Felbérelhető hackerek a biztonságért

A valódi hackerek nem kérkednek betöréseikkel, melyek közül sokra soha nem derül fény. Ha észreveszik is a megtámadott rendszerek üzemeltetői ármánykodásaikat, a legritkább esetben tudják lenyomozni és elkapni a magasan képzett betörőket. A nyom nélküli behatoláshoz komoly technikai tudás szükséges, melyet a hackerek többnyire önképzéssel, kézikönyvek és programok biztonsági réseinek leírása alapján szereznek meg, vagy szóbeszéd alapján, egymástól tanulva.

Ez a fajta tudás természetesen a rendszerek védelménél is remekül alkalmazható, ráadásul ezeket a fogásokat ritkán tanítják egyetemen. Ezért aztán az a furcsa helyzet állt elő, hogy a rendszerük biztonságára valamit is adó vállalatok gyakran alkalmaznak hackereket, vagy főállásban rendszergazdaként, vagy eseti megbízással, melynek célja a rendszer biztonsági átvilágítása.

@Stake, a hackervállalat

Mudge, az @Stake kutatási és fejlesztési alelnöke munka közben

Amerikában számos cég alakult az ilyen megbízások kiszolgálására, az egyik leghíresebb az @Stake, melyet a L0pht hackercsoport tagjai és a Compaq, a Digital és a Forrester Research volt igazgatói alapítottak. Az @Stake januári alapítása óta olyan vállalatokat világított át számítógépbiztonsági szempontból, mint a Bertelsmann mediaSystems, a Blackstone Technology Group, az Exodus Communications, az eSprocket, és a Predictive Networks.

Béreljen hackert olcsón

Hasonló, bár jóval kisebb cég John Klein Rent-A-Hacker (Béreljen Hackert) nevű vállalkozása, mely darab- és órabérben is vállalja számítógépek és hálózatok biztonsági átvilágítását, és levédését, továbbá már korábban feltört rendszerek esetében a támadók lenyomozását is. A jó útra tért hackerek 175 dolláros órabére eltörpül a betörések által okozott kár mellett. Az amerikai Computer Security Institute márciusi felmérése szerint az Egyesült Államokban a nagy cégeknek és a kormányzati intézményeknek az utolsó 12 hónap során 265 millió dollár vesztesége származott a számítógépes betörésekből.

Itthon más a helyzet

Magyarországon a cégek óvakodnak rovott múltú hackerek alkalmazásától, a munkáltatók nem bíznak a rablóból lett pandúrokban. Gyakori azonban, hogy mégis hackerek dolgoznak neves cégeknél rendszergazdaként vagy számítógépbiztonsági szakemberként, anélkül, hogy alkalmazójuk tudna múltjukról.

Az igazi hackerek többnyire csak azért törnek be rendszerekbe, hogy bebizonyítsák, képesek rá. A hacker-etika szabályainak megfelelően nem változtatnak meg, nem tesznek tönkre semmit, sőt gyakran figyelmeztik a rendszer adminisztrátorait a legnyilvánvalóbb biztonsági hiányosságokra.

A valódi hackereket nehéz megtalálni

A valódi hacker-póz

Rejtőzködő életmódjuk miatt szinte lehetetlen rátalálni a valódi hackerekre, hiszen akik tetteikkel kérkedve hackernek kiáltják magukat, azok többnyire jól ismert biztonsági hiányosságokat kiaknázó, unatkozó gimnazista csibészek, akik mások weboldalainak összefirkálásában (,,deface") élik ki magukat. Így közel lehetetlen feladatra vállalkoztam, a jelenleg számítógépbiztonsági munkakörben dolgozó, általam megkeresett hackerek ugyanis nem kívántak nyilatkozni korábbi karrierjükről. Ketten mégis kötélnek álltak, de arra kértek, még az álnevüket is változtassam meg a cikkben

Devil nem tartja magát hackernek

Devillel egy éjszaka is nyitva tartó palacsintázóban találkoztam. A halk szavú, szégyenlős mosolyú huszonéves fiú barátai szerint az egyik legprofibb magyar számítógépbiztonsági szakértő, egyúttal az egyik legügyesebb hacker is. Devil azonban cáfolta korábbi információimat: mint elmondta, nem tört fel oldalakat. ,,Talán képes lennék rá, sokszor volt, hogy manipuláltam dolgokat "just for fun".. de egy oldal átírása vagy megtörése nagyobb hullámokat kavarna.. hiányzik az indíttatás, meg nyuszi vagyok hozzá. Sokszor benn jártam itt-ott - anélkül, hogy tudott volna róla a gazdája - de nem változtattam meg soha semmit." A jelenleg külföldön dolgozó Devil remek példája a hackerből lett rendszergazdának, aki ismeri a rendszerek biztonsági hiányosságait, épp ezért feltörni és megvédeni egyaránt képes azokat.

Mr. Wolf problémákat old meg

Az örökké fekete ruhában járó Mr. Wolf hét évvel ezelőtt még egyetemista volt. Akkoriban komoly vihart kavart egy magyar nyelvű levelezőlistán azzal, hogy magára vállalta egy amerikai kormányhivatal szerverének feltörését. Mr Wolf elmondta, hogy azóta számos hazai és külföldi egyetemi, állami és céges szervert is feltört, a rendszerek nevét azonban nem akarta elárulni. A számítógépes underground korábbi sztárja, Mr. Wolf azóta saját céget alapított, amely számítógéprendszerek biztonsági átvilágításával foglalkozik.

A számítógépbiztonsági szakmában idehaza nem számít jó ajánlólevélnek az, ha valaki profi hacker: a Rent-A-Hacker szolgáltatásai feltehetőleg nem vonzanák a magyar ügyfeleket. Hiába védi számos biztosíték, például titoktartási szerződés az ügyfeleket, a cégvezetők egyelőre bizalmatlanok a jó útra tért kalózokkal szemben.

A magyar cégek bizalmatlanok

Arra a kérdésre, hogy alkalmaznak-e, vagy alkalmaznának-e hackereket rendszerük biztonsági átvilágítására, az OTP Bank nem kívánt válaszolni. A MatávNet kommunikációs igazgatója, Pohly Ferenc kérdésemre elmondta, hackereket semmiképpen nem alkalmaznának, az pedig, hogy rendszereik biztonsági átvilágítását hogyan oldják meg, üzleti titokként kezelik. A MatávNet elítéli a hackereket és tevékenységüket, az általuk birtokolt technikai tudást azonban pozitív célokra is lehetne hasznosítani, mondta Pohly.

Hackereket sehol sem alkalmaznak

Árak Rent-a-hacker Webszerver biztonsági ellenőrzése 875 dollártól Internet gateway biztonsági ellenőrzése 1275 dollártól Betolakodó lenyomozása, rendszer biztonságossá tétele támadás után 175 dollártól óránként Személyi számítógép biztonsági csomag 250 dollártól Internet Security Systems Számítógéprendszer biztonsági szűrése évi 10,000 dollártól IBM Etikus Hackerek Számítógéprendszer biztonsági ellenőrzése 15,000 - 40,000 dollár Icon Számítógéprendszer biztonsági ellenőrzése 500 ezertől több mint tízmillió forintig Montana Számítógéprendszer biztonsági ellenőrzése 500 ezertől több mint tízmillió forintig

A számítógépbiztonsági szolgáltatásokat is kínáló Montana Rt. munkatársai között sem praktizáló, sem korábban praktizáló hackerek nincsenek - tudtam meg Pósa Gabriellától, a cég kommunikációs igazgatójától. Mint elmondta, ,,ez a szakma olyannyira a bizalomra épül, hogy a lehetőségét is ki kell zárni annak, hogy kollégáink közül bárki is esetlegesen kísértésbe esve kárt okozzon bármely ügyfelünk vagy akár tetszőleges cég informatikai rendszerében. Mindazonáltal vannak olyan tapasztalt kollégáink is, akik már több mint 20 éve foglalkoznak behatóan ezzel a témakörrel, de csakis a védelmi oldalról. Kollégáink a felvételi beszélgetések során komoly követelményeknek kell megfeleljenek, nemcsak szakmailag, hanem a megbízhatóság, a titoktartás is alapkövetelmény a szakmában."

A tudásra szükség van

Az Icon sem alkalmaz hackereket, mondta el kérdésemre Konkoly Thege Szabolcs, az Icon biztonsági üzletágának vezetője. A profi számítógépbiztonsági szakembereknek azonban mindazzal a tudással rendelkezniük kell, mint a hackereknek, hogy hatékonyan tudják megvédeni a rendszereket a behatolóktól. A cég munkatársai ezért rendszeres olvasói a legújabb biztonsági hiányosságokat és betörési technikákat ismertető hackeroldalaknak és az IRC vonatkozó csatornáinak.