Mikor legális és mikor nem az a betörés? - Átértékelődött a hackerek szerepe (1. rész)
Leegyszerűsít a média
Aztán a cracker valahogy kikopott a szóhasználatból. Abban, hogy ez így alakult, alapvetően a hazai média tekinthető ludasnak, amely - a szakmától érkező ellenérvekre fittyet hányva, a jelentés-megkülönböztető szerep felett könnyedén átlépve - a "számítógépes betörő" fogalmát a hackerekre egyszerűsítette le.
Így tehát ma már a hacker megjelölést alkalmazzák mindenkire, aki számítógépes rendszerek vagy hálózatok védelmét töri fel, vírust ír vagy kártevőkkel fertőzi meg mások számítógépét - függetlenül attól, hogy valamit ártó vagy jobbító szándékkal tesz-e. És a dolgok logikus folyományaként az egykor jelző nélküli hackerek szerepét az etikus hackerek vették át.
A hackerek mára mélyen beágyazódtak az informatikai biztonság szinte valamennyi területére, így amikor valaki az etikus hackerek helyét keresi, megkerülhetetlenül fel kell tennie a tágabb szakterület legfontosabb kérdéseit. Így rögtön a legfontosabbat: melyek a tipikusan szenzitív adatok egy-egy gazdálkodó szervezet életében.
Kényes adatok nyomában
A legérzékenyebbek az üzleti titok körébe tartozó információk - mondja Mayer Erika ügyvéd, internetjogi szakértő.
Ide tartozhatnak a cég gazdálkodásával kapcsolatos nem nyilvános információk, a szerződések, az üzleti tárgyalások anyagai, az esetleges fejlesztések, tervek, stratégiai döntések és előkészítő anyagok. A másik lényeges kérdéskör a személyes adatoké. Természetesen mindenki esetében gondoskodni kell az egyes hozzáférési adatok - így különösen az elektronikus bankoláshoz szükséges felhasználónevek és jelszavak - biztonságáról is.
A profitorientált szervezetek elsősorban az ipari kémkedéstől való vélt vagy valós félelmük miatt szeretnék a lehető legnagyobb biztonságban érezni az üzleti tevékenységükkel kapcsolatos adataikat, amelyek esetleges kiszivárgása a piaci előnyük elvesztésével fenyeget - teszi hozzá Vas Péter, a rendszerintegráción belül informatikai biztonsággal hangsúlyosan foglalkozó NetworKing Informatika Kft. ügyvezetője. A non-profit szervezetek esetében viszont főként a személyiségi jogi adatok védelme a cél, amelynek esetleges hanyag kezelése jogi kérdéseket vet fel.
A védelmi szintet - cégmérettől függetlenül - az adott szervezetnél tárolt legkényesebb adatnak kell meghatároznia. Nyilván az optimumra kell törekedni, az adatok érzékenységéhez mérten a maximális biztonság elérése a cél, ugyanakkor felesleges ágyúval verébre lőni. Az optimumtól való legkisebb eltérés is anyagi veszteséget okoz(hat) az adott szervezetnek.
Az adatok védelme mégsem pusztán financiális kérdés, nem szabad figyelmen kívül hagyni az emberi erőforrást, amely naivitásával hatalmas kockázatot jelenthet az adatok biztonságára, megkönnyítve a külső támadók dolgát.
Az első lépés a social engineering
Az etikus biztonsági vizsgálat célja az informatikai rendszerekben rejlő biztonsági hiányosságok, rések feltárása, valamint megvalósítási javaslatok kidolgozása a gyenge pontok kiküszöbölése érdekében.
Az első lépés a social engineering, vagyis annak vizsgálata, hogy az esetleges emberi közreműködés mennyiben lehet felelős az informatikai hálózat sebezhetőségéért.
Ezt követi a külső behatolási teszt, majd a belső rendszer tesztje, amelynek során a belső hálózat felől kell feltérképezni a rendszert és annak sebezhetőségi pontjait. Az etikus biztonsági vizsgálatot a kiszolgálók és a hálózati erőforrások ellenőrzése zárja.
A megrendelőnek nem származhat kára
Ez a tevékenység addig etikus, amíg az ügyfél tudtával és beleegyezésével, igényeinek megfelelően zajlik.
A megrendelőnek nem származhat kára a szolgáltatásból kifolyólag, legyen szó akár adatvesztésről, akár anyagi jellegű kárról - hangsúlyozza Vas Péter.
Mayer Erika szerint így ezen a területen "szürke zónáról" sem lehet beszélni, hiszen a Btk. értelmében mindenfajta jogosulatlan behatolás bűncselekménynek minősül.
Azt, hogy be kell-e avatni a megrendelőt a "betörés" minden részletébe, vagy elegendő visszamenőlegesen tájékoztatni, a biztonsági vizsgálatról szóló megállapodásban kell rögzíteni.
Általában azoknál a szervezeteknél, ahol van erre szabad humán erőforrásbeli kapacitás, szeretik nyomon követni a folyamatokat - magyarázza Vas Péter -, ahol pedig ez nem biztosított, inkább a végeredményre és a javaslatra korlátozzák figyelmüket. Mayer Erika ezt azzal egészíti ki, hogy a hackernek nyilván nem érdeke a szakmai tudását ilyen mértékben megosztani a megrendelővel. (folyt.)
Kapcsolódó cikkek
- E-mailen terjedő átverés a Football EB-hez kapcsolódóan
- Anyagi haszonszerzés motiválja a célzott cyber-támadásokat
- Egyre növekszik a kereslet az etikus hackerek iránt
- WP: amerikai-izraeli kémvírust vetettek be az iráni komputerhálózat ellen
- NYT: Obama kiber-támadásokat rendelt Irán ellen
- Hackertámadás a Heves megyei önkormányzat ellen
- A növekvő internetes bűnözés ellen küzd a sanghaji rendőrség
- Brüsszel az USA segítségét kéri a kiberbűnözés leküzdéséhez
- Új hekkertámadások – A hagyományos tűzfalak ideje lejárt
- Meghackelte az Anonymous a Jobbik honlapját