Semmi illegálisra ne tessenek gondolni, az IT-biztonsági tanácsadással is foglalkozó cég munkatársai az IDC konferencián csütörtök délután "A legális hackelés művészete" című előadásban mindössze élőben szemléltették, milyen veszélynek vannak azok a vállalati rendszerek kitéve, amelyek biztonságáról nem gondoskodnak megfelelően, például nem telepítik a frissítéseket vagy kódolatlan jelszavakat alkalmaznak.
Dolánszky György, a Kürt Rt. vezető tanácsadója az IDC biztonsági konferencián először a legális hackelés jelentőségéről és a folyamatról, annak céljáról, eszközeiről és eredményeiről beszélt. Ezt követően a rendszerek néhány gyakori hibájára mutatott rá, végül munkatársával élő bemutatóban szemléltette is a Kürt által demonstratív jelleggel létrehozott
www.kibic.hu élő feltörését.
A crackerek, vírusok és egyéb kártevők, illetve emberi tévedések fennakadást
eredményezhetnek a vállalatok, szervezetek üzletmenetében, és adatvesztést vagy bizalmas adatok kiszivárgását, illetéktelen kezekbe kerülését okozhatják, ami nem csak közvetlen és közvetett anyagi kárt, de gyakran helyrehozhatatlan presztízsveszteséget is okoz - figyelmeztetett Dolánszky György előadása elején.
A legális hackerek munkáját az teszi legálissá, hogy a betörési kísérleteket a saját adatait féltő cégek megrendelésére, tehát a támadott rendszerek gazdájának tudtával teszik, és a hackelés a teljes informatikai biztonsági vizsgálatok részei. A megrendelő és a hackeléssel megbízott guruk feladata az informatikai rendszer biztonságának, sérthetetlenségének, az internet, a WAN kapcsolatok és a helyi hálózat felőli behatolás elleni védelem vizsgálata, annak érdekében, hogy a rendszer biztonságát magasabb biztonsági szintre emeljék - húzta alá az IT-guru.
A Kürt szakemberei a megrendelővel szerződést kötnek, és csak ezután kezdik meg a hálózat feltörésére irányuló felkészülést, mely az információk gyűjtésével, a hálózati infrastuktúra, az operációs rendszerek, üzleti és karbantartó alkalmazások felmérésével indul el. Egyeztetik a hackelés időpontját, az engedélyezett és tiltott vizsgálatokat is.
A helyszíni tevékenység során a vizsgálat a helyi hálózat vizsgálatával kezdődik, ellenőrzik a mindenki számára elérhető adatokhoz, megosztásokhoz, adatbázisokhoz való hozzáféréseket, és különböző célszoftverek segítségével kezdik meg az automatizált sérülékenység-vizsgálatokat. Rendszerenként és eszközönként összegyűjtik a jogosultságokat, no és elemzik az internet és a WAN kapcsolatokat is.
A helyszíni tevékenység részét képezi még a hálózati forgalom lehallgatása, elemzése is; ennek során nagyon gyakran találnak a szakemberek titkosítás nélkül vándorló jelszavakat, adatokat, ezek révén pedig máris be tudnak lépni "jogosulatlanul" valamilyen felhasználóként, például a cég vezetőjének jelszavával. Kódolt jelszavak esetén megvizsgálják a jelszavak minőségét is, melyre azért van szükség, mert egyes rendszerekben triviális és gyári jelszavak is vannak. Megvizsgálják az operációs rendszerekhez, alkalmazásokhoz kiadott biztonsági javítócsomagok meglétét is, mert amennyiben ezek a hotfixek, service packek, patchek nincsenek telepítve, a bejutás nagyon egyszerűen lehetségessé válik.
A legális hackelés "művészei" külön is elemzik a távolról felügyelhető eszközöket, a konfigurációs beállításokat és a rendszerek felépítéséből származó kockázatokat is igyekeznek felderíteni. Megpróbálnak trójai falovakat, hátsó kapukat, egyedi vírusokat is alkalmazni. Próbálkoznak a túlterheléses, Denial of Serice (DoS) típusú támadással is.
Információkat kísérelnek meg a cégek nem beavatott munkatársaitól szerezni, a social engineering módszer során nagyon gyakran telefonon, e-mailben vagy más módon kiadják a járatlanabb felhasználók a jelszavaikat, vagy valamilyen más kritikus információt is kiadnak. Amennyiben a Kürt ilyet észlel, az érintett kollégáknak oktatást javasolnak.
A legális hackerek tevékenységük során folyamatosan közlik a kritikus problémákat, átadják a különböző riportfájlokat és megbeszélik a sürgős teendőket, illetve listát készítenek a további feladatokról is.
Dolánszky György az IDC konferencián a leggyakrabban talált hibák közül az alábbiakat emelte ki: gyakoriak a gyenge, sok esetben triviális vagy üres jelszavak, a biztonsági javítócsomagokat gyakran nem telepítik fel időben a rendszergazdák, nincsenek megfelelően beállítva a jogosultságok, így például a főnök fizetését bármely munkatárs elérheti a rendszerben.
Mostanában az is gyakori jelenség, hogy kliensgépeken (például notebook, pendrive) tárolnak nem titkosított, de bizalmas adatokat. Nagyon gyakran problémát jelent az is - ismertette a vezető tanácsadó -, hogy a víruskeresők adatbázisát ritkán, vagy netán soha nem frissítik. A Kürt egyébként jelenleg mintegy 87 szkenner és hibafeltáró programot, 31 jelszótörő célszoftvert és kiterjedt tudás- és adatbázist használ abban az esetben, ha megbízást kap egy rendszer tulajdonosától saját hálózatának sérülékenységének feltárására.
A szakember és kollégája ezután demonstratív jelleggel feltörte a Kürt tulajdonában lévő, a valóságban nem létező Külföldi Ingatlanok Biztosítási Centruma cég www.kibic.hu honlapját. Dolánszky György nagysikerű előadását követően - ahogy azt a Prím olvasói most is láthatják - a weblapot úgy cserélték le, hogy azon az imént említett cégnevet "Külföldiek Átverésének Centruma" szövegre változtatták, a szlogent pedig "Ha önnek sok pénze van, nálunk biztos elveszti!" feliratra módosították.