Videokonferenciák: páholyból figyelnek a hackerek - Könnyedén felnyithatóak a zárt rendszerek (1. rész)

Nemrégiben egy hacker világ körüli útnak indult: egy tucat videokonferencia-termet látogatott sorra, kihasználva az oda rendszeresített készülékek gyenge pontjait. Az egér mozgatásával egy kamerát vezérelt, amellyel feltérképezte a termeket, esetenként olyan pontossággal közelítve rá a tárgyakra, hogy tökéletesen kirajzolódtak a fabútorok erezetei, illetve a festékszemcsék a falakon. Az egyik konferenciateremből "kipillantott" az ablakon keresztül: az épület körül parkoló autók mögötti bozótosra közelített rá (mintegy 50 méternyire az ablaktól), ahol egy parányi állat épp akkor bújt be az egyik bokor alatti vackába…

Elköltött milliárdok, lesújtó tapasztalatok
    
Ilyen technika birtokában egy hacker könnyedén képes lehallgatni egy ügyvéd és annak ügyfele közötti párbeszédet, vagy szakmai titkokba nyerhet bepillantást a konferenciaterem asztalára helyezett jelentésből. A The New York Times által idézett esetben a hacker - szerencsére - a Rapid7 nevű, a számítógépes rendszereket veszélyeztető biztonsági rések feltérképezésére szakosodott cég vezető szakembere, H. D. Moore volt. Lesújtó tapasztalatra tett szert: a videokonferencia-berendezéseket gyakran felejtik olyan állapotban üzemeltetőik, hogy a hackerek könnyedén átvehetik felettük a hatalmat.
 
A gazdálkodó szervezetek minden évben fogukat szíva költenek dollármilliárdokat arra, hogy biztonságosabbá tegyék számítógépes rendszereiket és dolgozóik laptopjait. Nagy kínban vannak, merthogy az alkalmazottak előszeretettel küldik el a bizalmas információkat a Gmailen keresztül, vagy éppen a Dropboxban, illetve iPadjükön, okostelefonjukon tárolják őket. Arra azonban ritkán gondolnak a cégvezetők, hogy valaki egyszerűen behatolhat abba a videokonferencia-terembe, ahol nyíltan megvitatják a legféltettebb szakmai titkaikat.
 
Moore tehát könnyedén megtalálta a módját, hogy bejusson különféle egyesült államokbeli, magasan jegyzett kockázatitőke-, jogi, gyógyszer- és energiaipari vállalatok vagy akár bíróságok tárgyalótermeibe. Ráadásul még a Goldman Sachs üléstermébe vezető útvonalat is megtalálta.
 
"Az ajtók zárására hivatott lakatok a földön hevertek - nyilatkozta Mike Tuchen, a Rapid7 vezérigazgatója az amerikai lapnak. - Pedig ezek szó szerint a világ legfontosabb tárgyalói közül valók. Itt zajlanak a legkritikusabb találkozók - és egy képzett hacker csendes résztvevője lehetne bármelyiknek."
 
Tíz évvel ezelőtt a videokonferencia-rendszerek bonyolultak és kiszámíthatatlanok voltak, drága, zárt, nagysebességű telefonvonalakon üzemeltek. Azóta viszont a videokonferencia is - mint minden más - átvándorolt az internetre. Manapság a legtöbb gazdálkodó szervezet az IP-protokollt használja a videokonferencia - "feltuningolt Skype" - céljaira, ha fel akarja venni a kapcsolatot a munkatársakkal vagy az ügyfelekkel. 
 
Ezeket az új rendszereket többnyire úgy tervezték, hogy kiváló kép- és hangminőséget szolgáltassanak - közben pedig nagyvonalúan megfeledkeztek a biztonságról.
 
A beüzemelésen spóroltak
    
A Rapid7 szakemberei meglepetéssel fedezték fel, hogy miközben a gazdálkodó szervezetek százai költöttek csúcstechnológiás videokonferencia-egységekre, azok beüzemelését már igyekeztek minél olcsóbban megúszni. 
 
A Wainhouse Research legutóbbi felmérése szerint a vállalatok tavaly július és szeptember között mintegy 693 millió dollárt költöttek videokonferencia-rendszerekre. A Polycom és a Cisco által értékesített legnépszerűbb egységek mintegy 25 000 dollárba kerülnek, fejlett titkosítás, nagy videofelbontás jellemzi őket, valamint olyan audioérzékenység, hogy a 100 méternyire becsukódó ajtó zaja is hallatszik. Ugyanakkor a rendszergazdák a tűzfalon kívülre telepítik őket, és olyan csalóka biztonsági értelmezést állítanak be, amelyet a hackerek ki tudnak használni velük szemben.
 
Hogy hány igazi hacker jutott át ezeken a biztonsági réseken, nem lehet tudni, mindazonáltal egyetlen vállalat sem jelentette be, hogy betörtek volna a rendszerébe (a tényleges betörések valódi számát vélhetően sohasem lehet majd megismerni). De a videokonferencia-rendszerek annyira elterjedtek, hogy előbb-utóbb megjelennek azok, akik lecsapnak ezekre a könnyű célpontokra - és nem ez lesz az első alkalom, amikor a hackerek biztonsági réseket találnak a vállalati hardveren.
 
Az Egyesült Államok kereskedelmi kamarája például tavaly nyár elején kénytelen volt beismerni egy biztonsági incidens tényét: az egyik irodában lévő nyomtatója, sőt a kamara által bérelt lakás termosztátja is egy kínai internetcímmel kommunikált.
 
A videokonferencia révén a vállalatok látszólag elkerülik, hogy sebezhetővé váljanak. Sok esetben azonban nem elég, hogy rendszereik az interneten át kommunikálnak, ráadásul még úgy is építik ki ezeket, hogy bárki illetéktelenül - és észrevétlenül - hozzáférhet az információkhoz.
    
Az automatikus hívásfogadás veszélyei
    
Az új rendszerek kialakításakor felbukkant egy új jellemző: automatikusan fogadják a bejövő hívásokat, így a felhasználóknak nem kell lépten-nyomon az "accept" gombot nyomogatniuk, amikor új résztvevő jelentkezik be a beszélgetésbe. 
 
Ennek következtében bárki tárcsázhatja a konferencia telefonszámát, és körülnézhet annak helyszínén: jelenlétéről pusztán egy apró fény a konzolegységen vagy egy videokamera csöndes elfordulása árulkodik. (folyt.)
 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció