Becses árucikkre bukkant pár hete a Bit néven ismert orosz hacker. Felfedezett egy hibát a Microsoft Internet Explorer programjában, amely sebezhetővé teszi böngészőt – és egyúttal rájött arra is, hogyan lehet azt kihasználni. Azonmód fel is kínálta áruját az internetes alvilág egyik, a vírusgyártók által frekventált chatszobájában. „Eladok egy nulladik napi Internet Explorer-behatolást” – állt a http://forum.web-hack.ru honlapon július közepén megjelent hirdetésében. S mennyit kért a portékájáért? 300 dollárt.
Hacker-konferencia. Előjönnek az internet sötét zugaiból.
Bit még sok más helyen hirdethetett volna. A web-hack.ru csak a számos piac egyike a szoftverek sebezhető pontjaival folytatott nagyszabású alvilági kereskedelemben. A hackerek imádják kifürkészni az effajta hibákat, a szervezett bűnözők pedig – állítják biztonsági szakértők – nagy pénzeket fizetnek minden olyan információért, amelynek segítségével bejuthatnak vállalati adatbázisokba, vagy megszerezhetik egyes emberek személyes adatait.
Pontosabban: így zajlott ez eddig, mostanában viszont a történet minden jel szerint új fordulatot vett. Számítógépes biztonsági cégek az elmúlt időszakban jó néhány legális piacot hoztak létre, ahol hajlandók fizetni az egyébként a másik oldalon álló hackereknek az információért. A kezdeményezés fölöttébb ellentmondásos, hiszen a kiskapuk megtalálását díjazzák, azaz – legalábbis kívülállók szerint – törvénytelen tevékenységet ösztönöznek anyagilag. A cégek ellenben arra hivatkoznak, hogy a szabadpiaci módszerrel kritikus információkhoz jutnak, amelyek révén ügyfeleik védelmét erősíthetik.
TÖRZSUTASSÁ VÁLNAK. Az ágazat egyik szereplője, a 3Com tulajdonában lévő TippingPoint a minap indította be a maga piacát Nulladik Nap Kezdeményezés (Zero Day Initiative) néven. A „nulladik nap” kifejezés a hackerek egyik céljára utal: még azelőtt megtalálni a szoftverhibákat, hogy a gyártó is felfedezné, majd kijavíthatná azokat. A projekt részeként a TippingPoint – a légitársaságok törzsutas-programjához hasonlóan – pontokat ad a hackereknek, akik akár 20 ezer dollárnyi bónuszt is összeszedhetnek, ha rendszeresen szállítanak. „Nagyszerű dolog, hogy az információ olyanoktól jön, akik máskülönben a feketepiacon adnák el azt. Ez a jövő útja” – lelkendezik Marc Willebeek-LeMair, a 3Com technológiai igazgatója.
A TippingPoint kezdeményezése jól példázza, hogy a technológiai ipar újszerű módon igyekszik megbirkózni a hackelés jelentette problémával. A technológiai védelmi eszközök önmagukban nem képesek megállítani a számítógépes vírusok, behatolások és visszaélések áradatát. Néhány vállalat ezért úgy döntött, hogy kapcsolatokat épít ki a hackerközösséggel. Céljuk biztosítani a felelősségtudattal megáldott hackerek, az úgynevezett fehér kalaposok (White Hats) segítségét, hogy eredményesebben küzdhessenek a rosszindulatúak, azaz a fekete kalaposok (Black Hats) ellen, és megnyerjék maguknak a két tábor között középen állókat.
Azt, hogy mennyire nem árt figyelni a hacker-kapcsolatokra, híven illusztrálja a legutóbbi Las Vegas-i Fekete Kalap konferencián – a biztonsági szakértők és hackerek éves találkozóján – kirobbant konfliktus. Az egész azzal kezdődött, hogy Michael Lynn biztonsági kutató prezentációt kívánt tartani a Cisco Systems internetes operációs rendszerében felfedezett hibákról, amivel segíteni akart a vállalat ügyfeleinek, hogy jobban megvédhessék magukat. Ám a Cisco megállapodott Lynn munkáltatójával, az Internet Security Systemsszel, hogy az előadás elmarad. Lynn erre fölmondott a cégnél, és július 27-én mégis megtartotta prezentációját. Másnap már kézhez is kapta a Cisco beadványára született bírósági végzést arról, hogy köteles közölni mindazok nevét, akinek megmutatott, eladott vagy eladni készült bármilyen Cisco-kódot vagy rendszerhiba-információt.
Eladó: szoftverkód, kis hibával
Minél nagyobb egy szoftver sebezhetősége, annál többen hajlandók fizetni az erről szóló információért. Ám a piac működése nagyban függ attól, hogy adott esetben éppen mi is a célpont.
MILYEN NÉPSZERŰ? Ha valaki hibát talál a Microsoft több milliárdnyi számítógépen használt Internet Explorer böngészőjében, azzal nyilván több pénzt kereshet, mint ha, tegyük fel, a Mozilla jóval kevésbé népszerű Firefox böngészője esetében talál sebezhető pontot.
MILYEN FONTOS? Ha egy hacker valamely rendszer sebezhető pontját kihasználva egy vállalat vezérigazgatójának a komputerébe vagy egy cég adatbázisába tud behatolni, az sokkal többet ér, mint ha csupán egy-két, vállalati szinten jelentéktelen PC-be jutna be.
MENNYIRE ALAPVETŐ? Sokkal többet hoz a konyhára, ha valaki egy Cisco router forráskódjában talál sebezhető pontot, mint ha csupán egy olyan szoftverhibára bukkan, amelyhez a többi hackernek új kódot kell írnia, hogy feltörhesse a szoftvert.
MILYEN EGYSZERŰ? Egy olyan támadható pont az Oracle adatbázis-szoftverében, amely közvetlenül a felhasználói adatokba enged betekintést, sokkal többet ér, mint egy böngésző-hiba, amelynek a kihasználáshoz „phishing” (adathalász) e-mailek özönét is el kell küldeni.
A vállalat lépése a hackereknek szóló hadüzenettel ért fel. „Túlságosan keménykezűek voltak, és a hackerközösség megdühödött rájuk” – mondja az egykor a leghíresebb hackerek közé tartozó Kevin D. Mitnick, aki börtönbüntetést is kapott tevékenységéért, ma viszont saját számítástechnikai biztonsági tanácsadó cégét vezeti. Szakértők szerint a per kezdete óta hackerek egész serege dolgozik azon, hogy feltörje a Cisco technológiáját. A társaság válaszul elhatározta: felülvizsgálja azt a gyakorlatát, hogy csak esetlegesen érintkezik hackerekkel. „Belső megbeszéléseket tartunk arról, hogy mit kellene tennünk azon túlmenően, amit jelenleg teszünk” – árulja el Robert Gleichauf, a Cisco biztonsági divíziójának technológiai igazgatója.
A másik végletet a Microsoft képviseli. Részint a Windows monopóliuma, részint a riválisok „kikészítése” miatt az óriáscég régóta kedvelt célpontja volt a hackereknek, akiket ennek megfelelően gyűlölt is. Ám ma már szoros kapcsolatokat ápol a közösség tagjaival. Ugyanazon a Las Vegas-i konferencián, ahol a Cisco-botrány kitört, a Microsoft partit adott a Caesars Palace night clubjában, ahova több mint 450 biztonsági kutató és hacker volt hivatalos. „Az egyik lehetőség az ellenséges viszony. A másik annak megértése, hogy ezeknek az embereknek szenvedélye a biztonság. Ez a parti őszinte próbálkozás volt arra, hogy fejlesszük ezt a közösséget” – mondja Kevin Kean, a Microsoft biztonsági igazgatója.
Az ágazat taktikája szemmel láthatóan az, hogy a maga oldalára állítsa azokat, akikre eddig vadászni igyekezett. Dan Kaminsky, a 26 éves autodidakta profi hacker – aki ma seattle-i otthonából irányítja DoxPara Research nevű biztonsági cégét – lát is fantáziát a Nulladik Nap Kezdeményezésben, sőt szerinte az egész hackerközösségben buzog a remény, hogy a legveszélyesebb kódok egy részét sikerül előhozni az internet sötét zugaiból. „Egy biztonsági probléma megoldásának legjobb módja az, ha megismerjük, hogyan írják a kódot. Ehhez pedig az kell, hogy a fejlesztők házon belülre kerüljenek” – vélekedik Kaminsky.
KÖRÜLTEKINTŐEN. A TippingPoint nagy körültekintéssel dolgozta ki a programját. Annak érdekében, hogy távol tartsa a visszaélésre hajlamos hackereket, megszabta, hogy valamennyi résztvevő köteles fényképes igazolvánnyal azonosítani, továbbá háttérellenőrzésnek alávetni magát. A fizetéseket csak a Western Unionon keresztül vagy banki átutalással teljesíti, azaz nem vesz igénybe olyan online szolgáltatásokat, amelyeknél a személyazonosság titokban maradhat.
A korai tapasztalatok tanúsága szerint az ilyen piacok sikeresek lehetnek. Elsőként az iDefense nevű cég kezdett fizetni a biztonsági hibákért még 2002-ben, s máig 30 ország mintegy kétszáz hackerétől 1100 problémáról kapott már információt. Ez évente nagyjából 350-et jelent, ami nem rossz ahhoz képest, hogy a Carnegie Mellon University államilag finanszírozott számítógépes biztonsági csoportja szerint tavaly összesen 3780 vírust találtak. Az iDefense azt állítja, nem dolgozik együtt olyan hackerekkel, akikről tudja, hogy kárt okoztak.
A megtértek egyike Vlagyimir Dubrovin. Az orosz biztonsági guru saját honlapján tesz közzé szoftverhibákra vonatkozó információkat, miután értesítette azokról a technológiai cégeket. Most, az iDefense programjának résztvevőjeként pénzt is kap munkájáért, így már nem osztja meg az adatokat a hackervilággal. Úgy véli: „Nem rossz választás másképpen informálni, ha fizetnek érte.” A biztonsági közösségen belül mindazonáltal sokan rossz szemmel nézik az ilyen kezdeményezéseket. Attól félnek, hogy ezentúl még több lesz a feketekalapos hacker, aki a pénz reményében gyorsabban hoz nyilvánosságra szoftverhibákat, mint ahogyan a gyártók ki tudnák javítani azokat.