Ne bántsátok a hackereiteket!

Az alábbi írás kollégánk személyes véleményét tükrözi, az abban foglaltakkal a Stratis nem feltétlenül azonosul.

Nemrég Berlinben jártamban-keltemben bementem Németország egyik legnagyobb könyvesboltjába a Friedrichstrassén, és a negyedik szinten szemügyre vettem az IT-témájú könyveket. Sokat vártam a körbenézéstől, ugyanis a bolt bejáratán ott díszelegnek az O'Reilly, a Cisco Press és számos egyéb neves kiadó logói: olyan könyveket lehet itt a kényelmes kanapékon tejeskávézás közben lapozgatni, amelyek kis hazánkba maximum az Amazonról jutnak el futárszolgálattal, meglehetősen borsos áron. Sajnos csalódás lett a dologból: a temérdek Photoshop, 3DS MAX, Xp/Server2008/Ubuntu for beginners/stb. könyv mellett nulla, azaz totálisan zéró darab biztonsági témájú könyvet tartanak a boltban. Kérdeztem az eladót, hogy IT-Sicherheit témában hol találok olvasnivalót, de a srác tágra nyílt szemmel, majdhogynem suttogva mondta, hogy ilyesmit pár éve nem árulhatnak Németországban, a vonatkozó témájú anyagokat illegális letöltéssel, vagy külföldön élő ismerősökhöz rendelik meg az érdeklődők.

Meglepett a dolog, és kicsit utánaolvastam: 2007 tavaszán hoztak olyan törvényeket Németországban (nem sokra rá pedig az Egyesült Királyságban), amelyek nem kis felháborodást és vihart kavartak IT-biztonsági körökben, ugyanis a sogenannte "hacking tool" kategóriába eső szoftverek használatát és telepítését törvényellenesnek és büntetendőnek minősítették. A törvény ellenzői azzal érveltek, hogy nem lehet egyértelműen veszélyesnek minősíteni egy eszközt pusztán a funkciói alapján, ugyanis rendszeradminisztrátorok, biztonsági szakemberek legitim célokra használják ezen eszközöket - hasztalan.

Ezzel pedig együtt jár az is, hogy a "veszélyes" tudást átadó könyveket, anyagokat egész egyszerűen kitiltották a könyvesboltokból. Amiről nem lehet könyvet kapni, az nincs, tehát nem jelent veszélyt: a derék német honpolgárok nem tudják meg azt, hogy mit jelent az Xmas-scan, vagy hogy hogyan lehet exploitot összerakni egy rosszul megírt SUID-os programhoz.

Doublethink, teccikérteni.

A téma jóval túlmutat azon, hogy Németországban milyen eszközöket (nem) szabad telepíteni: körbejárva karcolgatjuk azt, hogy az internettel terjedésével, a vebkettővel és a mindennapi munkavégzés "onlájnizálódásával" járó kockázatokkal nemigen tudunk mit kezdeni. A cél, a törekvés persze érthető és teljesen elfogadható: igenis lehessen elítélni a spammelőket, a botneteket pénzért építő és zsarolási célokra bérbeadó "szakembereket", az adathalászokat és az ipari kémeket, viszont ezekkel az intézkedésekkel pont az ellenkezőjét fogják elérni annak, amiért végül is a törvények születtek.

Egyrészről a tudás attól, hogy nincs szem előtt, még mindig elérhető. Azokat a könyveket, amiket nem lehet kapni a boltokban, az esetek 99%-ában le lehet tölteni az internetről, vagy külföldön be lehet szerezni.

Másrészről azok az eszközök, amiket széles mozdulattal átlöktek a szürke zónából a feketébe, sok esetben éppenhogy növelik az információ biztonságát azáltal, hogy a rendszerek üzemeltetői, adiminisztrátorai a támadások során használt eszközökkel vizsgálhatják az eszközeiket. Nyilván van igazság abban is, hogy ezekkel az eszközökkel kárt is lehet okozni, de erre megoldást jelent az, hogy minden esetben büntetik a birtoklásukat, függetlenül attól, hogy milyen célokra (nem) használják őket?

Harmadik oldalról ez az intézkedés lehetővé teszi azoknak a srácoknak a gyors pellengérre állítását és nyilvános meghurcolását, akik szólnak a felfedezett biztonsági hiányosságokról az érintett rendszerek üzemeltetőinek. A legtöbb esetben sajnos az a tapasztalat, hogy addig nem történik semmi érdemleges, amíg tényleges kár nem következik be a sebezhetőség, hiba miatt (akár reputációs kár -"indexcímlap-faktor"-, akár tényleges anyagi), vagy ha történik is, rendőrségi ügy lesz az ellen, aki szólt a hibáról: miért is hekkelgeti a gyerek itten a rendszereinket?!

Negyedrészt ott van az, hogy a legtöbb biztonsági hiányosság kihasználásához (pl. SQL injection) egészen egyszerűen nem kell céleszköz, elég egy mezei böngésző. Portscannelni is lehet böngészőből, tehát a "veszélyes" eszközök magukban foglalják a böngészőket is. A Microsoft fejleszt böngészőt - ezek szerint perelhető?

A megoldást nem ezen az úton kell keresni. Tessék biztonságosan és biztonságtudatosan kódolni. Tessék biztonságtudatos protokollokat alkotni. Tessék oktatni a biztonságos rendszerüzemeltetési alapelveket (találkoztam üzemeltetővel és fejlesztővel, akiket meg kellett győzni arról, hogy nem jó ötlet plain-textben tárolni a felhasználók jelszavait). Tessék határvonalat húzni a valódi veszélyek, az ipari kémkedés és a "sziasztok! Találtam egy hibát az oldalatokon"-jellegű tevékenységek közé. És végül, de nem utolsó sorban igenis, tessék képezni a felhasználókat: legyen fogalmuk arról, hogy milyen veszélyek leselkednek rájuk.

A problémák és a veszélyek itt vannak köztünk. Attól nem múlnak el, hogy (mások) homokba dugják a fejeket.

2009. május
Kovács Zsombor