Eltltk a magyar etikus hackert, aki egy slyos biztonsgi rsre figyelmeztette a Magyar Telekomot. Az gyszsg brtnt krt r, de a brsg vgl csak pnzbntetst tlt meg els fokon. Ez a dolog nagyon szomor. Azt mutatja, hogy rossz irnyba rohamozunk. Az albbi rsban annak a vlemnyemnek szeretnk hangot adni, hogy nem az etikus hackereket kellene meghurcolni, hanem a biztonsgi rseket hanyagul kezel cgeket. Na de kezdjk az elejrl!


A kiberbiztonsg hinya mr rgta rezteti a hatst: egyre tbben jrnak prul amiatt, hogy az internet beszivrgott a trgyaikba, ajtt nyitva mindenki eltt. Kevesen tudjk, de lassan mr minden egy szmtgp lesz. A telefon, a TV, a kocsi, a mosgp, meg persze a Telekom ltal beszerelt router is az, bizony! A vilg megllthatatlanul abba az irnyba tart, hogy szinte mindent bektnk az internetbe, mert ht ez a fejlds irnya.

A 21. szzad arrl szl, hogy egyre jobban sszenvnk a technolgival, annak minden elnyvel s htrnyval egytt. Ennek ksznhet, hogy az ember sokkal produktvabb lehet, hogy brmit, brmikor s brhol megtanulhat. Hogy a szeretteit a vilg minden pontjn elrheti, s ez mg kzel sem minden. Az internet cpk rgta kbeleinek ksznhet, hogy az emberisg lekzdtte a tvolsgokat, a tudomnyos let pedig korbban elkpzelhetetlen mdon fondott ssze, hogy ltvnyos eredmnyeket szljn.

Az internet virgzsnak persze megvan a stt oldala is. Vannak, akik a hlzatba kapcsolt vilgunk nyitva hagyott kapuit kegyetlenl kihasznljk. A srlkenysgeket begyjtik a fegyverarzenljukba, hogy azt egy j pillanatban kijtszva lecsapjanak, hasznot hzva msok figyelmetlensgbl. ket nevezzk fekete kalapos hackereknek.

Az internet a tervezsbl addan egy srlkeny vilg, mert a kezdeti cl a hatkony kommunikci elrse volt, nem pedig a biztonsgos mkds kialaktsa (lsd pldul: Rosenzweig, 2013). Ez utbbi ugyanis teljesen ms megkzeltst ignyelne, amihez mr tl ks lpni. Az internetes vilg szerepli knytelenek utlag felhzni a bstyikat, ha nem akarjk, hogy rossz szndk emberek tnkretegyk, amit ptettek.

Pechkre, az interneten a tmads s a vdekezs egy nagyon egyenltlen harc. A tmad bizony mindig elnyben van (lsd pldul: Schneier, 2015, 2018). Neki elg pusztn egy srlkenysget megtallni a hlzaton, mg a vdekeznek az sszes lukat be kell tmnie. Neki elg csak egyszer bejutnia, s a zr feszegetsvel brmikor, brmeddig prblkozhat. Ekzben a vdekeznek folyamatosan rsen kell lennie, ha van vesztenivalja.

Ez egy igazsgtalan helyzet, ami miatt a kiberbiztonsgnak ki is alakult gymond a maga kzgazdasgtana. Ebben a kiindul felttelezs a kvetkez: nem az a krds, hogy betrnek-e, hanem hogy mikor, s mit visznek el. Az zleti optimalizls ezrt gy szl, hogy amennyiben a vrhat vesztesg kisebb, mint amennyibe a vdekezs kerl, akkor hagyjuk a fenbe az jabb tzfalat. Csak akkor ruhznak be tbbet a vdelembe, ha az megtrl (Schneier, 2018). Szmukra egy-kt incidens, nhny szzezer ember adatainak az elvesztse pedig akr bele is frhet, ha nem bntetik meg durvn a cget.

Ha valaki betr a Magyar Telekom rendszerbe s ellopja az gyfelek knyes adatait, vagy netn mg viccbl le is lltja itt-ott a cg szolgltatsait, akkor az egy kellemetlen gy. De mit veszt vele a Telekom? tmenetileg tbbet kromkodnak majd az gyflszolglatosokkal, esetleg pran t is prtolnak egy msik szolgltathoz. De igazn nagy vesztesg nem lesz belle, a rszvnyrfolyam pusztn emiatt nem megy majd lejjebb. Vagyis simn lehet, hogy a kiberbiztonsgi csapat bdzsjt drgbb lett volna annyira megemelni, hogy kivdjk ezt a csapst.

Amg az llam nem bnteti meg ket a srlkenysg hanyag kezelsrt, addig bizony a fent rszletezett zleti optimalizls megy majd. A nemzetkzi tapasztalatok azt mutatjk, hogy mg a vilgot megbotrnkoztat adatszivrgsokat kveten sem trtnik igazn semmi. A befektetk magasrl tesznek r, ha ez nem veszlyezteti a jvben vrhat cashflowt, ami alapjn az rfolyamot szmolgatjk. Az emberek pedig sokszor nem is tudnak rla, hogy a szemlyes adataikat mr a stt weben ruljk.

Vannak persze cgek, akik komolyan odafigyelnek a kiberbiztonsgra, mert fontos szmukra az gyfladatok vdelme, vagy a szmlk srtetlensge. k sokszor piszok drga tancsad cgeket brelnek fel, hogy a segtsgkkel tovbb fejldhessen a biztonsgi rendszerk. Radsul ezutn sokszor mg kln vagyonokat fizetnek azrt, hogy egy cg prbljon meg betrni hozzjuk, htha maradt mg rs a pajzson. Ezt hvjk a szakmban penetration testingnek, vagy rviden csak pentesztnek.

Tulajdonkppen a Magyar Telekom ltal feljelentett – s a brsg ltal els fokon eltlt – magyar fiatal is ezt csinlta. Csak ingyen. Sportbl, hogy aztn fehr kalapos hackerhez mltan szljon is a cgnek, hogy: hell, bejutottam, taln be kne tmni ezt a lyukat itt. Igen, a beszmolk szerint ksbb jra megnzte, hogy be lehet-e mg jutni, ami mr felbsztette a Telekomot. Pedig a nyilvnossgra kerlt informcik szerint nem okozott konkrtan semmilyen krt.

Ennek a fiatalnak a feljelentse nemhogy rtelmetlen lps, hanem egyenesen butasg. Biztonsgi szempontbl az g vilgon semmit nem nyer a cg azzal, ha meghurcoljk szerencstlent. Netn azt remlik, hogy ezzel letiltjk a rendszereik biztonsgi tesztelsrl? Aki kicsit is rt az IT-hoz az tudja, hogy egy hacker, ha nem akarja, hogy megtalljk, akkor bizony knnyen lthatatlann vlhat. St, ezt ma mr a htkznapi emberek is megtehetik a Tor bngszvel, vagy ha mg vatosabbak, akkor a Tails opercis rendszerrel (lsd pldul: Mitnick, 2017). Nem annyira nehz elrni, hogy a Magyar Telekom ne tudhassa, hogy kik vagyunk s mit csinlunk, mg akkor sem, ha pont rajta keresztl rjk el az internetet.

Ezrt van, hogy a fekete kalapos hackereket csak nagyon ritkn sikerl megcspni. De az is ltalban vagy a vletlen mve, vagy brutlis energiarfordts eredmnye. A valsgban a nyomozsok legtbbje legfeljebb addig kpes visszafejteni a szlakat, hogy melyik orszgbl jhetett egy-egy tmads. Vagyis ezt a fiatalt csak azrt ciblhattk brsg el, mert maga jelentkezett a Telekomnl segt szndkkal.

Az mr tnyleg csak mellkes, hogy PR szempontbl is ksz ngyilkossg volt ez a feljelents. Eleve nincs j renomja a Telekomnak ezen a tren, hiszen emlkezznk csak vissza a BKK-s e-jegyrendszerre, hogy ott is mi trtnt. Aztn most meg itt van ez az jabb eset. A kzvlemnynek mindez mg akkor is gy jnne le, hogy itt a Telekom a gonosz, ha ez a fiatal tnyleg slyosan tlpte volna az etikus hackels hatrait. A cg egybknt ezt lltja.

Nyilvn vannak esetek, amikor mr nem annyira egyrtelm a helyzet. rdemes pldul megismerni a legextrmebb pldt: Kevin Mitnick plyafutst (lsd: Mitnick, 2011). a sajt elmondsa szerint csak sportbl hackelt meg egy halom cget, illetve lopta el a fltve rztt kincseiket. lltlag soha nem okozott nekik direktben krt, s nem lt vissza a megszerzett anyagokkal. Mivel ezt nyilvn lehetetlen teljesen kivizsglni, ezrt mg maga is elfogadta, hogy tllpett egy hatrt. De ilyenrl ebben a magyar esetben egyltaln nincs sz.

A sajtban megjelent informcik szerint itt egy jszndk, noha kiss tlbuzg, etikus hackert hurcoltak meg. Ezt nem kellett volna, hiszen ennek hatsra msok majd nem mernek szlni, amikor ltjk, hogy kilg a gatybl a Magyar Telekom feneke. Aztn jnnek majd a fekete kalaposok, akik szpen vissza is lnek a helyzettel. Ekkor majd valban csak ismeretlen tettes ellen tehetnek feljelentst.

Ezzel az tlettel mindnyjan vesztnk: a Magyar Telekom is, a brsgok is, s a magyar emberek is. Csak gy tnik, hogy kzlk ezt nem mindenki rti.

Jelen cikk a szerz magnvlemnyt tkrzi.

Hivatkozott forrsok:

  • Bruce Schneier (2015): Data and Goliath
  • Bruce Schneier (2018): Click Here to Kill Everybody
  • Kevin Mitnick (2011): Ghost in the Wires
  • Kevin Mitnick (2017): The Art of Invisibility
  • Paul Rosenzweig (2013): Thinking about Cybersecurity: From Cyber Crime to Cyber Warfare

Cmlapkp forrsa: Shutterstock





Source link

PÉNZÜGYI HÍREK
Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük