Hogyan tévesztenek meg minket az interneten?

Rajive Kapoor

A hackelés, adatcsalás és az elektronikus visszaélések mára már életünk szerves részét képezik, állította Rajive Kapoor, a cyberbűnözésel foglalkozó nemzetközi SSR-i csoport igazgatója az Ethical Hacking konferencia nyitóelőadásában. A NetAcademia által szervezett esemény több száz informatikai biztonsági szakember jelenlétével az első olyan hazai találkozó, amely a CEH etikus hacker besorolásával bíró szakembereket, illetve a téma iránt érdeklődőket látja el a lehető legfrisebb releváns információkkal. Olyan előadások is elhangzottak, amelyek a nagyközönség számára érthetőek és egyben riasztóak is: a végső konklúzió ugyanis az, hogy biztonságos rendszer nem létezik - igaz, ezt a biztonsági szakemberek eddig is tudták.

Az internet mai legnagyobb üzleti vállalkozása kétségkívül a pornó; ezek után a szerencsejátékok következnek, meglepő módon azonban a weboldalak zsarolása és a védelmi pénzek követelése számít a harmadik legjövedelmezőbb internetes kereseti forrásnak, mondta Kapoor. A hackelésből mára globális üzletág lett, fejtegette, az egyes akciók pedig masszív keretek között zajlanak: utazási, hobbi- vagy akár kormányszervi weboldalakat is megbolondítanak például olyan javascripttel, ami hackerek által felügyelt oldalakra küldi a gyanútlan látogatót, s egy ilyen akció tízezer különböző oldalt is érinthet.

Ami az adatlopásokat illeti, fordult már elő olyan eset, hogy a szigorúan bizalmas adatokkal teli laptopokat eBayen árulták, de szokás vadászni különleges laptop-szeméttelepeken is, ahova a már megunt vagy használhatlannak tekintett gépeket dobják ki. Régóta problémának számít egyébként is a cégek által kidobott és nem megsemmisített papírhulladék, amiből számos botrány és egyben biztonsági rés is született.

© sxc.hu

Jelentősen, 25 százalékkal növekedett többek között a bankkártyákkal való visszaélések száma is 2006 és 2007 között, említette Kapoor, rámutatva: a nemzetközi visszaélések nagy része olyan országokból érkezik, ahol még nem vezették be az úgynevezett chip-and-pin bankkártyákat. Angliában viszont óránként hatezer bejelentés érkezik bankkártyával és személyazonossággal történő visszaélés miatt, amivel a rendőrség saját bevallása szerint nem is tud mit kezdeni.

Kapoor szerint a biztonsági standard és nem a biztonsági termékek standardja számít igazán. Ezzel jelentősen csökkenteni lehetne a támadási felületet, ugyanis az évek alatt egyre szofisztikáltabb, a Google által is két kattintásból megtalálható rendszertörő szoftverek jelentek meg. Az ezekkel (is) végzett támadások automatizálttá, ennek következtében gyorsabbá és egyre gyakoribbá váltak, a rendszerek sebezhetőségeit is gyorsabban találják meg és a tűzfalakon is egyre könnyebben lehet átfutni. Külön kiemelte a szakértő, hogy a céges VOIP-rendszereket, pl. a Skype-ot sem védik le, pedig azon keresztül is könnyedén meg lehet törni vállalati rendszereket. A hackelési mechanizmus annyira vált automatizálttá, hogy a nagy cégek mellett a kisebbeket is legalább olyan gyakran támadják: egy 2007 októberi kimutatás szerint a kis- és középvállalatok 70 százaléka szenvedett el spywares vagy vírusos támadást az elmúlt három hónapban.

A konferencia magyar előadói hangsúlyozták: nem kell feltétlenül drága eszköz ahhoz, hogy ki lehessen használni a vállalati hálózatok gyenge pontjait, az intranetes kommunikáció pedig könnyedén lehallgatható, blokkolható vagy akár módosítható - beléphet a beszélgetésekbe észrevétlenül harmadik személy és akár fel is veheti akármelyik beszélgetőpartner szerepét. Fontosnak tartják az előadók azt is, hogy az MSN-t ne kritikus vállalati kommunikációs platformként használják a döntéshozók.

Ami a wifit illeti, még mindig nagyon jól felderíthető, hogy egy városban hol vannak nyitott, szabadon felhasználható hálózatok. Tévhit az is, hogy az SSID, azaz a vezetéknélküli hálózat nevének elrejtésével elérhetetlenné tesszük mások számára elérésünket, ezzel ugyanis csak a windowsos klienseket tévesztjük meg, a linuxosok tökéletesen látják ezeket. A MAC-címek szűrése sem jelent semmilyen akadályt, hiszen alapvető Windows-paranccsal lehet saját gépünk egyedi MAC-azonosítóját megváltoztatni.

© Végel Dániel

Ahogy ezt többen is említették, jelentős biztonsági kockázatot jelentenek az emberi tényezők is, jelszavakat, eléréseket ugyanis nagyon könnyen lehet beszerezni social engineering révén is. A social engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a rendszerek törésére, mondta előadásában Novák Zsolt, a Regulation Consulting operatív vezetője és  IT biztonságirányítási auditora. Külön felhívta a figyelmet az adathalász emailekre, amelyeket könnyen felismerhetünk négy pontból: nincs bennük direkt megszólítás, arra kérnek bennük, hogy erősítsük meg fiókadatainkat, van bennük valamilyen fenyegetés (például: ha nem válaszol 48 órán belül...), s a levél végén egy eredetinek tűnő link is található. Hasonlóan gyanús tulajdonságokkal bírnak az emailes csalások is, amelyeknek nem ismerjük feladóját, olyan pénzösszeget ígérnek, amiért szinte semmit sem kell tenni, valamilyen furcsa műveletre, eljárási díjra vagy sürgősségre hivatkozva kérnek pénzt, illetve bankszámlaszámot, továbbá információik bizalmas kezelését, és biztosítják a címezettet, hogy állami dokumentumokkal tudják azonosítani magukat.

Zajos sikert aratott Novák Zsolt előadásának az a része, amely azt taglalta, miként lehet bejutni valamely céghez. Rengeteget segít a határozottság, a céltudatosság vagy éppenséggel egy bögre kávé: az amerikai filmekből ellesett klisé szinte varázsernyőt bocsát bárkire, ugyanis aki egyszer egy épületbe bejutott, egy kávé birtokában már szinte teljes védelmet élvez ott. Be lehet jutni az egyirányú járatok, például a dohányzásra kijelölt területek másik oldaláról is: elég Novák szerint a dohányosok közti cinkos összekacsintás egy ilyen ponton, hogy a bejutni akaró delikvens átvehesse az ajtót mástól, de még könnyebb a teherportán. Novák szerint a legfontosabb az egészséges gyanú, az udvariasságot pedig nem szabad az óvatlansággal összekeverni: a portaszolgálat ne engedjen be ismeretleneket vagy vezessék őket egy olyan tárgyalóba, ahol nem lehet a cégről fontos információkat kideríteni. Fontos lenne emellett, ha a megsemmisítendő dokumentumokat nem egy az egyben dobnák ki, hanem előtte iratmegsemmisítőbe dobnák őket, rengeteg információt lehet ugyanis megtudni a kényelmességből vagy megszokásból kinyomtatott, majd később kidobott nyomtatott anyagokból.