Milyen lesz a harmadik világháború IT biztonsági szempontból? címmel tartott pénteken előadást Papp Péter, a Kancellár.hu Zrt. elnöke a Romániai Magyar Üzleti Egyesület konferenciáján. Mivel az erdélyi származású információ-biztonsági szakember előadását nagyon csíptük - nem csak a jó poénok miatt -, nagyjából szöveghűen közöljük. Már amennyire az írott szöveg az élő beszéd ellenében engedi.

Hogyan fog kinézni a harmadik világháború?

- nyitotta előadását Papp Péter. Azt ma már lehet tudni, hogyan kezdődik, hiszen láttunk rá példát, amikor Oroszország lerohanta Grúziát, vagy ahogy Izrael készül bombázni Iránt. A harmadik világháború cyberháború lesz, ahol a hackereknek nevezett, magasan képzett IT-biztonsági szakembereknek nagy szerep jut.

A romantikus hacker képe, mely a '83-as WarGames című filmben például jól kirajzolódik, a következő: van egy fiú, aki hacker, általában jóképű, tartozik hozzá egy lány, együtt söröznek, buli, Fanta, és megmentik a világot. De ahhoz, hogy valaki hacker lehessen, nem feltétlenül kell zseninek lennie, csak sok szakirodalmat kell olvasnia.

A kolozsvári hacker, Butyka Róbert a YouTube-ot például úgy törte fel, hogy olvasta, felfedeztek egy sebezhetőséget az oldalon. Ő csak kipróbálta, hogy a YouTube kijavította-e a hibát, és mint kiderült, nem. Butyka, aki a NASA szerverét is meghackelte, jellemzően úgy bukott le, hogy Kolozsváron a haverjainak eldicsekedte, mit tett, mire képes, és hagyományos módszerekkel, vagyis besúgással elkapták. Ügyes volt, de rettenetesen nagy dolgokat nem csinált.

A hackerek olyanok, mint Columbo felesége

- illusztrálta Papp Péter -, mindenki hallott már róla, de senki se látta. A hackerek átlagos gyerekek. Ami jellemző rájuk: általában huszonévesek, saját magukat képezik, mert nem lehet beiratkozni semmilyen hackerképzőre, de ott a Google, az interneten minden megtalálható. Általában beszélnek egy vagy két nyelvet, az angol az alap.

A romantikus, magányos harcos hacker képét az információ-biztonsági szakember szerint ma már el kell felejteni, a múlté. Ha ma a hacker bűnözésre adja a fejét, akkor szervezetten teszi. Például profin spammel, mely nagyobb biznisz lehet, mint a drogkereskedés.

Spammeléssel például rengeteg hamis Viagrát lehet eladni egyetlen szobából, és nem kell hozzá kimenni Kolumbiába lövöldözni, bár kell hozzá egy jó csapat. Például egy számítógépes szakember, egy marketinges, aki szépen megírja a spamlevelet, több nyelvre lefordítja. A befutott pénzt át is kell mosni, stb. Az interneten ma már ötven dollárért 24 órára ki lehet bérelni egy spamküldő rendszert.

Vagy ott vannak a hamis adománygyűjtő oldalak.

Jönnek az amerikai választások, várhatóan jópáran hamis oldalakkal gyűjtögetnek majd Obamának. Egy kis cyberbűnözéshez egyébként nem kell messzire menni, külföldön például Râmnicu Vâlceát hackerville-nek hívják, a városból irányít/irányított néhány srác egy olyan rendszert, mellyel Amerikából nyúlnak/nyúltak le pénzeket.

A hackerek viszont nem mind bűnözők, hanem többségük magasan képzett IT-security szakember, és csak a médiának köszönhetjük, hogy ilyen kép él a köztudatban. Az IT-biztonság azt diktálja, hogy tanuljunk tőlük: Papp Péter például munkája során nem egy rendszer sebezhetőségét kutatta fel pont azért, hogy a valódi támadásokat ki tudja védeni.

Szerinte nagyon sok kormány, cég egyáltalán nem veszi komolyan az IT-biztonságot, márpedig ha két ország egymásnak esik, azt nem fegyveres katonákkal teszi, hanem hamis oldalakkal, dezinformálással, kémkedéssel stb.

Hogy a kormányok mekkorát bakizhatnak

a biztonsági intézkedések mellőzése miatt, jól illusztrálják az amerikaiak. Amikor az amerikaiak Afganisztánba küldték a méregdrága lopakodó repülőgépeiket, az afgánok kiszúrták, hogy a műholdas kommunikációval ellátott masinák sima, kódolatlan szöveggel kommunikálnak a bázisállomásokkal.

Az afgánok egy ingyenes szoftver segítségével rájöttek, hogy az amerikaiak mely területeket térképezték fel, amiből nem volt nehéz kikalkulálni, milyen célpontokat akartak megtámadni, vagy mi érdekelte őket. Az amcsik dollármilliókat költöttek a lopakodó gépekre, de arra már nem futotta, hogy titkosítsák a kommunikációjukat. Azóta persze jobban odafigyelnek erre.

IT-securityban Papp szerint paradigmaváltásra van szükség. Először is a kormányoknak meg kellene érteniük, ami egyáltalán nem egyszerű, hogy ez miért fontos. Magyarországon például nagyon nehéz rávenni a politikát függetlenül attól, milyen színű a kormány, hogy ezzel foglalkozzon. Pedig Magyarországon, Romániában jó a reáloktatás, lenne rá esély, hogy az IT-biztonság területén jó szakembereket képezzenek.

Ráadásul úgy Magyarország, mint Románia kicsi ország, világpolitikailag nem zavarunk senkit. Fogadnak minket a vietnámiak, odaengednek a kínaiak, az amerikaiak, az oroszok, az arabok, ők együtt nagyjából le is fedik a piacot. Ráadásul magyar sikerek is születtek már ezen a területen, tavaly például magyar cég (a Kancellár.hu Zrt.) léphetett a hackervilágbajnokság dobogójának harmadik fokára.

Papp szerint nyugodtan el lehet felejteni, hogy Magyarország szoftveríró nagyhatalom lesz, hiszen az indiaiak negyedannyi pénzért dolgoznak, és beszélnek angolul. A szoftvergyártás egyébként is favágó munka, nincs benne nagy hozzáadott érték. A hozzáadott érték szerinte az IT-securityben van, erre kéne ráállni.

Hogyan nőjük ki az IT-biztonsági gyerekcipőt?

Figyelnünk kell a cyberbűnözést, hogyan alakul, mert abból tanulni lehet. Különböző konferenciákon nagyon sokszor bemutatják, milyen új sérülékenységekre derült fény. Tegnapelőtti infó: ha a Samsung Galaxy telefonnal meglátogatsz egy bizonyos weboldalt, minden adatod eltűnik a kütyüdről.

Ki kell találni és meg kell valósítani a B és C kommunikációs alternatívákat, mert ha két ország egymásnak fog esni, elsőkén a mobilkommunikációt fogják megbénítani. De nem azzal, hogy lebombázzák a GSM-tornyokat, hanem mindenki telefonjára eljuttatnak egy vírust, ami lehet, hogy már ott van, csak még nem aktiválták.

Oda kell figyelni a titkosításra, az ipari kémkedésre. Össze kell állítani egy hackerlistát, mely alapján, ha gáz van, mozgósítani lehet az IT-szakembereket. A Kancellár.hu elvégzett már egy olyan felmérést, melyben arra voltak kíváncsiak, hányan állnának be hackerként önkéntesnek, ha megtámadnák Magyarországot. Kiderült, nagyon sokan.

Papp szerint 20 jól képzett szakemberrel akkora támadást lehet mérni egy országra, hogy annak elkezdjen csökkeni a GDP-je. Simán hisztériakeltéssel. Például azzal, hogy a meghackelt Index.hu oldalára kiírják, lemondott a miniszterelnök.

A júzert is manipulálják, nem csak a kódot

Nem utolsó sorban ki kell elemezni a múlt támadásait, mert rengeteget lehet tanulni belőle. A stuxnet vírustámadás kitűnő példa erre. A vírust Irán ellen vettette be az amerikai és az izraeli titkosszolgálat, amikor kiderült, Irán urándúsító centrifugákat vásárolt, melyeket egy atombunkerben működésbe is hozott. A vírust egymillió dollárért fejlesztették ki, és a centrifugák működésében okozott üzemzavart.

A stuxnetet külsőleg jutatták be a centrifugákat működtető számítógépes rendszerbe egyszerű USB drive-okkal. A külső hordozókat szétszórták abban a városban, ahol a bunker lapult, és azok előbb-utóbb bekerültek a rendszerbe. Ezt a módszert egyébként máshol is előszeretettel használják.

Körülbelül úgy, mintha egy bank épületében vírusokkal fertőzött cédéket szórnánk szét, melyekre a következőket írnánk: fizetési lista, Kiszel Tünde pucér képei, a magyar gárda tagjai. Papp elmondta, szimulálásként kipróbálták a módszert, és tíz cédéből nyolcat az alkalmazottak el is indítottak.

Nem árt tehát, ha máris hozzászokunk az olyan kifejezésekhez, mint a cyberWar (kiberháború), az e-soldiers (e-katonák), az e-mercenaries (e-zsoldosok) és a cybercrime (kiberbűnözés). Papp szerint a következő öt év buzzword-jei ugyanis ezek lesznek. De addig is tiszteljük a hackertársadalmat, legalábbis a nem bűnöző részét, mert ők lehetnek a harmadik világháború hősei.