Nemrég Berlinben jártamban-keltemben bementem Németország egyik legnagyobb könyvesboltjába a Friedrichstrassén, és a negyedik szinten szemügyre vettem az IT-témájú könyveket. Sokat vártam a körbenézéstől, ugyanis a bolt bejáratán ott díszelegnek az O'Reilly, a Cisco Press és számos egyéb neves kiadó logói: olyan könyveket lehet itt a kényelmes kanapékon tejeskávézás közben lapozgatni, amelyek kis hazánkba maximum az Amazonról jutnak el futárszolgálattal, meglehetősen borsos áron. Sajnos csalódás lett a dologból: a temérdek Photoshop, 3DS MAX, Xp/Server2008/Ubuntu for beginners/stb. könyv mellett nulla, azaz totálisan zéró darab biztonsági témájú könyvet tartanak a boltban. Kérdeztem az eladót, hogy IT-Sicherheit témában hol találok olvasnivalót, de a srác tágra nyílt szemmel, majdhogynem suttogva mondta, hogy ilyesmit pár éve nem árulhatnak Németországban, a vonatkozó témájú anyagokat illegális letöltéssel, vagy külföldön élő ismerősökhöz rendelik meg az érdeklődők.
Meglepett a dolog, és kicsit utánaolvastam: 2007 tavaszán hoztak olyan törvényeket Németországban (nem sokra rá pedig az Egyesült Királyságban), amelyek nem kis felháborodást és vihart kavartak IT-biztonsági körökben, ugyanis a sogenannte "hacking tool" kategóriába eső szoftverek használatát és telepítését törvényellenesnek és büntetendőnek minősítették. A törvény ellenzői azzal érveltek, hogy nem lehet egyértelműen veszélyesnek minősíteni egy eszközt pusztán a funkciói alapján, ugyanis rendszeradminisztrátorok, biztonsági szakemberek legitim célokra használják ezen eszközöket - hasztalan.
Ezzel pedig együtt jár az is, hogy a "veszélyes" tudást átadó könyveket, anyagokat egész egyszerűen kitiltották a könyvesboltokból. Amiről nem lehet könyvet kapni, az nincs, tehát nem jelent veszélyt: a derék német honpolgárok nem tudják meg azt, hogy mit jelent az Xmas-scan, vagy hogy hogyan lehet exploitot összerakni egy rosszul megírt SUID-os programhoz.
Doublethink, teccikérteni.
A téma jóval túlmutat azon, hogy Németországban milyen eszközöket (nem) szabad telepíteni: körbejárva karcolgatjuk azt, hogy az internettel terjedésével, a vebkettővel és a mindennapi munkavégzés "onlájnizálódásával" járó kockázatokkal nemigen tudunk mit kezdeni. A cél, a törekvés persze érthető és teljesen elfogadható: igenis lehessen elítélni a spammelőket, a botneteket pénzért építő és zsarolási célokra bérbeadó "szakembereket", az adathalászokat és az ipari kémeket, viszont ezekkel az intézkedésekkel pont az ellenkezőjét fogják elérni annak, amiért végül is a törvények születtek.
Egyrészről a tudás attól, hogy nincs szem előtt, még mindig elérhető. Azokat a könyveket, amiket nem lehet kapni a boltokban, az esetek 99%-ában le lehet tölteni az internetről, vagy külföldön be lehet szerezni.
Másrészről azok az eszközök, amiket széles mozdulattal átlöktek a szürke zónából a feketébe, sok esetben éppenhogy növelik az információ biztonságát azáltal, hogy a rendszerek üzemeltetői, adiminisztrátorai a támadások során használt eszközökkel vizsgálhatják az eszközeiket. Nyilván van igazság abban is, hogy ezekkel az eszközökkel kárt is lehet okozni, de erre megoldást jelent az, hogy minden esetben büntetik a birtoklásukat, függetlenül attól, hogy milyen célokra (nem) használják őket?
Harmadik oldalról ez az intézkedés lehetővé teszi azoknak a srácoknak a gyors pellengérre állítását és nyilvános meghurcolását, akik szólnak a felfedezett biztonsági hiányosságokról az érintett rendszerek üzemeltetőinek. A legtöbb esetben sajnos az a tapasztalat, hogy addig nem történik semmi érdemleges, amíg tényleges kár nem következik be a sebezhetőség, hiba miatt (akár reputációs kár -"indexcímlap-faktor"-, akár tényleges anyagi), vagy ha történik is, rendőrségi ügy lesz az ellen, aki szólt a hibáról: miért is hekkelgeti a gyerek itten a rendszereinket?!
Negyedrészt ott van az, hogy a legtöbb biztonsági hiányosság kihasználásához (pl. SQL injection) egészen egyszerűen nem kell céleszköz, elég egy mezei böngésző. Portscannelni is lehet böngészőből, tehát a "veszélyes" eszközök magukban foglalják a böngészőket is. A Microsoft fejleszt böngészőt - ezek szerint perelhető?
A megoldást nem ezen az úton kell keresni. Tessék biztonságosan és biztonságtudatosan kódolni. Tessék biztonságtudatos protokollokat alkotni. Tessék oktatni a biztonságos rendszerüzemeltetési alapelveket (találkoztam üzemeltetővel és fejlesztővel, akiket meg kellett győzni arról, hogy nem jó ötlet plain-textben tárolni a felhasználók jelszavait). Tessék határvonalat húzni a valódi veszélyek, az ipari kémkedés és a "sziasztok! Találtam egy hibát az oldalatokon"-jellegű tevékenységek közé. És végül, de nem utolsó sorban igenis, tessék képezni a felhasználókat: legyen fogalmuk arról, hogy milyen veszélyek leselkednek rájuk.
A problémák és a veszélyek itt vannak köztünk. Attól nem múlnak el, hogy (mások) homokba dugják a fejeket.
2009. május
Kovács Zsombor
2009. május 27., szerda
Ne bántsátok a hackereiteket!
Az alábbi írás kollégánk személyes véleményét tükrözi, az abban foglaltakkal a Stratis nem feltétlenül azonosul.
Feliratkozás:
Megjegyzések küldése (Atom)
Komoly tiltakozások is voltak a törvényjavaslat ellen, aztán amikor elfogadták, az egyik legjobb Maces wifi szkenner ki is költözött demonstratíve a .de TLD alól: http://kismac.de
VálaszTörlésAmúgy javíts, ha tévedek, de nem pont ugyanennek a törvénynek van egy kicsit kevéssé komolyanvett hazai verziója is a háromszázas gumitörvény személyében, ami mintha EU irányelvként kezdte volna pályafutását.
Megtalálható a törvény pontos szövege például itt:
VálaszTörléshttp://ethicalhacking.hu/btk300.aspx
Az a probléma a "számítástechnikai bűncselekmények" jogi definíciójával, hogy meglehetősen széles területet szeretne lefedni, viszont pont emiatt nem tud kellően specifikus lenni.
Számtalan helyen lehet kukacoskodni (például mit jelent az "adatok megváltoztatása" ugyanis ez alapján a reflected XSS-es phishingre nem vonatkozik, hiszen a szerveren semmit sem változtat meg a támadó), viszont a gyakorlatban a bíróság által kirendelt szakértők véleménye alapján fogják alkalmazni.
Update: érdekes a téma, ezért felvettük a kapcsolatot egy ügyvéddel. Ha minden igaz, készít egy összefoglalót a témában: amint elkészül, belinkeljük.
VálaszTörlésKét cikk, a hackelés jogi vonatkozásairól a http://drdudas.hu/ugyved/publikaciok oldalról:
VálaszTörléshttp://www.linuxvilag.hu/content/files/cikk/52/cikk_52_80_81.pdf
http://www.linuxvilag.hu/content/files/cikk/54/cikk_54_80_81.pdf