkoztak, hanem az említett programfeltöréssel, non-profit alapon.

    A programfeltörés és a hálózati betörés két teljesen különböző dolog, erősen eltérő ismereteket igényel! Az utóbbihoz kell inkább a hackerek tudása (hálózati és rendszer-ismeret), miközben a crakcerek inkább a másolás-védelmeket ismerik.

    Egy ismert hacker volt az, aki a black hat hacker tevékenységet is a crackerek nyakába varrta a saját készítésű lexikonában, így próbálva elhatárolni azt a hackerektől. De ez így nem szép dolog.
  • mcganyol #7
    A Hacker kifejezés alatt olyan számítástechnikai szakembert értünk, aki bizonyos informatikai rendszerek működését a publikus avagy a mindenki számára elérhető szint fölött ismeri. Ezek a szakemberek gyakorlatilag a számítástechnika egy adott vagy több részének rendkívül magas szintjén vannak.
    A szó eredeti jelentésében olyan nagy tudású szakembert jelentett, aki szakmáját lelkesedésből is űzte, akár „művészi” gondossággal; számos való történetet és „legendát” találunk a hackerekről, akik lehetetlennek látszó dolgokat voltak képesek előhozni egy-egy eszközből.
    (Nem összetévesztendő ezzel a relatíve kis csoporttal a vandálok és bűnözők jelentősen nagyobb csoportja, akik a hackerek [vagy sokkal gyakrabban a rosszindulatú hackerekre használt kifejezéssel: crackerek] által létrehozott eszközök és eljárások – valójában szakképzettség vagy tudás nélküli – felhasználásával okoz kárt, vagy követ el bűncselekményeket.)
    A jelenkori terminológiában – főként a sajtónak felróhatóan – a „hacker” szót hol a „klasszikus hacker-ekre”, hol a „crackerekre”, leggyakrabban pedig a komoly szaktudás nélküli internetes vandálokra és bűnözőkre használják, általában a szakemberek tiltakozását figyelmen kívül hagyva, és így a szó jelentése fokozatosan eltolódik a média által használt (eredetileg hibás) értelmezés felé.
  • lammaer #6
    Vállalkozó vagy, mi? :)
  • RealPhoenixx #5
    Hogy mikor szoknak le a helytelen elnevezes hasznalatarol??

    Majd akkor, ha az adatbazis kezeloket (adatrogzitoket ill. titkarnoket) nem programozoknak fogjak hivni, az adatbazis keszitoket pedig alkalmazas specifikatoroknak es szinten nem programozoknak, mivel egyik sem azt csinalja, amit egy valodi programozo (mert azok algoritmizalnak is elvileg, de itt magyarorszagon meg a microfos alkalmazottak is csak dumalni tudnak, meg nagyzolni, nem pedig algoritmizalni, etc).

    Illetve ha az uzletemberre nem azt mondjak hogy tolvaj (aki a vallalkozasat *tobbnyira kis es kozepvallakozast ertek itt* csak probalja eletben tartani, s napi betevot biztositani nehany embernek *illetve azok csaladjanak* es maganak), es a tolvajra pedig nem azt mondjak hogy uzletember (gondolj itt a veresseggu pavianra, vagy a kis homi durci gyurcsi altal folyton felallitani kivant Koverfeju majomnak a Kokadt Jancsijanak felallitasara, etc).

    Illetve ha a bunozore nem azt mondjak hogy megelhetesi bunozo (mert ennyi erovel minden kis ragyasseggu milliardos is csupan csak megelhetesi bunozo, aki ugymond valamilyen etnikumhoz tartozik), es valoban megbuntetik, nem pedig tovabb engedik garazdalkodni, etc

    Hamarabb pedig ne is vard el azt, hogy az eletben valaha is a gyereket a neven fogjak nevezni - vagy ha ezt varod el, akkor meg sokszor fogjak bokdosni a szemed az ilyenek! :)
  • BB7 #4
  • mumpic #3
    Mikor szoknak/szoktok le arról végre, hogy a számítógépes bűnözőket hackereknek hívják/hívjátok? :(
  • Narxis #2
  • Gerygrey #1