ITBN konferencia 2012
7 perc olvasás
2012. szeptember 25-26, az IT Biztonság Napja c. konferencia időszaka. A konferencia első napján a plenáris ülésen Keleti Arthur főszervező a megnyitó szavak után a világ legkeresettebb heckerével, Kevin Mitnick-el tartott videokonferenciát, a magyarul most megjelent, „A legkeresettebb hacker" című életrajzi könyve kapcsán.
2012. szeptember 25-26, az IT Biztonság Napja c. konferencia időszaka. A konferencia első napján a plenáris ülésen Keleti Arthur főszervező a megnyitó szavak után a világ legkeresettebb heckerével, Kevin Mitnick-el tartott videokonferenciát, a magyarul most megjelent, „A legkeresettebb hacker" című életrajzi könyve kapcsán.
A szerző a könyvben leírja azokat a dolgokat is, amelyekről 2007-ig tilos volt beszámolnia. A börtönt is megjárt hacker szerint sokat változott a világ, a kezdeti idők kiber vagányai szakmai sikerként élték meg hackelő eredményeiket, ma pedig minden idevágó akció tulajdonképpen a pénzről, a haszonszerzésről szól. Mitnick jelenleg etikus hackeléssel „tengeti" napjait, így járul hozzá a kibertér biztonságosabbá tételéhez. Ő a jövőbeni IT támadások kivédését a humán orvoslásban alkalmazott módszer, a kórokozó-támadások során szerzett mintákra alapozott immunitás-növelésben látja.
Ezt követően Raj Samani, a McAfee EMEA térségre delegált vezető technológusa tartott előadást. Az IT fenyegetések történeti áttekintése után felvázolta a mai biztonsági helyzetet; az emberek IT biztonsági tudatossága sok kivánnivalót hagy maga után, hatalmas különbség van a személyes adatok becsült és tényleges értéke között.
Manapság sokszor arra ösztönöznek bennünket, adjunk fel valamit személyes privátszféránkból, hatalmas összegekhez juthatnak illetéktelenek a személyes adatok felhasználásával. Ez nagyon vonzó lehet sokak számára.
10-15 évvel ezelőtt is voltak példák egy-egy weboldal megtámadására, de ma a heckelés sokkal koordináltabb formában zajlik, a mai világban sokkal kifinomultabb fenyegetésekkel találkozunk. Ma a heckelés, s a terrorizmus igen komoly probléma, hasonlóan a kiber bűnözéshez, a kiber kémkedéshez és az állami szinten koordinált és támogatott vagy bátorított kibernetikai bűnözéshez. 10-15 évvel ezelőtt programozót, vagy valamilyen számítástechnikai szakembert béreltek fel a betörésre, ma pedig kiber-bűnözők, igazi szakemberek követik el ezeket a betöréseket és már egyetlen napot sem lehet várni a biztonsági rések elfedésével. A lakosság egyre nagyobb részaránya van kitéve kiber-támadásnak, kérdés, hogy hányan próbálják megvédeni őket. Ahogy nő a kibernetikai felhasználók száma, ezt a növekedést nem követi a védekezésben közreműködő szakemberek száma, így nagyobb az esély a kiber bűnözők sikerére. A bűnözők ma már többnyire nem fizikai eszközökkel kényszerítik ki a kibernetikai információkat áldozataikból, hanem kibernetikai eszközökkel. Nagyon sokan vesznek igénybe olyan kibernetikai kém-szolgáltatásokat, amelyek nevet, címet, vagy bármely más információt tesznek elérhetővé valakiről.
A bűnözők megkeresik azokat a tisztességtelen feszhasználókat, akik komoly pénzeket ezekért a személyes információkért. Kibernetikai bűnözés nem csak egyéni, vagy vállalati szintén létezik, vannak állami vagy kormányzati szinten támogatott kibernetikai bűnöző körök is. A McAfee naponta százezer potenciálisan veszélyes mintát elemez, s a veszélyes minták száma havonta milliónyira tehető. Nem csak PC-k elleni támadásokról van szó, egy autó fedélzeti számítástechnikai rendszerében 10 millió kódsor fut, el lehet képzelni, hány potenciálisan támadható kódsor, vagy program-sor létezhet. Számtalan vonatkozó új veszéllyel kell szembenéznünk, amelyet egy rosszindulatú támadó akciója felvethet. Egy elektromos jármű töltőállomásán számtalan érzékeny személyi adat halmozódik fel, ezért a jövőbeni autó-gyártóknak egészen más megközelítést kell kialakítaniuk a privacy-policy területén, azaz a személyes adatok kezelésével kapcsolatban. Nagyon nagy kockázatokkal kell szembenézni. Öt indiai nagyfeszültségű hálózat bénult meg, félmillió felhasználónál esett ki az elektromos áram-szolgáltatás egy, feltételezhetően kibernetikai támadás következtében. Nem is sikerült kideríteni, mi történt valójában.
Jellemző a biztonsági helyzetre, hogy Németországban egy elektromos hálózatot üzemeltető cég a saját hálózatán keresztül le tudott hívni szinte minden adatot a felhasználókról, akár azt is, hogy milyen műsort néznek, mivel foglalkoznak éppen, mindezt az éppen bekapcsolt elektromos berendezéseken keresztül.
A McAfee-nél olyan megoldásokat keresnek, amelyek az eszközöket megbízható módon működtetik. Hallhattunk eseteket számítógépes vírusok miatt leálló kórházakról is. Figyelembe kell venni azt is, hogy nagyon sok szellemi terméket tulajdonítanak el. Konkrét példa a McAfee elmúlt évi kutatásából; 2006 óta figyelve, 72 szervezetbe hatoltak be hackerek a hat év során, s tulajdonították el az adatokat. Amikor a meghackelt cég patcheket alkalmazott, a rosszfiúk még mindig találtak módot az újabb behatolásra.
A gyanútlan felhasználó ellen a legegyszerűbb csali; rosszindulatú linkre való kattintást kérni valakitől.
Kevin-nek „A becsapás művészete" c. könyve erről szól, hogyan lehet dolgokra embereket rávenni. Amikor arról kapnak e-mail üzenetet, hogy valamilyen hátrányuk keletkezik, valamit elveszítenek, ha nem kattintanak egy elektronikus címre, akkor elvesztik fejüket és rákattintanak… Segítőkészségünket, arra való képességünket is kihasználják a bűnözők. A megtévesztő üzenetet a rosszfiúk nagy körültekintéssel fogalmazzák meg, hogy a lehető legnagyobb hatással legyen ránk.
A fenyegetések mértéke exponenciálisan növekszik. A McAfee szerint a megtámadott védekezése többféle típusba sorolható. Az egyik kategória a reaktív, az utólagosan reagáló, pl. egy vírustámadás után antivírus telepítést kér, ez az elmúlt 20 év módszere. A változások során ma már a megtámadottaknál a compliance, a megfelelés igénye a jellemző, ez irányítja a biztonságot; kipipálják a tennivalókat és szegmentált hálózatokat alakítanak ki, számos norma létrehozásával, optimalizálják a biztonságot.
A McAfee tanácsa; ne a megfelelés irányítsa a biztonságot, hanem a biztonsági megoldásokat alakítsák a megfeleléshez, a kockázatok felmérésével és a megoldások megtalálásával. A McAfee gyakorlatában, az elektromos hálózatok építőinek is ezt tanácsolja; mielőtt elkezdik az építést, mérjék fel a kockázatokat.
A biztonságnak minden vállalatnál első számú prioritást kell kapnia, ezzel lehet elindítani az optimalizálást. Hogyan lehet optimalizálni a biztonságot a vállalatoknál? Bevált tanács; ismerd ellenségedet! Fel kell mérni a kockázatokat, s nem érdemes egymillió dollárt költeni a biztonságra, technikai ellenőrzésre, ha az adatok értéke ennek felére rúg csak. A vállalatot teljeskörűen kell ismerni, az informatikai biztonság nem működhet benne külön szigetként. Az üzleti kockázatokat folyamatosan újra és újra értékelni kell.
Volt rá példa, hogy a biztonság optimalizálásának a meglévő szabályzatok álltak útjába, ebből származott biztonsági konfliktus. A biztonsági programot finanszírozni kell, ez a kulcsa a sikernek. Mindez nem könnyű.
A munkatársaknak tudniuk kell a biztonsági incidensekről, ezekről jelentéseknek kell készülni, ekkor kerül helyére a vonatkozó tudatosság. Nagyon fontos a siker mérése, a teljesítmény egyik mutatószáma lehet a sérülésekre vonatkozó tesztek eredménye. Végül pedig; krízishelyzet esetére megoldási módokat kell kidolgozni. Biztosítani kell, hogy a vállalat folyamatosan mérje fel a kockázatokat, mert a fenyegetettség naponta, sőt óránként változik!
Harmat Lajos
