Hackerek a hálón: Egy a jelszónk

Számítógépes kalózok legtitkoltabb adatainkat is kifürkészik a világhálón keresztül. A reklám után.

Sváby András, TV 2, Tények

Ahogy a különböző incidensek egyre gyakrabban kerülnek a címlapokra, olyan érzésünk támadhat, hogy az internet egyre kevésbé biztonságos. Ez nem igaz, de hogy megértsük, miért, meg kell ismerkednünk a számítógépes biztonság alapjaival. A számítógépes biztonság három részből, fizikai, adminisztratív és algoritmikus védelemből áll.

A fizikai védelem ritkán kerül említésre, pedig tudjuk, hogy amint a peres eljárások helyett is egyszerűbb pár kigyúrt segéderővel lerúgatni üzletfelünk veséjét, ugyanúgy mindenféle hackerkedés helyett

a kiszemelt számítógépet a rajta tárolt adatokkal együtt. A legtöbb esetben az akció nem ilyen drasztikus, általában csak a diszket lopják ki a gépből, de van olyan, hogy fűtésszerelőnek álcázva férnek hozzá a géphez, és az érdekesebb adatokat áttöltik egy laptopra. Ha valaki fizikailag hozzáfér a számítógéphez vagy az adathordozóhoz, akkor nyert ügye van. Szerencsére az informatikai eszközök elég értékesek ahhoz, hogy érdemes legyen zárt szobában tartani őket, így a legtöbb helyen automatikusan van valamilyen szintű fizikai védelem. Azt viszont ritkán veszik figyelembe, hogy az információ sokszor nagyságrendekkel nagyobb értéket képvisel, mint az eszköz, ami feldolgozza. Így előfordulhat, hogy a szerver és a könyvelő kisasszony ugyan egyenként be van zárva saját szobájába, a kettőt összekötő kábel viszont a folyosón megy, és a konkurens cég által felbérelt hacker vígan leszedi róla az érdekességeket. A védelem e komponense nem kimondottan informatikai feladat, nélküle mégsem lehet teljes megoldást találni.

Az adminisztratív védelem még cifrább, ezért - hasonlóan a fejlett demokráciák törvényhozásához - a legnagyobb hiányosságok és a legügyesebb szabálymegkerülések is itt fordulnak elő. Felmérések tanúsága szerint az adatbiztonsági incidensek kilencven százalékát megfelelő biztonsági politikával, mindennemű extra titkosítás vagy háromszoros tűzfal nélkül meg lehetett volna előzni. Röviden és velősen: szabályozni kell, hogy ki mihez és hogyan férhet hozzá a rendszerben. Ideális esetben ez úgy történik, hogy az adott rendszert és környezetét felmérik, majd elkészítik a biztonsági szabályzatot. Ebben olyasmik vannak leírva, hogy "a könyvelési rendszer számítógépének adminisztrátori jelszava legalább 12 betűből álljon, és havonta vagy az adminisztrátori személyzetben beállt változás esetén azonnal cserélni kell", vagy "az ügyfél-nyilvántartási rendszer nem lehet közvetlen kapcsolatban internetre kötött géppel", illetve hogy "sajtótájékoztatón nem osztjuk ki a titkos ügynökök nevét".

Sajnos alapvető ellentétek vannak a biztonság és a használhatóság között, hiszen a megfelelő védelem feltételezi azt, hogy bizonyos korlátozásokat be kell tartani. Ezt a felhasználók nehezen viselik el, így nem ritkák azok az esetek, hogy Post-itre felírt jelszó csüng a monitor oldalán, vagy a vállalkozás összes dolgozójának kiadják az adminisztrátori passwordöt, hogy úgymond hatékonyan cselekedhessen, ha valami probléma adódik. Nemrégiben az egyik jeles hazai brókercégnél a főnök elárulta beosztottjának saját jelszavát a kereskedelmi rendszerhez, hogy gyorsan tudjon lépni. Nos, a hatékonyság valóban megnőtt, a delikvensnek pikk-pakk sikerült néhány százmillióval megrövidítenie a céget.

A jelszóügyben elkövethető hülyeségek közül valószínűleg a Windows 98 viszi a pálmát, ugyanis úton-útfélen felajálja a jelszó megjegyzését, hogy később ne kelljen újra begépelni. A felhasználók persze csak addig örülnek - nem kell pötyögni -, amíg egyszer le nem ül valaki fél percre a gépük elé, hogy a megjegyzett jelszavakkal távozzon. Harcedzettebb rendszergazdák az

örökbecsű jelszavát hangoztatják ilyenkor, de sajnos a piac nagy úr, ha a vevő szívni akar a pénzéért, akkor alaposan meg kell szívatni. Ennek eredménye volt az a közelmúltban történt eset, amikor kiderült, hogy a 3Com, az egyik legnagyobb, hálózati eszközöket gyártó cég jó néhány berendezésében van gyárilag egy "titkos" jelszó, amelynek birtokában a legmagasabb jogosultságokkal nyúlhatunk bele a kütyübe. Ez persze akkor sem maradt volna sokáig titokban, ha maga Kövér László titkosítja száz évre, hát még úgy, hogy a jelszó célja az volt, hogy ha a T. ügyfél elfelejti saját jelszavát, és balhézik, akkor az ügyfélszolgálat a neten keresztül be tudjon lépni az eszközbe. Mindenesetre a 3Com - a hálózati világ hangos kacaja közepette - gyorsan kiadta a szoftverfrissítést, amelyben már nem volt meg ez a praktikus, ám hihetetlenül veszélyes hátsó ajtó.

A lényeg, hogy az adminisztratív védelem igen bonyolult terület, az itt felállított szabályokat csak olyan eszközökkel lehet hatékonyan betartatni, amelyek jogállamban nem igazán elegánsak, de természetesen nem ez az oka, hogy viszonylag kevés hír érkezik sikeres hackelésekről Afganisztánból vagy Észak-Koreából. Hátravan még ugyanis a harmadik védelmi ág, az algoritmikus védelem. Ez némileg elnagyolva azt jelenti, hogy amit nem tudunk páncélszekrénybe zárni, nem tudunk megtiltani, azt titkosítjuk. Sok jól működő titkosítási eljárás létezik,

mégis az internetes biztonság egyik legproblematikusabb pontja. Számtalan kísérlet igazolta, hogy egy egész sor, széles körben használt eljárás nem feltörhetetlen. Ezen a téren azonban változások lesznek két lényeges okból kifolyólag: az amerikai kormányzat feloldotta a kriptográfiai eljárásokra vonatkozó exportkorlátozást, és lejárnak az RSA Data Security cég szabadalmai.

Az első azért lényeges, mert ezentúl amerikai szoftvercégek is exportálhatnak erős kriptográfiával ellátott termékeket, és nem kell a külföldi piacra lebutított, tehát feltörhető programrendszereket szállítani. Ez jelentős előrelépés, ugyanis az USA eddig makacsul tartotta magát a kriptográfia kiviteli tilalmához, amellyel nem ért el semmit, viszont jelentős károkat okozott az amerikai szoftvergyártóknak, és jelentős előnyöket más országoknak, ahonnan legálisan ki lehetett elégíteni a nem amerikai piac titkosítási igényeit. Az RSA-szabadalmak lejárta pedig azért fontos, mert ezek az interneten leghatékonyabban használható nyilvános kulcsú titkosításra vonatkoznak. Amint a technológia teljesen felszabadul, még szélesebb körben el fog terjedni.

Egy rendszer esetében csak akkor beszélhetünk biztonságról, ha mindhárom említett terület megfelelően ki van dolgozva, és összhangban van egymással. Ez ritkán sikerül tökéletesen, így továbbra is számíthatunk

sikeres tevékenykedésére. Szkeptikusok szerint a hálózatbiztonság úgy fokozódik, mint a viccbeli albán traktorgyártás, és ebben van egy kis igazság - öt évvel ezelőtt gyakorlatilag nem létezett komoly biztonság a hálózaton, mivel az egyetemi szféra játszóterén nem volt rá igény. Azóta romlott és javult is a helyzet. Növeli a biztonsági kockázatot, hogy a robbanásszerűen növekvő felhasználói tábor nagy része nem informatikai szakértők köréből került ki: korábban a biztonságot sokszor arra alapozták, hogy a gép tulajdonosa tudja, mit csinál - a ma átlagosnak mondható felhasználó viszont hajmeresztő dolgokra képes. Ezt ellensúlyozza a piac egyre növekvő igénye a biztonságra. A profitszférában hálózatot üzemeltetők - gyakran saját kárukon okulva - egyre komolyabban veszik ezeket a kérdéseket. Betörések természetesen mindig is voltak és továbbra is lesznek, de nyugodtan kijelenthetjük, hogy a hálózat egyre biztonságosabb. Két év múlva senki nem fogja az internetet megbízhatatlanabbnak tekinteni, mint a telefont vagy a sarki bankfiókot. Az újságírók pedig addigra megtanulnak valami mást.

Szigeti Szabolcs

(szigi [at] ik [dot] bme [dot] hu)

Alapvetően háromféle számítógépes betörő létezik: a kezdő, a haladó és a hivatásos. A kezdő hackerek most ismerkednek a módszerekkel, legtöbbjük később kinövi a hackinget. Tudásukat legtöbbször olyan helyekről szerzik, mint például a www.rootshell.com, ahol kész receptek vannak egyes rendszerek feltörésére. Természetesen egy magára valamit is adó rendszergazdi hamarabb olvassa az újabb módszereket, és mire az ifjú kolléga betörne, a lyuk már be van foltozva, az sysadminok pedig jót szórakoznak a hiábavaló próbálkozásokon. A haladó hacker viszont komoly tudással rendelkezik: egy olyan betöréshez, amely nem másolása egy ismert módszernek, rendkívüli szaktudásra van szükség. Legyen kezdő vagy haladó egy hacker, rendszerint azért tör be rendszerekbe, mert be tud, de a bizonyításon kívül a közvetlen károkozás általában nem célja - a közvetett károk viszont így is jelentősek lehetnek. A hivatásos hackerek kasztja egészen más: feltűnést kerülő tevékenységük célja lehet sima anyagi haszonszerzés, mint egy bank rendszerének megtörése vagy ipari kémkedés, de történhet akár nemzetbiztonsági célból is. Különösen nevezetes szervezet az amerikai nemzetbiztonsági hivatal, az NSA, ahol az egy négyzetméterre eső matematikusok és számítógépek száma a világon feltehetően a legnagyobb.

Minden kezdő politikus tudja, hogy az információ hatalom. Nincs ez másként hackeréknél sem - az első feladat, hogy mindent megtudjunk a feltörendő rendszerről. Viszonylag egyszerű eszközökkel is meg lehet állapítani, hogy milyen operációs rendszer fut a megtámadott gépen, milyen szolgáltatások érhetők el s a többi. Ez információval szolgál, hogy milyen módszerekkel kezdhetünk a töréshez. Egy jól felépített rendszer minél kevesebb dolgot árul el magáról - és ez nem csupán a számítógépekre vonatkozik. A biztonsági szabályzatban elő lehet írni például azt, hogy a felhasználók nem választhatnak maguknak jelszóként értelmes szavakat, pláne nem feleségük keresztnevét. Volt már példa arra, hogy hackerek szociológia szakos hallgatónak adták ki magukat, és egy vállalat előcsarnokában "felmérést" készítettek a családtagok és a kedvenc háziállatok elnevezéséről - meglehetősen sok egyezés volt az így kapott lista és a helyes jelszavak közt. Kedvelt eljárás a jelszólehallgatás (sniffelés) is - a kalóz egyszerűen lehallgatja a hálózatot, és megszerzi az ott közlekedő jelszavakat. Ehhez előzőleg persze be kell jutni egy, az adott hálózatra közvetlenül kapcsoló gépre, de mindenütt vannak kevésbé védett szerverek. Ugyancsak kedvelt módszer a "trójai" programok használata: a célszemélyt valahogy rávesszük, hogy futasson le egy programot - például elküldjük neki e-mailben -, amely futása közben rejtett gonoszságokat tesz, hátsó bejáratot épít a rendszerbe, ellopja a jelszavakat vagy egyszerűen kárt okoz. Így terjed többek között a hírhedt Melissa vírus vagy az egyik legerősebb Windows-törő eszköz, a Back Orifice (BO). Ezekre a programokra néhány órás böngészéssel bárki rábukkanhat a weben, de az ellenük védelmet nyújtó szoftverek is széles körben hozzáférhetők. Ha valaki fel tud rakni egy BO-t, legfeljebb a Tényekben nevezik hackernek.