Az utóbbi hetekben, hónapokban egyre többet hallunk (feltételezett) hazai hacker-támadásokról, adatszivárgásról, adathalász-próbálkozásokról, interneten terjedő férgekről és egyéb, népszerű alkalmazások hibáit kihasználó kártevőkről. Szembe kell néznünk azzal, az IT biztonsági szakértők által már évek óta ismételgetett ténnyel, hogy veszélyes világban élünk. Az elmúlt évek technológiai fejlesztései fantasztikus lehetőségeket tártak fel előttünk, átalakították egész társadalmunkat, de nem szabad elfeledkeznünk arról sem, hogy egyúttal új kihívások elé állítottak minket, amelyeknek meg kell, hogy feleljünk.
Fel kell készülnünk tehát az informatikai támadások ellen is. Ezt azonban, gondolhatják, úgyis már megtette mindenki. De vajon honnan tudhatjuk, hogy azok a védelmi mechanizmusok, beállítások, eszközök, amelyeket megvásároltunk, bevezettünk, kikényszerítünk, valóban megvédenek-e minket avagy sem? Nos, itt lép színre az etikus hackelés.

E furcsa szókapcsolat elsőre talán nehezen értelmezhető: hiszen hogy lehet valami etikus, aminek köze van a hackeléshez, a rendszerek feltöréséhez? A válasz roppant egyszerű: az etikus hackerek vagy fehér kalapos hackerek ugyanazt teszik, mint az ártó szándékú támadók (fekete kalapos társaik), azaz megpróbálják megtalálni a rendszerek gyenge pontjait és kihasználni azokat. Az egyetlen különbség, hogy az etikus hackerek az adott cég megbízásából, nem pedig haszonszerzési céllal teszik mindezt. Olyan ez, mintha felbérelnénk valakit, hogy próbálja meg ellopni az autónkat, ha sikerül neki, akkor biztosak lehetünk benne, hogy van még mit tennünk a biztonság terén.
Miért lehet hasznos az etikus hacking? Egyfelől valószínűleg hasonló módszereket fog alkalmazni egy potenciális támadó is, másfelől pedig saját védelmünk megerősítéséhez jó tippeket kaphatunk, ha tudjuk, milyen tipikus hibákat követnek el a cégek a biztonság terén.

Az információ hatalom
Minden támadás – legyen az fehér vagy fekete kalapos – első lépése az információgyűjtés. A lehető legtöbb információt kell megszerezni a kiválasztott cégről vagy szervezetről. A legtöbben itt olyasmikre gondolnak, mint a cég weboldala vagy weboldalai, levelezőszerverei, IP címei stb., egyszóval a cég technikai infrastruktúrájának felderítése. Erre megvannak a megfelelő weboldalak, programok, kereső kifejezések, kis túlzással azt mondhatjuk, hogy ezeket az információkat bárki meg tudja szerezni. Ez természetesen fontos – és elengedhetetlen – lépés egy későbbi támadáshoz, van azonban az információgyűjtésnek egy másik vetülete is, amire már kevesebben gondolnak, és ebből adódóan kevésbé is figyelnek rá. Ebbe a kategóriába sok minden beletartozhat, kezdve a cég földrajzi elhelyezkedésének meghatározásától, az adott céghez tartozó e-mail címek összegyűjtésén át, egészen az alkalmazottak személyes adatainak megszerzéséig.
Ezek, önmagukban, nem tűnnek veszélyesnek, de a támadás során adott esetben igen jó szolgálatot tehetnek egy hackernek. Hogy csak a legegyszerűbb példát említsük, tegyük fel, hogy a támadónak sikerül néhány, az adott céghez tartozó, e-mail címet megszereznie. Ezekről a címekről hamisított leveleket küldhet a cég alkalmazottainak, ügyfeleinek, esetleg az e-mail cím @ előtti részét megpróbálhatja felhasználói névként használni a támadás egy későbbi fázisában, például a cég webmail felületén.
Az információgyűjtés után a támadási felület azonosítása következik. Ennek során kell megtalálni a határvédelmi rendszer gyenge pontjait, áttörni valahogy azt a burkot, amelyet a célpont vont maga köré. Nagyon fontos megjegyezni, hogy minden védelmi rendszer annyira erős csupán, mint a leggyengébb pontja. Telepíthetünk akármennyi tűzfalat, behatolás-érzékelő rendszert, ha a weboldalunkon keresztül egy támadó hozzáfér a teljes vállalati adatbázishoz. Éppen ezért törekedni kell arra, hogy a védelem egyenszilárdságú legyen, ne hagyjunk benne kiskapukat, megkerülhető kontrollokat.

Magunk árultuk el
Rengeteg információ található a világhálón rólunk, egyszerű emberekről is, ezek egy részét mi magunk „tesszük fel” az internetre, míg másokat rokonaink, barátaink, ismerőseink, egyetemi tanáraink publikálták – rólunk. Könnyen előfordul, hogy valakinek a jelszava kitalálható az iWiW-en megtalálható adatlapja alapján. Biztosak vagyunk benne, hogy rólunk nem található olyan információ a neten, amelynek alapján kikövetkeztethető a jelszó, amit használunk? (
És ugye nem egy jelszót használunk mindenhová?!)
Természetesen nem csak a közvetlenül hasznosítható információk a veszélyesek. A támadás során a hacker igyekszik minél több „infómorzsát” összegyűjteni, majd ezekből összefüggéseket, kapcsolatokat levezetni.

Megbízhatatlan adatok
Figyelembe véve napjaink informatikai trendjét, elmondható, hogy egy „böngészőalapú” világ felé haladunk. Egyre több szolgáltatást tesznek elérhetővé a cégek a világhálón keresztül, ezzel is szolgálva az ügyfeleik kényelmét. Látnunk kell azonban, hogy ezzel a lépéssel potenciálisan növelik azt a támadási felületet, amelyet egy hacker kihasználhat. No persze nem kell visszatérni a hagyományos papír-, telefon-, fax-alapú ügyintézéshez, mindössze arról van szó, hogy a webalkalmazások fejlesztésénél is ugyanúgy figyelmet és erőforrást kell áldozni a biztonság kérdésére.
Nézzük a legegyszerűbb – és egyúttal a legnépszerűbb – webes alkalmazások elleni módszert, az úgynevezett kódbeszúrásos támadást, angol nevén a code injectiont. E technika lényege, hogy az alkalmazás nem rendeltetésszerű használatával a hacker eléri, hogy tetszőleges utasítást végre tudjon hajtani. Ennek leggyakoribb fajtája, amikor adatbázis-utasítást sikerül bejuttatni a rendszerbe, ezt nevezik SQL befecskendezésnek vagy beszúrásnak (SQL injection).
Adatbázis-utasítást nagyon sok helyre be lehet szúrni, kis túlzással azt mondhatjuk, hogy bármilyen adat, ami a felhasználótól érkezik, alkalmas lehet arra, hogy a támadó rosszindulatú kódot jutasson vele a rendszerbe. Gondolhatunk itt az űrlapmezők kitöltésével érkező adatokra, URL paraméterekre, de volt már olyan eset is, amikor a webböngésző típusát meghamisítva sikerült lekérdezni az adatbázis tartalmát. Fontos tehát látnunk, hogy minden olyan adat, ami a felhasználótól érkezik – legyen ez akár olyan, amit úgy gondolnánk, hogy nem tud megváltoztatni – megbízhatatlannak minősül, egy támadó számára potenciálisan lehetőséget jelent kártékony kód beszúrására.

Sok weblapba kerül iFrame tag, amivel kártevőket tölthetnek a felhasználó gépére

Az SQL beszúrás ellen gyakorlatilag az összes webes platform kínál valamilyen szintű védelmet, amit csak használnia kell(ene) a fejlesztőknek, mégis megdöbbentően sok helyen találkozhatunk ezzel a hibával, vagy ennek valamilyen változatával.

Veszélyes fájlfeltöltés
Az örök klasszikus biztonsági kockázatok közé sorolhatóa fájlfeltöltés. Minden hacker szívét melegséggel tölti el, ha meglátja, hogy egy webalkalmazás lehetőséget ad fájlok feltöltésére. A fájlfeltöltés sérülékenységének kihasználásakor a hacker célja nagyjából ugyanaz, mint a kódbeszúrás esetén: kártékony kódot juttatni a rendszerbe, saját utasításokat, parancsokat végrehajtani az adott szerveren.
Itt érdemes kitérni a védelem kialakításának másik alapigazságára: mindig többszintű védelmi mechanizmusokat használjunk! A fájlfeltöltés kialakítása során nagyon sok helyen megelégszenek annyival, hogy például „csak képeket lehet feltölteni”. Ez egész jó védelmi intézkedésnek hangzik, hiszen egy kép az egy kép, és valószínűleg nem is lehet alkalmas arra, hogy valaki betörjön a rendszerünkbe! Persze a hackereknek erről egészen más a véleményük, ők egy egyszerű jpg állománnyal is sok mindenre képesek, ha „segítünk” nekik egy kis konfigurációs be- vagy inkább félreállítással, programozói hibával stb.

Bízzuk szakértőkre!
Természetesen a hackelésnek rengeteg ága létezik, vannak például olyan támadások, amelyek kifejezetten a hálózati infrastruktúrát érintik, megint mások  egy adott operációs rendszerre hatnak, vagy tekinthetjük a social engineeringet, amely minden biztonsági rendszer leggyengébb láncszemét, az embert támadja közvetlenül.
Láthatjuk tehát, hogy amikor informatikai rendszerek biztonságáról vagy tágabb értelemben információbiztonságról beszélünk, valójában rengeteg összetevő, tényező biztonságáról szólunk. Annak vizsgálatára, hogy mindezen komponensek együttesen gondoskodnak-e adataink védelméről, a legjobb módszer felkérni egy külső céget egy biztonsági audit – etikus hackelés – elvégzésére. Olyan ez, mint amikor tízszer átolvassuk a saját magunk által írt dokumentumot, és egyetlen hibát sem találunk benne, majd mikor egy harmadik félnek odaadjuk, ő rögtön talál benne ötöt.
Egy külső partner sokkal eredményesebben tudja feltárni rendszereink hibáit, mint mi magunk. Természetesen ez anyagi ráfordítást igényel, ráadásul a biztonság nem egy állapot, hanem egy folyamat, amelyet időről időre ellenőrizni kell. A tapasztalatok azt mutatják azonban, hogy ez a ráfordítás még mindig nagyságrendekkel kisebb, mint az a potenciális kár, amit a bizalmas adataik rossz kezekbe kerülése okoz a cégeknek.

Ha további érdekességekre is kíváncsi az IT-biztonság témaköréből rendelje meg itt a techline.hu szakmai támogatásával készült IT Plusz 2010 című kiadványt.