Az információbiztonságról általánosságban I.

Ezen írásban próbáltam általánosan körüljárni a témát, mielőtt technológiák tömkelegéről esne szó. Kicsit hosszúra sikeredett az írás, így két részre szedve fog megjelenni. Az egyes témák között éles váltások tapasztalhatóak, az egyetlen közös pont sok esetben csak az, hogy az infromációbiztonsághoz köthetőek.

Információbiztonság a filmekben

Adott egy adag mindenre elszánt bűnöző csoport, akik életük legnagyobb fogását egy széfrablással akarják kivitelezni. Ha hollywoodi forgatókönyvíróként gondolkozunk, akkor kell egy pár száz kiló lövöldözést/robbantást hozzáadnunk a koktélhoz, meg egy Superman-szintű hackert, aki 5 másodperc alatt megtöri a széf zárkombinációját, feltöri a szép lány Facebook fiókját csupán a nézésével, és még sorolhatnám az abszurdumokat. De ennyi bőven elég volt szerintem ahhoz, hogy tudjon mindenki mondani egy hasonló kaliberű jelenetet filmekből, sorozatokból.

Sok esetben annyira fájóan unrealisztikus az adott jelenet, hogy az már fizikai fájdalmat okoz, a témához egy kicsit is értő embernek. A hollywoodi forgatókönyvíróknak abban igazuk van, hogy nincs feltörhetetlen kódolás, nincs megfejthetetlen jelszó, és nem lehet minden ellen védekezni. A fontos tényt azonban szándékosan mellőzik a filmből, ami az idő kérdése. Ha valós időben mutatnának be ilyen jeleneteket, akkor a film hetekig, hónapokig, vagy akár évekig tartana.

A tanulság csak annyi, hogy a valódi világ köszönő viszonyban sincs a  filmes világgal.

Hacker, Cracker, script kid egyáltalán mi ez?

A másik általános hiba, amit a filmek számlájára lehet írni, hogy a többség nincs tisztában a két fogalom jelentésével.

A filmekben minden rosszfiú, aki számítógépet használ eszközként a bűn elkövetéshez az hacker. Ez kb. annyira életszagú, mintha minden baltával gyilkolót favágónak neveznénk. A hacker szó egy olyan emberre használható, aki az informatika egy vagy több bizonyos területén az átlag felettinél jóval nagyobb tudással rendelkezik és ezt kihasználva alkot. Ez az alkotás lehet éppen valamilyen elektronikai berendezés tervezése vagy csak egy szoftver fejlesztése, vagy akár rendszerek biztonságának tesztelése.

Ha éppen valaki rendszerek biztonságát teszteli, vagy sikeresen feltör egy rendszert, attól még nem feltétlen követ el bűnt. Ha feltöri a rendszert és szól a rendszer üzemeltetőjének, hogy mik a gyenge pontok, akkor etikus, angol kifejezéssel White Hat Hacker-ről beszélünk. Ha viszont vagyonszerzés, vagy egyéb haszonszerzés céljából teszi ezt, akkor a Black Hat Hacker kifejezés a helytálló.

A hack szó olyan tevékenység leírására is használható, mikor egy meglévő rendszert tovább bővítünk, vagy ráveszünk olyan dolgokra, amire a termék gyártójától nem feltétlen kaptunk engedélyt. Ez eléggé jogi szövegnek hangzik, de vegyünk egy könnyen érthető példát. Bemegyünk a boltba és veszünk egy spagetti szósz alapot, amin van egy ajánlott elkészítési eljárás. Ha az elkészítési eljárásban nincs benne az, hogy a spagetti alapot nokedlivel tálaljuk, de mégis megtesszük, akkor mondhatjuk, hogy hekkeltünk. És akár nevezhetjük magunkat hackernek is, mivel mi csináltuk, nem pedig a szomszéd.

A cracker egy olyan személy, aki rendszereket tör fel. Itt is a feltörés okától függ a cselekedet megítélése. Ha saját magam török ki az általam vásárolt termékből egy gyártói limitációt, azonban ezt nem osztom meg mással, akkor nem feltétlen követtem el rosszat. A feltételes mód a licenc szerződésekből következik, amit az esetek 99,9 százalékában nem olvasunk el. Ebből adódóan általános, hogy a crackerek nem osztanak meg információt arról, hogy mit hogyan csinálnak. Ez egy olyan területe az informatikának amit nem lehet megtanulni iskola padban, ezt tapasztalati úton kell összeszedni.

A script kid egy olyan személy, aki sekélyes tudással rendelkezik a témában, de a hozzá nem értőknek 6000 wattos neon reklámokkal hirdeti, hogy ő mekkora hacker, mert egy más hacker által írt program/leírás segítségével képes valamit összehozni. Ez informatikai körökben igencsak degradáló kifejezés, ez azonban nem jelenti azt, hogy a nagyobb tudású emberek lenézik az átlag felhasználókat. Itt az arcoskodás a lényeg, amit az informatika ezen a területén mozgó emberek nem igen szeretnek.

Az idő kérdése

Mint említettem, nincs feltörhetetlen rendszer. Csupán az idő a kérdés. Információbiztonsági szempontból nézve létezik a “belátható időn belül” , illetve a “feltétlenül biztos rendszer” fogalma.

Belátható időnek nagyjából egy emberöltőt nevezünk. Vagyis egy rendszer belátható időn belül feltörhető, ha annyi gépi erőforrás és idő áll rendelkezésedre, hogy egy rendszerhez nagyjából 75 éven belül hozzáférést tudsz szerezni. A jelenleg használt titkosító algoritmusok többsége megfelelő alkalmazás mellett belátható időn belül nem törhető fel, az algoritmus hibájából adódóan. Persze számos faktor közbejátszik abban, hogy mégis vannak olyan rendszerek, amelyek pár óra, pár hét, vagy pár év alatt feltörhetőek. A legjobban közbejátszó tényező maga az ember. De erről majd egy külön cikkben lesz szó.

Feltétlenül biztos egy olyan rendszer, amely esetén teljesen mindegy, hogy mennyi ideje és erőforrása van a támadónak, a kulcs hiányában nem fogja tudni feltörni a rendszert. Elég futurisztikusan hangzik ez, de létezik ilyen titkosítási algoritmus, és használják is. Az algoritmusról és problémáiról egy későbbi írásban részletesen lesz szó.

Az adatvédelem, mint egy játék

Ha az adatvédelmet játéknak tekintjük, akkor elmondhatjuk róla, hogy két játékos játssza. A védő és a támadó. A játék során a védő bármit is tesz, veszíteni fog. Kérdés az, hogy mennyit. Elég rossz/unalmas játéknak hangzik, sőt hihetetlen is lehet. Viszont gondoljunk csak bele egy egyszerű életbeli példával. A lakásunkra általában szerelünk ajtót, abba venni kell zárat. Ez jelentsen X költséget, ami a szó szoros értelmében véve sosem fog profitot termelni. Viszont ez nem jelenti azt, hogy felesleges kiadás lenne.

Mivel ha nem lenne ajtó, vagy nem lenne zár, akkor sokkal nagyobb valószínűséggel törnének be hozzánk, ami természetesen sokkal nagyobb veszteséget okozna, mint X költség. Itt persze csak valószínűségről beszélhetünk, mivel X költség kiadása az ajtóra még nem jelenti azt, hogy sosem fognak hozzánk betörni. Cél az, hogy minimalizáljuk a kockázatokat, ami hosszútávon és rövidtávon is szükséges ahhoz, hogy magabiztos életet tudjunk élni.

Gondoljunk csak bele. Milyen élet lenne az, ahol minden nap arra jönnénk haza a munkából, hogy már megint kiraboltak. Hosszútávon biztos nem bírná senki sem.

Miért fontosak az adataim?

Leginkább azért, mert az Interneten a digitális lábnyomunk adatokkal fejezhető ki, amelyek vagy közvetetten, vagy közvetlenül kapcsolódnak hozzánk. Ezen adatok értéke kontextustól és a felhasználás módjától függ. Egy reklámszolgáltató szempontjából például elég sokat érhet az, ha tudja rólunk, hogy oda vagyunk az autókért, viszont nem szeretjük a csokit. Ezen adat ismeretében olyan hirdetéseket tud megjeleníteni számunkra, amik autókhoz kapcsolódnak és még véletlenül sem a csokihoz. Ebben az esetben jóval nagyobb eséllyel kattint rá a célszemély a hirdetésre, mintha egy számára érdektelen témáról tennénk ki hirdetéseket.

Ezen adatokat természetesen meg kell szerezni valahogy, ki kell következtetni. Ehhez nem kell hackernek lenni, csupán ki kell találni egy olyan rendszert, amit kellően sokan fognak használni és rengeteg adatmennyiség folyik át a rendszeren. A legjobb megoldás, ha e-mailt és/vagy közösségi szolgáltatásokat nyújtunk ingyen. Persze a felhasználási feltételekbe a jogszerűség miatt ezt bele kell írni, de a felhasználók 0.01%-a se olvassa végig a hosszú jogi szöveget. Szerintem minden internetező tud mondani két céget, akik konkrétan konkurencia hiányában ilyen rendszert üzemeltetnek és gyakorlatilag a mi adatainkkal kereskednek. Legyen az akár egy süti recept, vagy szigorúan bizalmas találmány ötlet. Az adat az érték, ők meg meg fogják rá találni a vevőt, aki kellően sokat fizet érte.

Persze mondhatnánk, hogy bizalmas adatokat úgy sem adunk meg mindenkinek. A valóság azonban az, hogy csupán kreatívnak kell lenni és ámulhat az ember, hogy mennyire nem törődnek az adataik védelmével az emberek. Ezt egy példán keresztül szemléltetném, ami nem is oly rég (1-2 éve) végig tarolta a magyar Facebook-ot.

Az alapötlet az, hogy kell egy olyan alkalmazás ötlet, amit relatíve közel 0 munkával össze lehet rakni. Legyen ez az ötlet az, hogy ha rákattint az ember egy gombra, akkor megtudhatja, hogy mi az indián neve. Mondhatni 0 erőfeszítés egy ilyet leprogramozni, mégis kellően sokan fogják használni. Most már csak pénzt kellene belőle csinálni. Ezt tegyük meg úgy, hogy az alkalmazás futtatásához kérjük el a felhasználó személyes adatait, amit a Facebook rendszer tárol. Igen kérni kell, ez egy felugró ablakban történik meg az alkalmazás első futtatása előtt, de úgyse sokan nézik, szóval nem jelent komoly problémát, mivel úgyis át fogja ugorni a kíváncsiság miatt a gyanútlan felhasználó. Az adatokat az alkalmazás a háttérben meg feltölti egy szerverre, ahol majd kezdünk vele valamit. Mondjuk eladjuk a megszerzett e-mail címeket. Ha mondjuk 100 ezer ember futtatja az alkalmazást és e-mail címenként 1ft árral számolunk, akkor van 100 ezer forintunk, ami 3-4 óra munka befektetése mellett nettó 25 ezer forintos órabért jelent, ami azért nem rossz, figyelembe véve azt, hogy a jelenlegi minimálbér órabérben kifejezve csupán 584Ft.

Ez persze csak egy példa, lehetne számos hasonló, vagy jobb példát említeni. A példa kapcsán persze felmerülhet, hogy ez nem is annyira törvényes. Pedig lepapírozható, illetve megoldható, hogy ne lehessen vele jogilag mit kezdeni, de ez már más téma.

Lényeg az, hogy mindenkinek van olyan adata, ami a pénzé tehető, vagy a későbbiekben felhasználható ellene. A probléma ellen lehet védekezni szoftveresen, technológiák tömkelegével, de figyelembe kell venni azt, hogy a számítógépünk a legokosabb hülye a világon, aki a saját hülyeségünktől nem tud megvédeni. Az egyetlen egy megelőzési módszer az, ha körültekintőek vagyunk.

Addware, spyware, malware, trójai és vírus

A kártékony programokat a kártékonyság kategóriájától függően más néven nevezzük, nem mondhatjuk rájuk egyszerűen, hogy vírusok. És hogy miért nem? Mert ki venne meg egy olyan terméket, amit XY’s Antivirus néven forgalmazunk, ha a konkurencia YX Security center szavakkal illeti a termékét. A kérdés költői volt, de kb. ez a fő mozgató rugó. Na de nézzük meg sorra, hogy mit is csinálnak ezek a kártékony programok.

Az addware programok általában más programokkal együtt kerülnek fel a gépekre, úgymond hozadékként. Ezen programok azt teszik, hogy reklámokkal bombáznak szét minket a böngészőkben megjelenő reklámokon kívül. Azon kívül, hogy idegesítőek és ha sok ilyen van a gépen, akkor ellehetetlenítik a gép használatát, nagyobb kárt nem csinálnak. Általában egyszerűen eltávolíthatóak a vezérlőpult vagy a böngésző bővítménykezelője által.

A Spyware programok kémkednek utánunk. A kémkedésbe beletartozhat a leütött billentyűk megjegyzése, a látogatott oldalak listája, vagy akár a webkamera képének rögzítése is. Ezen adatokkal, hogy aztán mit kezd a kémprogram üzemeltetője, az már rajta múlik.

A trójai programok a megtévesztő programok, vagyis olyan programok, amelyek az eredeti használati funkciójukon kívül hordoznak magukban egy kis “ajándékot” a felhasználónak. Ilyen programokkal könnyen találkozhat az ember, ha mondjuk fizetős programokhoz keres törést, amivel ingyenesen használhatóak lesznek.

A malware egy összefoglaló név a rosszindulatú szoftverekre, így definícióból adódóan az eddig felsorolt kategóriák ide sorolhatóak.

A vírusok mindegyike besorolható a malware kategóriába, viszont nem minden malware vírus. Egy rosszindulatú program attól lesz vírus, hogy a felhasználói közbeavatkozás nélkül szaporodik és más gépeket fertőz le.

Az egyes szoftver kategóriák között elég nehéz meghúzni a határt, mivel nem önszántából telepít a felhasználók többsége rosszindulatú szoftvereket, ebből adódóan nem találkozhatunk olyan szoftverekkel az szoftver áruházakban, hogy letörlöm az adataidat 2014 pro és társai. Ezen szoftverek ellen lehet és kell is védekezni program segítségével és józan ésszel. A kettő csak együtt működik hatásosan. Egyik hiányában nem garantálható a teljes védelem. Sőt, a kettő megléte esetén is megvan a kockázati faktor, csak nem éppen akkora.