Kopogtatás nélkül, kétségbeesetten rontott be a rendszergazda az ügyvezető szobájába. Baj van, valaki betört a rendszerünkbe – hadarta izgatottan. Főnöke előbb hümmögött valamit, majd amikor a feldúlt informatikus kisietett, elégedett arccal dőlt hátra. Úgy látszik, mégsem volt kidobott pénz, amit annak az IT biztonsági vállalkozásnak fizetett. A hazai középcég főnöke egy, nálunk még nem gyakori szolgáltatást rendelt meg: az etikus hackelést. Ez lényegében egy speciális biztonsági teszt. A szakember a hackerek ismereteit, eszközkészletét és módszereit felhasználva próbál meg bejutni a rendszerbe, így ellenőrizve annak erősségét.
Az effajta tesztelésre alapvetően a biztonsági környezetek sokfélesége miatt van szükség. Az informatikai eszközök beállítása emberi közreműködést igényel, nem automatizálható, az ember pedig hibázhat. Az etikus hackelést általában a kiépített rendszer egyfajta „záróvizsgájának” tekintik, és kizárólag külső biztonsági cégtől rendelik meg.
A módszer viszonylag ritka hazai alkalmazásának számos oka van. Először is a megbízott biztonsági céggel szemben abszolút bizalmat igényel. Emellett hosszadalmas előkészület szükséges hozzá, s az emberierőforrás-igény miatt drága a szolgáltatás. A legnagyobb probléma azonban, hogy a cégek jó része még mindig eszközalapon tekint az informatikai biztonságra. Hajlandó komoly összeget szánni egy rendszer beszerzésére, de a professzionális telepítésre, a behangolásra, a karbantartására, továbbá a begyűjtött információ rendszeres elemzésére már nem költ.
Képesítése: etikus hacker
Az EC Council nevű szakmai szervezet által felügyelt Certified Ethical Hacker (CEH) képesítés megszerzéséhez egy 150 kérdésből álló vizsgát kell letenni, legalább 70 százalékos eredménnyel. A terület gyors fejlődése miatt a vizsga tematikája gyakran változik, és ezt is folyamatosan karban kell tartani, vagyis továbbkép-zésekkel adott számú pontot gyűjteni. Hazánkban a NetAcedemia szervez a témában oktatást és tart a képesítés megszerzéséhez vizsgát, amely az interneten és külföldi központokban is elérhető.
A sikeres, azaz használható eredményekkel szolgáló teszt záloga a jó előkészítés. Szakmai oldalról meg kell határozni, hogy a rendszer mely elemeit kívánjuk teszteltetni és milyen hatókörben. Például mikor kezdődjön és fejeződjön be az ellenőrzés, a tesztelő megpróbálhat-e bejutni az épületbe és hasonlók. Ki kell jelölni egy olyan, megfelelő hatáskörrel rendelkező személyt, akit az akció ideje alatt bármikor el lehet érni, ha valamilyen probléma lép fel, s a folytatáshoz jóváhagyásra van szükség. Objektív eredményt csak akkor várhatunk, ha az informatikai személyzet nem tud semmiről.
Jogi oldalról is rendezni kell a viszonyokat; a felek kölcsönös titoktartási szerződést kötnek, a megbízó a vállalkozótól referenciákat, utóbbi pedig garanciákat kérhet. Volt már rá eset, hogy a felmondási idejét töltő vezető akart tesztelést kérni, egy másik cég pedig egyik versenytársa weboldalának az „etikus” hackelését akarta megrendelni.
A teszt első fázisa az információgyűjtés. Ennek passzív része, amikor legális módon, elvileg bárki által hozzáférhető adatokat kutatnak fel. Az aktív szakaszban a hálózaton át próbálják feltérképezni a megrendelő rendszerét, az egyes eszközöket, kiszolgálókat, a rajtuk futó operációs rendszereket, alkalmazásokat. Ezekre a feladatokra számos kész alkalmazás érhető el az interneten.
A tényleges támadás általában a legrövidebb része a tesztnek. A támadó ehhez egyrészt az említett, neten elérhető szoftvereszközöket használja. Jobb esetben lehetnek saját maga által készített megoldásai, illetve bevethet házilag továbbfejleszthet kész szoftvereket is. A hacker alapvetően háromféle módon manipulálhatja a megtámadott informatikai rendszert: jogtalan hozzáféréshez jut (például feltöri a jelszót), kiterjeszti a megszerzett jogosultságot, vagy a feladata ellátására képtelenné teszi a szisztémát, leállítja vagy túlterheli azt. Az utolsó, de fontos fázis a jelentés elkészítése, amely egyrészt jegyzőkönyvszerűen rögzíti a teszt minden egyes lépését, másrészt összegzi a tapasztalt hiányosságokat.
DIAGNÓZIS ÉS TERÁPIA. Egy ilyen jegyzőkönyv nyilván csak a hozzáértőknek mond valamit. A hiányosságok kiküszöböléséhez nemcsak az informatikai, hanem az üzleti folyamatokat is át kell látni, és elengedhetetlenek a megfelelő gyakorlati tapasztalatok. Közismert probléma például, hogy a felhasználók egyszerű, könnyen megjegyezhető, ezért próbálkozásokkal feltörhető jelszavakat választanak, és nem szívesen cserélik azokat. Adminisztratív módon mindkettő ellen lehet védekezni. Korlátozhatók a próbálkozások száma úgy, hogy mondjuk 3 vagy 5 rossz jelszó megadása után a rendszer letiltja a felhasználót, aki mehet a rendszergazdához új jelszót kérni. A jelszó érvényessége időben is behatárolható, s kiköthető, hogy a felhasználó jó ideig ne választhassa korábbi jelszavai valamelyikét. A fentiekkel látszólag minden szükséges lépés megtörtént a biztonság érdekében. Csakhogy ilyen körülmények között szinte bizonyos, hogy a felhasználók zöme le fogja írni a jelszavát, és valahol a gépe közelében őrzi majd. Hiába foltozták be az egyik lyukat, egy másik szivárogni fog, és ezt a rést, ha akaratlanul is, de belülről nyitották meg.
Biztonsági kiskáté
MEGBÍZHATÓSÁG. Csak olyan, megbízható referenciákkal rendelkező céget kérjünk fel a tesztelésre, amely egyértelműen dokumentálni tudja a teszt minden lépését, és akár hatósági tanú jelenlétébe is beleegyezik. „Megtért” hackereket akkor se alkalmazzunk, ha lényegesen olcsóbban dolgoznak.
SZAKISMERET. Amennyiben nincs megfelelő képzettségű saját informatikusunk, a teszt eredményével önmagában nem sokra megyünk. Ezért olyan céget válasszunk, amely ismeri a felderített hiányosságok üzleti kockázatát és képes az orvoslásukra is.
KORLÁTOZOTT HATÓKÖR. Ha a rendszernek csupán egy, vagy néhány elemét teszteljük, a teljes rendszert ennek az eredményei alapján nem minősíthetjük.
IDŐTÉNYEZŐ. A teszt „pillanatfelvételt” ad a rendszer állapotáról; ha az utóbbin bárhol változtatunk, már nem biztos, hogy érvényesek maradnak a teszt megállapításai.
IRÁNYELVEK. A biztonság nem állapot, hanem folyamat. Egy ilyen teszt jól mutathatja, hogy hol tartunk ebben a folyamatban, de átfogó biztonsági irányelvek kialakítása és szigorú betartatása nélkül mindez kidobott pénz.
