Hackertalálkozó Hollandiában - hasznos ez?

Az elmúlt években több olyan biztonsággal kapcsolatos esemény kapott széles körben visszhangot, melyek nagyobb odafigyelést eredményeztek a biztonsági feladatok kezelésére. Címszavakban ezek voltak az e-mail vírusok, mint például Melissa és a Love Letter, a távolról vezérelhető több helyről egyidőben indítható, a szolgáltatást bénító támadások, honlapok átírása vagy hazai szolgáltatóhoz történt betörést követő ügyféladat kiadások. Ezek az események növelték a szaksajtóban is a biztonsággal foglalkozó cikkek számát, és lassan helyére került a hacker és cracker közötti különbség is. Mindennek köszönhetően vélhetőleg most még több érdeklődőt vonz majd a hollandiai hacker ,,kell egy hét együttlét" találkozó.

A szervezők felállították a HAL2001 (Hacking At Large 2001) rendezvény Web szerverét (http://www.hal2001.org), elindultak a különböző levelezési listák az előadások szervezésétől a sajtóban történő megfelelő megjelenés menedzseléséig minden fronton. A gépezet beindult.

A tábor most is a föld legnagyobb szabad ég alatti számítógépes hálózata lesz, de a cirkuszi sátor helyett az egyetem több előadóterme szolgál majd az előadások megtartására. Lesz így is több sátor, és szabadtéri színpad is. Az 1997-es folyóparti fürdőzéssel szemben úszómedence, az önkéntesekkel működtetett étkezdékkel szemben étterem is kiszolgálja a táborlakók igényeit. Az egyetemi campus részletes térképe is elérhető a HAL2001 honlapjáról.

A táborlakók saját gépeiket magukkal vihetik, és a helyszínen kiépített hálózathoz csatlakozhatnak a központban kapott IP-címmel. 1997-ben volt, aki csak egy hátizsákkal érkezett, és a helyszínen vásárolhatott párezer forintnak megfelelő összegért olyan terminált, amivel csatlakozhatott a hálózathoz. Volt olyan is, aki terepjáróján elhozta saját parabolaantennáját és számítógépét.

A számítógépes rendszerek biztonságáról szóló előadások mellett más témakörben is lesz előadás vagy bemutató, hiszen ,,a hackelés nem technikai dolog, hanem életforma". A rendezvényen várható nemcsak hacker és érdeklődő netizenek, de cégeknél vagy éppen kormányhivatalokban dolgozó alkalmazottak jelenléte is. Az 1997-es magyar csapatból is ma már többen tőzsdei, banki, internetszolgáltató vagy éppen külföldi vezető telekommunikációs cégnél dolgoznak...

Hasznos mindez? Több szempontból is igen. Egy ilyen tábor nem a bűn gerjesztője, bár kétségtelenül adhat olyan ismeretet, amit arra is fel lehet használni. Ugyanakkor a nyilvánosságra kerülő biztonsági problémák segítik, hogy előbb-utóbb megoldásra kerüljenek. Képzeljük el azt a helyzetet, amikor egy rendszer úgy terjed el, hogy annak biztonsági problémája nem derül ki, de a probléma benne van a rendszerben. Időzített bomba, ami annál nagyobbat robban, minél elterjedtebb a rendszer, és ehhez képest későn derül ki a biztonsági rés.

Példákkal jobban megvilágítható az elmélet: a nagy vihart kavart DDoS (Distributed Denial of Service) elméleti lehetőségét a biztonsággal foglalkozó szakma jóval korábban ismerte. Amint akadt olyan, aki kihasználta, nagyobb figyelem fordult a megoldási lehetőségek felé. Az a hazai nternetszolgáltató is nagyobb figyelmet fordít a biztonságra, akihez betörtek.

A nagyobb cégek felé a hackerek megteszik azt a korrekt lépést, hogy a jelentett probléma nyilvánossá tételével várnak, amíg a gyártó nem jön ki a javítással. Ekkor sincs garancia, hogy minden rendszergazda alkalmazza a javítást, de ez már más lapra tartozik. Közben sokszor ismétli önmagát az élet, mert van olyan eset, amikor a gyártó nem is válaszol a hibát bejelentőnek, de pár hónappal később mások is rájönnek az adott biztonsági problémára, így az előbb-utóbb olyan kezekbe kerülhet, akik kihasználják. A nyilvánosság ilyenkor sokkal gyorsabban teremt megoldást, mint a gyártó noszogatása. A részleteket a BUGTRAQ hírlevélben megtalálhatják az érdeklődők a http://www.securityfocus.com címről indulva és a router szóra keresve a megfelelő számban (Digest - 30 Nov 2000 to 1 Dec 2000 (#2000-272)).

Ahogy Bruce Schneier megfogalmazta, a biztonság nem egy termék, hanem egy eljárás, úgy nem a hacker alkalmazása a garancia arra, hogy nem lesz biztonsági probléma a cégnél. Első körben olyan kérdéseket kell feltenni, mint: ,,Van a cégemnek biztonsági politikája és szabályzata?", ,,Van a cégnél olyan alkalmazott, aki ennek a szabályzatnak a betartatásáért felel?", ,,Kaptak az alkalmazottak oktatást informatikai biztonság témakörben?". Nincs 100 százalékos biztonság, csak tudatos kockázatvállalás, és ha ez megvan, akkor érdemes elgondolkodni a kockázatmenedzsment módján. Ezek után érdemes ellátogatni a HAL2001-témakörű rendezvényekre, és a látókört bővíteni, majd ezek alapján újabb kérdéseket feltenni.

Nem lehet tudni, milyen módon történhetett meg, hogy a HIP97-en folytatott mobiltelefonos beszélgetés nem jelent meg az otthon kapott számlán, de elgondolkodtató lehet, hogy az egyre terjedő mobilbank megoldások biztonságára jobban odafigyeljünk. Itt is deja-vu érzése támadhat a szakembernek, ha az SMS biztonsági hiányosságaira hívja fel a banki informatikai igazgató figyelmét, azt a választ kapja, hogy ,,még senki se élt vissza vele".