De ne siessünk ennyire előre! Az IDC a világ egyik vezető IT-iparágelemzéssel és -piackutatással foglalkozó cége. Piaci trendeket, üzleti stratégiákat, technológiákat jelez előre. Ezúttal a biztonságtechnika és annak trendje volt a téma: február másodikán a Budapest Hilton WestEnd adott otthont a rendkívül jól szervezett és igen elegáns biztonságtechnikai konferenciának. A program ígéretesnek tűnt, különösen Kevin Mitnick előadása miatt. Kevin D. Mitnick - alvilági nevén Condor - a világ legismertebb hackere. Ismert, mert elkapták, és börtönbe zárták. Minden valószínűség szerint voltak, vannak nála nagyobb és tehetségesebb hackerek, akiknek azonban sikerül ismeretlenül a sötétség leple alatt tevékenykedniük. Kevin igen fiatalon kezdte digitális ámokfutását. A lapok címoldalaira először 1982-ben került, amikor bejutott az Amerikai Légvédelem egyik szuperkomputerébe. Tizenhét évesen egy telefonfülkéből feltörte a Pacific Bell számítógéprendszerét, több telefonszámlát lenullázott, és ellopott mintegy 200 ezer dollár értékű adatot. Hat hónapot kapott egy nevelőintézetben. Szabadulása után azonnal törölte az ügy részleteit a rendőrség adatbázisából, valamint megsemmisítette az őt elítélő bíró bankszámláját. Ezek után Izraelbe menekült. Mikor ügye kezdett feledésbe merülni, visszatért az Egyesült Államokba, de nemsokára ismét hallatott magáról. 1988-ban - ekkor 25 éves volt - több hiábavaló kísérlet után sikerült rábizonyítani, hogy 4 millió dollár értékű kárt okozott az egyik vezető amerikai számítógépgyár, a Digital Equipment Corporation (DEC) adatbázisaiban biztonsági szoftverek és titkos kódok eltulajdonításával. Egy évig ült börtönben, mikor is ideiglenesen szabadlábra helyezték. Hősünket azonban nem hatotta meg a börtönév, és ismét munkához látott. Bejutott több telefontársaság és mobilgyártó hálózatába. Az általa okozott kárt egyesek százmilliókra becsülik. Amikor elkapták, 46 hónapnyi letöltendő börtönbüntetésre ítélték, valamint eltiltották a mobiltelefonok, a számítógépek és egyéb technikai eszközök használatától.

Az amerikai kormány ezzel példát akart statuálni, azonban a média felfigyelt az ügyre. Mitnick világhírű lett. Mozifilm készült az életéről, és megírta A megtévesztés művészete című sikerkönyvét. Szabadulása óta járja a világot, és a "social engineering"-támadásokról tart előadásokat, valamint oktatja az ilyen jellegű betörések elleni védekezést. A mozifilmről annyit, hogy az azt készítő stúdióval perben áll, és igaz történetéről előreláthatólag 2007-ben mutatnak be egy filmet. Ennek részleteit még homály fedi, de azt már lehet tudni, hogy februárban jelenik meg új könyve A behatolás művészete címmel.

A konferencián - bizonyára Mitnick hatására - már kora reggelre több mint háromszázan gyűltek össze. A megnyitót követően Komáromi Zoltán, az IDC Magyarország Kft. kutatásvezetője bemutatta a magyarországi állapokat, az IT-security piacának jelenlegi állását. Tanulságos volt látni, hogy mennyire le vagyunk maradva nyugati szomszédainktól. Ezután a fények kialudtak, s látványos képi és hanghatások közepette Mitnick a színpadra lépett. A mintegy félórás előadás osztatlan sikert aratott. A volt hacker rendkívüli előadói képességekről és humorról tett tanúbizonyságot. Előadását egy történettel vezette be, amelyben elmesélte a legnagyobb értékű számítógépes visszaélés történetét. Stanley Mark Rifkin 1980-ban 10,2 millió amerikai dollárt utalt át magának. A történet befejeztével beszélt a módszerről, amely az ő nevéhez fűződik. Ez pedig nem más, mint a social engineering (SE), vagyis az emberek természetes bizalomra való hajlamának kihasználása. Hackerek és egyszerűen rossz szándékú emberek is gyakran használják ezt a módszert a számítógépekhez való illetéktelen hozzáférésre, információk megszerzésére. A social engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a számítógépek feltörésére. Alkalmazásával bárki, aki csak minimális hackelési képességekkel is rendelkezik, behatolhat egy biztonságosnak tartott rendszerbe, majd módosíthatja vagy akár törölheti az ott tárolt adatokat. Mitnick szerint nincs az a biztonsági megoldás, amely megvédene az SE-támadásokkal szemben, hiába néznek csúnyán a biztonsági megoldásokat szállító cégek képviselői... (Mitnick itt megjegyezte, hogy az emberek "akár a Windows Update-et is feltehetik, az sem ér semmit", és mit tesz isten, Stephen McGibbon, a Microsoft Security Consulting LLC vezetője is csúnyán nézett...)

Mitnick elmesélte még, hogyan szerezte meg egy olyan "kis" cég, mint a Motorola, titkos forráskódjait mindössze fél óra alatt, hét telefonhívással. Előadása végén elmondta, hogy mennyire könnyen védekezhetnének az emberek, csupán törődni kellene a problémával.

Mitnicket épp a már említett McGibbon követte, aki mindennek dacára elmondta, hogy mennyire hatékonyan véd az XP a betörések ellen. Azzal folytatta, hogy bemutatta az SP2 biztonsági újdonságait, majd jellemezte a számítógépes támadókat. Elmélete szerint van vandál, tolvaj és kém. A későbbiekben elemezte, hogy a Microsoft milyen hatékonyan veszi fel a küzdelmet e "terroristák" ellen, valamint hogy mennyivel több hibát találnak a különböző Linux-disztribúciókban.

A folytatásban némileg dominált a céges PR-jelleg, de azért ebbe is sikerült a közönség számára színes elemeket becsempészni, persze elsősorban akkor, amikor a konkurens antivíruscégek képviselői humorosan "egymásnak estek".

Ebéd után következett a Hackel és élőben, ám a cím izgalmasabbra sikerült, mint maga az előadás: Sebastian Schreiber, a SySS Gmbh. alapítója rég elavult, a való életben használhatatlan webes módszereket mutatott be.

A konferencián elhangzott még a NOD32-t fejlesztő és forgalmazó ESET képviselőjének víziója a víruskeresők jövőjéről, a DNS Hungária munkatársának előadása az intelligens internetbiztonságról, valamint Hannes Lubichnak, a Computer Associates IT-biztonsági stratégájának előadása a BS7799-es szabványt követő biztonsági kontroll megteremtéséről. A Trend Micro képviseletében megjelent termékmarketing-menedzser az új vírusfenyegetések természetét és az ellenük alkalmazható új védelmi stratégiákat ismertette, a Sybari szakembere pedig az e-mail vírusok elleni többszintű védekezésről beszélt. Emellett előadás hangzott el a Magyar Köztársaság ügyészségén kialakított informatikai biztonsági szabályozásról. Az Adverticum biztonsági tapasztalatairól Somogyi Endre, az rt. fejlesztési vezérigazgató-helyettese tartott esettanulmány-beszámolót.

***

A megtĂŠvesztĂŠs mĹąvĂŠszete

- interjĂş Kevin Mitnickkel

A hacker felhív egy tetszőleges céges telefonszámot, és egyszerűen elkéri az egyik felhasználó nevét, illetve jelszavát. Meglepően és ijesztően sok ember hajlandó kiadni ezeket az információkat. Az egykori hacker és egy sikerkönyv írója, Kevin Mitnick szerint az emberek hajlandóak bízni olyanokban, akikről azt hiszik, hogy tudják, miről beszélnek.

- Mit takar az Ön által használt "social engineer" kifejezés?

- Míg a közvélemény számára viszonylag ismeretlen a kifejezés, a social engineer fogalmát széles körben használják a számítógép-biztonsággal foglalkozó közösségek. Olyan gyakorlott hackerről van szó, aki becsapja egy vállalat naiv számítógép-felhasználóját, hogy fontos információkat csaljon ki tőle.

- Hogyan lett Önből social engineer?

- Ez még a 70-es évekre, középiskolás éveimre nyúlik vissza, amikor találkoztam egy sráccal, aki telefonbetyárkodással ütötte agyon az időt. A telefonbetyárkodás a hackelésnek az a változata, amikor a támadó teljesen feltárja egy telefonos hálózat működését, a telefontársaság alkalmazottainak megismerésétől kezdve a rendszer teljes körű átlátásáig. Ekkoriban történt az átállás a mechanikusról a számítógépes rendszerekre, ami nem volt sokkal előbb, mint hogy a telefonbetyárkodásból számítógépes hackelés lett. A social engineering ekkor lépett színre, hiszen amikor megpróbáltam feltárni egy telefonos rendszer titkos belső struktúráját, sokszor meg kellett változtatnom a kilétemet, telefontársasági dolgozónak kiadva magam. A cégnél különböző osztályokat és irodákat hívtam fel, hogy megszerezzem tőlük az információkat. Ehhez használnom kellett a telefontársaság nyelvjárását, a szaknyelvet, hogy hitelesnek tűnjek. Ekkor kezdtem el programozást tanulni. Mindig is nagy mókamester voltam, ezért amit tanultam, azt a tanáraimon és a barátaimon teszteltem. Mindig hajtott a vágy, hogy olyan információkat szerezzek meg az emberektől, amelyek a közvélemény számára nem elérhetők.

- Mi a social engineer első dolga, amikor támadást indít célpontja ellen?

- Valamennyi támadás első fázisa a kutatás. Meg kell keresni minden szabadon hozzáférhető információt a cégről (például éves riportok, marketingbrosúrák, szabadalmaztatott alkalmazások, újságcikkek, iparági folyóiratok, honlapok tartalma és egyebek, amiket a célpont szemeteskukájából ki lehet halászni), valamint meg kell tanulni mindent, amit a cégről és az emberekről lehet. Ki rendelkezik hozzáféréssel azokhoz az adatokhoz, amelyeket keresünk? Hol dolgoznak? Hol laknak? Milyen operációs rendszert használnak? Milyen a cég szervezeti felépítése? Ki melyik irodában dolgozik, és az hol helyezkedik el földrajzilag? Ne feledjük, hogy mindig úgy kell kiadnunk magunkat, mintha jogosultságunk és szükségünk lenne az adatra. Ahhoz, hogy ezt elhiggyék rólunk, ismernünk kell a céges szakzsargont, a belső rendszereket, és képben kell lennünk a vállalattal kapcsolatban. A kutatási szakasz után jön maga a támadás, amikor is ki kell találnunk az ürügyet, a cselt, amellyel elnyerhetjük a személy bizalmát és támogatását. Ha a támadást véghezvittük, megszereztük a bizalmat, és a kívánt információ már csak egy lépésre van tőlünk, akkor visszatérünk a korábbi lépésekhez, amíg meg nem szereztük a kívánt információt. Hogy van az, hogy a social engineer ilyen könnyedén tudja manipulálni az embereket? Az emberi természetet használja ki. Véleményem szerint az emberek nagyon bíznak másokban, és nagyon hiszékenyek. Hajlamosak azt hinni, hogy mások is ugyanazzal a morállal rendelkeznek, mint ők maguk. Nem próbálnának rászedni vagy megtéveszteni senkit, ezért nem feltételezik, hogy ez velük megtörténhet. A profi social engineer képes manipulálni kívánságainkat, hogy segítőkészek legyünk, együttérzésünket, hiszékenységünket és még a kíváncsiságunkat is. Mi a különbség egy előre megfontolt és egy közvetett támadás között? Képzelje el, hogy egy nagyvállalatnál dolgozik. Egy napon beszáll a liftbe, és látja, hogy valaki elejtett egy floppylemezt. A lemez piros, rajta van a cég logója, és nagy betűkkel rá van írva: "Bizalmas. Alkalmazottak fizetési adatai". Egy efféle szituációban Ön szerint az emberek többsége mit tenne? Kíváncsiságunkra hallgatva betennénk a lemezt a gépbe, és megnéznénk, hogy mi van rajta. Talán lenne egy "Bérlista" és egy "Fizetések visszamenőleg" Word-ikon. Valószínűleg megnyitnánk a fájlt, hogy megnézzük, mennyit keresnek a többiek a mi fizetésünkhöz képest. Mi történik ekkor? Hibaüzenetet kapunk, például: "A program nem tudja megnyitni az adott fájlt" vagy "A fájl sérült". A felhasználó nem jön rá, hogy nem tett mást, mint installált egy trójai falovat a gépére, amely szabad bejárást tesz lehetővé a hackernek. Azután valószínűleg átadná a lemezt a HR-osztálynak, ahol szintén berakják a gépbe, hogy megnézzék, mi az, és így a hackernek már két géphez van hozzáférése. Ez a közvetett támadás klasszikus példája. Közvetlen támadásnak azt nevezzük, amikor a támadó ténylegesen kommunikál az "áldozattal", telefonon, személyesen, faxon vagy e-mailben. Az esetek többségében a támadó valaki másnak adja ki magát, egy másik alkalmazottnak, eladónak, magas rangú vezetőnek, és megpróbálja rávenni áldozatát arra, hogy kiadja a számára fontos információt, vagy hogy futtasson egy szoftvert, vagy látogasson el egy weboldalra, amely a végén tönkreteszi a vállalat infrastruktúráját. Vegyük például a John Wiley & Sons irodáját, a célpontot. Az első dolog, hogy készítünk egy hamis weboldalt, amely külsőre teljesen legálisnak tűnik. Az tartalmaz egy regisztrációs részt, ahol a látogató e-mail címmel és jelszóval tudja magát regisztrálni. Ezután a támadó e-mailt küld 1000 Wiley-alkalmazottnak, bátorítva, hogy regisztráljon, mert óriási nyeremények várnak rá. Az e-mailben természetesen ott van a hamis weboldalra mutató link is. Tegyük fel, hogy csak 10% reagál az e-mailre, továbbá hogy a reagálók 10%-a ugyanazzal a jelszóval regisztrál, mint amelyet bent az irodában használ. (Azért, hogy ne kelljen annyi jelszót észben tartani, legtöbbünk ugyanazt a jelszót használja mindenhol!) Ezzel a 25 e-mail címmel és jelszóval már el lehet kezdeni a támadást.

- Van valami kĂźlĂśnĂśs ĂĄrulkodĂł jel, amely sejteti velĂźnk, hogy egy social engineer cĂŠlpontjĂĄvĂĄ vĂĄltunk, ĂŠs ha igen, akkor milyen stratĂŠgiĂĄt vĂĄlasszunk, hogy elkerĂźljĂźk a tĂĄmadĂĄst?

- A leggyakoribb árulkodó jel, hogy az illető nem akarja megadni a számát, amelyen vissza lehet hívni. A legjobb stratégia pedig megkérdezni magunktól: Miért én? Miért engem hívott? Van valami különleges abban, amit csinálok? Ha egy ismeretlen megkér, hogy csinálj meg neki valamit, akármennyire ártalmatlannak tűnik is, nézd meg jó alaposan, hogy mire kér.