Változzon meg a mentalitásunk? Mit gondolunk a kiberbűnözésről?

Bizalom és biztonság – kéz a kézben járnak, vagy ellenfelek?
Bizalom és gazdasági érték – mérhető a kapcsolatuk?
Új technológia és régi gondolkodás – változó mentalitás?

maze searchAz ITBusiness Club novemberi összejövetelének nagyon izgalmas és aktuális témája volt: a kiberbűnözés jelene és jövője. Két meghívottunk volt: Mérő László matematikus professzor, aki hosszú ideje kutatja és elemzi az emberi viselkedést; és Makay Kálmán a Symantec vezető rendszermérnöke. Már a bevezető is élő párbeszéddé alakult, majd a közönség bevonása után igazán pezsgő lett a hangulat.

Az egyik kiinduló pont a bizalom volt (Fukuyama könyve alapján). Az alaptétel az, hogy minél magasabb a bizalom szintje, annál fejlettebb az ország. A bizalom hiánya egy tipikus holtteher-költség, és veszteséget okoz. (Mi ez a holtteher-költség? Mérő példái: A túl nagy raktárkészlet költség az eladónak, de nem nyereség a vevőnek. A hiány költség a vevőnek, de nem haszon az eladónak. Hasonlóképpen, a bizalom hiánya is olyan költséget generál, pl.: a szerződés megírásakor, ami sem a vevőnek, sem az eladónak nem hoz extra bevételt.)

A bizalomra rímelt az a kérdés, hogy milyen beépített kiskapuk és szivárgások vannak az eszközeinkben, és azokat ki és mire használja. A gyártók és szolgáltatók hogyan használják fel azokat az információkat, amiket a „feleslegesen” beépített hardver és szoftver elemek segítségével összegyűjtenek? Csak üzletszerzésre használják a magunk és ismerőseink adatait, vagy másoknak is értékesítik? Az állami intézmények csak a terrorizmus elleni harcban használják, vagy gazdasági célokra is? Szét lehet ezeket egyáltalán választani? Hogy ítéljük meg Snowdent, a modern Rózsa Sándort?

Mi jut erről eszembe? A nagy IT-biztonsági cégek rengeteg információt tudnak összegyűjteni a támadásokról és az ügyfeleik rendszereiről. Ezek felhasználásával tudnak nekünk segíteni a védekezésben. Hogyan? Például statisztikákkal, amikből kijön, hogy mik a gyakori támadások és a legfontosabb elemei a védekezésnek. Ennél sokkal tovább is tudnak menni, ha mélyebbre ásnak az adatokban és azonnal felhasználják a rendelkezésre álló információt. Ha egy helyen összegyűlik sok-sok cég összes biztonsági rendszerének (tűzfal, vírusirtó, behatolás érzékelő) információja, azonnal és hatásosan tudnak segíteni a védekezésben (még mielőtt minket is elérnének a támadások). Hogy viszonyul ehhez az ügyfél? Szívesen adja ki sok-sok információját a „nagyobb jó” érdekében?

Mi a helyzet a védelem vs. támadás fronton? Itt is ugyanaz, mint a széfgyártók és a mackósok harcában: egyre jobb és erősebb a védelem, és előbb-utóbb feltörik. Amit ember titkosított, azt ember meg is fogja fejteni. Minden kód feltörhető, csak idő kérdése, és azt nevezzük feltörhetetlennek, amiről még nem tudjuk, hogyan – mondta Mérő. A Kasperskynek tulajdonított mondás szerint ez az egész csak azért működik, mert a vírusokat kontárok írják. Mi lesz, ha ügyesebbek lesznek?!?

Mennyire aggódjunk amiatt, hogy a hardver és a szoftver adatokat, információkat gyűjt rólunk és arról, amit használunk és csinálunk? Mennyire zavar ez minket? Mérő szerint túlzottan zavar minket, sokkal jobban, mint indokolt. A lehallgatás és megfigyelés nem csak a diktatúrák sajátossága – valójában az egész világ így működik. Az a legjobb, ha megtanulunk együtt élni vele! Szerinte most még nagyon korai következtetéseket levonnunk, mert még fiatal a technológia, nincs elegendő tapasztalatunk. Rajtunk múlik, hogy mi lesz belőle! Szemléletes volt a nagyvárosi mentalitásra hivatkozó példája (ami szintén hosszú idő alatt alakult ki). Ellentétben a kis településekkel, a nagy városban kevésbé követik egymás mozgását és cselekvését az emberek. Míg faluhelyen 50-60 kilométert is kell menni ahhoz, hogy ne legyen „szem előtt” az ember, a városban elég lehet két villamosmegállónyi utazás is.

Ehhez kapcsolódóan szóba került a mentalitás más vonatkozásban is: a nyugati, az orosz és a keleti mentalitás különbözősége. Egyik szemléletes példája a „szto gramm” elfogyasztásához kapcsolódott. (Szóvá tették orosz ismerősei, hogy ő apránként kortyolgatta, és nem egyszerre húzta le. Mérő azt válaszolta, hogy Európában mindenki úgy iszik, ahogy akar – amivel azt állította szembe, hogy Oroszországban viszont úgy, ahogy kell. Ha arra gondolok, hogy szóltak már rám azért, mert apránként kortyolgattam a felest, akkor érezzem magam Európa határvidékén ebben az értelemben? Nem lett belőle harag, megmagyaráztam, hogy szeretem kiélvezni a finom pálinka ízét.)

Visszatérve a mentalitások és gondolkodásmódok különbözőségére. Szintén Mérő említette, hogy a Pentagonban sok sakkmestert cseréltek le go mesterre. Miért? Egyre inkább a kínaiak lesznek az ellenfelek, és az ő gondolkozásukat nem a sakk, hanem a go játék alapján lehet megérteni. Az aji (味) fogalmával szemléltette a nagy különbséget. Az aji egy olyan jellegű előre gondolkodás, ami nem algoritmikus, nem stratégiát alakít ki, nem lépéseket tervez meg. Inkább a dolog ízét vagy utóízét jelenti, egy lehetséges kimenetet, ami vagy bejön, vagy nem – de gondolunk rá. Figyelni kell ezekre a mentalitásbeli különbségekre, hiszen egyre nagyobbak a kiberhadseregek (akár százezres is lehet a létszámuk)!

Mit lehet ellopni? Ellophatják az adatainkat, és felhasználhatják, még akár vissza is élhetnek velük (bár ez nálunk kevésbé működik, mint Amerikában). Ellophatják a cég információit, terveit, az ügyfelek adatait. Ellophatják az újság megjelenési formáját és a híreit. Ezeket meg kell szoknunk, mert megtörténnek, akármit is teszünk ellenük. (Ez nem azt jelenti, hogy ne védekezzünk, ne csökkentsük a kockázatot és a veszélyt! Csak arra ne számítsunk, hogy létezik a tökéletes védelem.) Mit nem tudnak ilyen egyszerűen ellopni? Azt, ami az agyunkban van, amitől az adatok és információk értelmet nyernek, ami nélkül nem lehet annyira hatékonyan felhasználni az adatokat, mint ahogy mi magunk tesszük. Az a miénk marad! Mérő szerint a cég adatainak megszerzése csak a probléma 5%-át jelenti, a maradék 95% a fontosabb.

Makay felvetette azt a kérdést, hogy vajon kire bízzuk az adatainkat. Nagyon sok új felhő szolgáltatás jelenik meg nap mint nap. Ezek gyakran kis, új cégek, startupok, múlt nélkül – és az esetek egy részében jövő nélkül. Amikor a cég eltűnik a süllyesztőben, az adataink hova kerülnek? Nem tudjuk. Arra számíthatunk, hogy nem fogják gondosan kezelni a megszűnt cég által tárolt adatokat…

Kedves Olvasó! Megpróbáltad már összeszedni, hogy mit tárolnak rólad és hány helyen? Nekem nehéz lenne egy tuti teljes listát összeállítanom…

Mérő szerint nem a kódok versenyfutásában van a lényeg, nem ezen múlnak a dolgok, hanem az attitűdjeinken, amik nem kiszámíthatók. Meg fog változni, hogy mi zavar minket és mi nem. Szerintem a változás már meg is kezdődött – nézzünk csak körül, hogy mennyi személyes információt teszünk közzé magunkról önként! (Azt jó lenne tudatosítanunk, hogy ezzel milyen veszélyeknek tesszük ki magunkat – mondom én, de mit gondolnak erről a nálam fiatalabb generációk? Én, mindenesetre, folytatom ezt a tudatosítási tevékenységemet. Valami pici haszna csak van…)

Nos, mi van a kockázattal? Megpróbáljuk megérteni, majd mérlegeljük. Meg tudjuk valóban érteni ezeket a kockázatokat? Általában nem tudjuk az IT-biztonsági kockázatokat kezelni, mert nem is vagyunk tisztában velük – merült fel a vita során. Mérő azzal lepett meg minket, hogy nem is kell ismernünk a rendszerek működését (példának olyan mindennapi berendezéseket hozott fel, amiket használunk, pedig nem értjük a működésüket, mint pl.: wc-lehúzó és karburátor).

Makay az autók legújabb kockázatait kapcsolta ide. Az újakban már mindent elektronika vezérel, nincs mechanikus kapcsolat a kormánykerék és a kormánymű között sem. Vajon hogy működnek a szoftverfrissítések? Tudjuk ellenőrizni őket? Tehetünk vírusvédelmet az autóba? Nem, az egy teljesen zárt rendszer, nem tudunk extra védelmet telepíteni – teljesen meg kell bíznunk a gyártóban és a karbantartókban, valamint az informatikai rendszereikben (amik nem feltörhetetlenek).

Hozzászólók feszegették a kritikus rendszerek (pl.: energia és egyéb közművek) biztonságát, valamint az adatainkat tároló állami rendszerek védelmét. Ezeknek a témáknak a részletei nem fértek bele az összejövetel megszabott időkeretébe. Hasonló sorsra jutott a kémkedés „jogának” témája és a „ki őrzi az őrzőt?” kérdés is. Mi van akkor, amikor a szabályok ellentmondanak egymásnak?

Ha mindenki elmondta volna az összes kérdését, és mind megvitattuk volna, még órákig tartott volna az összejövetel. Nem lennék meglepve, ha hamarosan újra terítékre kerülne a biztonság témája…

Megértve a hozzáállás és a mentalitás fontosságát, továbbra is azt gondolom, hogy az odafigyelés is fontos, és érdemes ésszerű védelmi intézkedéseket tennünk. Mi az ésszerű? Ha ezt így egyből meg tudnám mondani, akkor nagyon okos lennék. Inkább csak keresem

Mit gondolsz erről az egészről Kedves Olvasó? Zavar, hogy mindenki gyűjti az adatainkat?

Halászgatunk? Horogra akadunk?

Itt a nyár, ugye mindenki észrevette már? Most kicsit hűvösebb, de így is tökéletes a vízparti pihenésre, időtöltésre – közte a horgászatra. Nos: nem a horgászatról fogok írni, pontosabban: nem arról a formájáról, amihez horgászbot, csali, víz és hal kell.

yay-4852596

Ismerős az „adathalászat” (angolul phishing) kifejezés? Tömören megfogalmazva, arról van szó, hogy kisebb-nagyobb átverések és megtévesztések útján a rossz fiúk megszerzik fontos adatainkat. Ezt nem kíváncsiságból teszik, hanem haszonszerzés reményében. Többnyire a bankszámlánkhoz igyekeznek hozzáférni.

Ha mélyebben érdekel, javaslom az angol nyelvű Wikipédia cikk elolvasását (a magyar nyelvű hiányos és pontatlan). Az angol viszont nagyon szakszerű, hosszú és nehezen olvasható.

Miről akarok írni? Az adathalászatról, az ellene való védekezésről – kifejezetten nem szakembereknek. Remélem, sikerül, mert szerintem fontos a téma és kevés a közérthető információ.

Kezdjük egy nagyon rövid összefoglalóval arról, hogy mi is történik, hogyan halásszák az adatainkat. A tipikus és triviális módszer egy email, ami hasonlít egy bank, biztosító, üzlet vagy hatóság leveléhez, van benne egy-két link, de azok nem az eredeti helyre visznek el, hanem egy ahhoz hasonlóra. Ott, azután, adatokat kérnek, pl.: jelszót, számlaszámot. Ez ellen a legegyszerűbb védekezés az, ha nem klikkelünk semmire, ami levélben jött. Írjuk be szépen a bank, a biztosító, stb. weblapjának a címét! Apró kényelmetlenség, de megéri.

Adathalászat lehet a háttérben akkor is, amikor nagyszerű és érdekes képeket és videókat ajánlanak, és csak egy FB like-ot kérnek cserébe. Hipp-hopp, máris tudnak rólam egy keveset, és indulhatnak további adatokért. A legtöbb esetben nem csak a like kell, hanem még kattintani kell egyet a lejátszásért. Na, akkor fut le valami a gépemen. Ó, biztos nincs benne semmi rossz, csak egy kis adatgyűjtés. Sose tudjuk meg, hogy mire és hogyan használták fel! A legtöbb esetben tényleg csak marketing céljára kell, vagy egyszerűen eladják. Minden személyes adat pénzt ér!

Nemrégiben olvastam egy érdekes esetről, amiben az adatgyűjtés több módszere jelent meg. A teljes leírás (hosszú és angolul van) a ZDNet-en található. Leírom tömörítve, mert érdekes és tanulságos.

Két brit, akik az USA-ban élnek és felületesen ismerik egymást fogadott (hiszen britek). Az egyiknek hozzá kellett jutnia a másik bankszámlájához. Mit tudott kiindulásul? A keresztnevét, a cégcsoportot, ahol dolgozik és az államot, ahol él. Nem valami sok, de gyorsan több lett. Hogyan?

  • A szokásos indulás: Google keresés. Eredménye: a LinkedIn profilja, ebből meglett a vezetékneve, munkahelye, a beosztása, sok egyéb adata és a Twitter profilja.
  • Twitter nézelődés: itt helyeket keresett, hogy megtudja a címét. A célszemély sokat utazott, fényképezett, a feltöltött fényképekben ott volt a GPS információ. Végül talált egyet abból az államból, ahol lakik, és ez éppen a háza volt. Google segítségével meglett a pontos címe, sőt egy utcaképen a bejárati ajtó is látszott.
  • Ez eddig fél óra volt, és már lehetett is sokkolni az illetőt a pontos címével és az ajtaja színével.
  • Egy kis további keresgélés után, amiben a Twitter mellett a Facebook is segített (sok információ nyilvános volt), megvolt a felesége és a gyereke neve, a saját születésnapja és a gyereküké, a házassági évfordulójuk napja. Ezek hasznos adatok lehetnek, hiszen előfordulhatnak a telefonos banki azonosítás kérdései között.
  • Kellett még a születési éve, ezt háromórányi próbálgatással megszerezte, mert a személyes email címe a keresztneve + a vezetéknév első betűje + az év utolsó két számjegye volt. Csak találgatni kellett… Na, meg kellett hozzá az, hogy a Facebooktól megtudja az email cím hosszát és pár betűjét.
  • Ha már megvolt a gmail címe, bejutott a postafiókjába is, mert az ellenőrző kérdésre korábban megszerezte a választ a sok személyes adat között.
  • Következő célpont: telefonszám. Hogyan? Na, itt jött egy kis klasszikus adathalászat. Létrehozott egy jól hangzó email címet, és ajánlatkérő levelet írt a céges email címére. Hamarosan kapott is választ, és a levél végén ott volt az áldozat mobil száma is (ezt tipikusan beleírjuk a szabványos céges aláírásunkba).

Hol tartunk most? Teljes neve, születési dátuma, feleség és gyerek neve, gyerek születésnapja, házassági évforduló, pontos lakcím, céges és személyes email, Facebook és Google adatok tömkelege, munkahelyi adatok a LinkedIn-ről, telefonszám. Ez már könnyen elég lehet egy telefonos banki ügyintézővel való beszélgetés során.

Ezen a ponton beszélték meg, hogy abbahagyja.

Tegyük hozzá, hogy nem hacker, nem IT biztonsági szakember, hanem egy IT-s újságíró volt a „tettes”, és nem használt semmilyen különleges eszközt, újságírói információs csatornáit sem. Egyszerűen csak keresgélt, próbálgatott, gondolkozott, kombinált és írt egy megtévesztő levelet. Azok, akik ebből élnek, sokkal gyorsabban és sokkal több adatot tudnak begyűjteni.

A történetből látszik, hogy a célszemélynek nagyon fontos szerepe van egy ilyen adatgyűjtésben, és egy-két apró kis figyelmetlenség is sikerre segítheti a célzott támadást. Ne gondoljuk azt, hogy reménytelen a helyzetünk! Nem kell nagy trükköket bevetni annak érdekében, hogy az itt leírt módszerek ne működjenek!

Megnyugtatásul: ritka a célzott támadás, általában csak „halászgatnak” a nagyvilágban, és igyekeznek sok halat fogni. Az ilyen halászok ellen viszonylag jól lehet védekezni. Azt nem állítom, hogy a teljes védelem lehetséges, de sokat tehetünk a saját érdekünkben.

Folytatom majd egyszerűen követhető tanácsokkal…

Addig is: érdekel, hogy mi foglalkoztat a saját informatikai biztonságoddal kapcsolatban, Kedves Olvasó!