A megbízás
Az ember persze nem kel fel reggel azzal a gondolattal, hogy “de jó lenne, ha néhány hacker vírusokkal támadna, és megszerezné a jelszavaimat”. Ám az igazság kiderítése olykor áldozatokkal jár. Amikor néhány ismerősömnek elmeséltem, mire készülök, többen kapásból hülyének néztek. Ahhoz nem is voltam elég tökös, hogy a zavarosban halásszak össze egy hackert magamnak. Profikat kerestem, akik ebből élnek, méghozzá legálisan.
Etikus hacker pedig van
Az etikus és a hacker szavak egymás mellé kapcsolása első hallásra talán furcsának tűnhet, pedig etikus hackerek valóban léteznek. Leginkább az különbözteti meg őket kevésbé etikus társaiktól, hogy a megrendelő kérésére magát a megrendelőt vagy a cégét (mondjuk egy bank rendszerét) támadják, hogy így próbálják megtalálni az informatikai védelem biztonsági réseit.
Úgy fest, maga a megbízás volt annyira furcsa és agyament, hogy a Security.hu hackerjeinek figyelmét felkeltse, így gyorsan összejött az első találkozó. Két gyanúsan mosolygó, harmincas éveiben járó srác fogadott. Mielőtt belevágtunk volna, elém csúsztatottak néhány papírt, mondván, hogy nézzek bele. Először elfogott a gyanú, hogy rögtön viszontlátom a pucér fotóimat, de miután rájöttem, hogy a csecsemőkort leszámítva ilyenek tudtommal még nem készültek rólam, rá mertem nézni a papírokra. A látvány, ami fogadott, azért minden volt, csak megnyugtató nem. Ott állt előttem a születési dátumom és helyem, az e-mail címem, a munkahelyeim felsorolása, az összegyűjtött cikkeim linkjei, a Twitter accountom, valamint a facebookos és az iWiw-es adatlapom és ami ezeknél is fontosabb: a budapesti lakhelyem pontos címe.
A tucatnevem se védett meg
Szögezzük le gyorsan. A srácok a telefonbeszélgetésünk alapján csak a következőket tudhatták rólam: a nevem, a telefonszámom (a saját mobilomról hívtam őket) és azt, hogy a Nők Lapja Café újságírójaként keresem őket. Adjuk hozzá azt a nehezítő tényezőt, hogy Tóth Csabának hívnak. Eddig azt hittem, hogy a tucatnevem legalább arra jó, hogy nehezebben lehessen rám találni, de ez az illúzió most néhány másodperc leforgása alatt semmivé vált. “Ezt egy-két óra alatt hoztuk össze, és csak legális keresési eszközökkel és nyilvános adatbázisokkal dolgoztunk” – magyarázták.
Persze nem az rémített meg, hogy elém pakolták az összeszedett cikkeimet vagy az email címemet, mert ezeket egy ügyesebb Google felhasználó is meg tudja szerezni, viszont a lakcímemet (ami ráadásul nem is az állandó, hanem az a cím, ahol jelenleg a barátnőmmel lakom) nem szoktam mások orrára kötni. Mint kiderült, a “gyenge pontom” a barátnőm volt, akit a facebookos fotóim alapján azonosítottak (ezért érdemes beállítani, hogy csak ismerősök lássák őket…), és az ő egyedi nevével az általuk hozzáférhető adatbázisokban ráakadtak a címünkre is.
“A megbízottat semmilyen felelősség nem terheli”
Ennyi információ bőven elegendő volt ahhoz, hogy tudjam: ezt a két embert nem árt komolyan vennem. “Ha azt hiszed, hogy csak azért, mert a melóért nem kapunk pénzt, majd nem teszünk meg mindent, hát nagyot tévedsz” – folytatták. Mivel etikus hackerekről beszélek, szerződést kötöttünk. Ez számomra azért volt fontos, hogy biztos legyek abban, hogy nem élnek vissza a rólam megszerzett adatokkal, és nem adják tovább harmadik félnek, számukra meg azért, hogy ha kissé skizofrén módon besértődnék azon, hogy például feltörik a postafiókomat, akkor még véletlenül se tudjam beperelni őket. A jogi részletekkel inkább senkit nem untatnék, de azért azt hadd jegyezzem meg, hogy a szerződés egyik passzusa szerint “A megbízottat a tevékenység végzése következtében bekövetkező adatvesztés, adatsérülés esetén semmilyen felelősség nem terheli.” Két hetet kaptak a feladatra.
Félelem és gyanakvás a gépem előtt
Mivel ebben a kísérletben én az átlagos felhasználó lennék, nem lett volna tőlem fair, ha pusztán azért, mert betojtam, minden jelszavamat 30 karakteres kisbetű/nagybetű/szám monstrummá változtatom, így abban maradtam a srácokkal, hogy minden felületen meghagyom a régi, rendszeresen használt jelszavaimat. Szerencsére a tothcsaba0123-nál vagy a születési dátumomnál azért komplexebb jelszavakkal rendelkezem, viszont korántsem annyira bonyolultakkal, hogy biztonságban érezhessem magam. Velem ellentétben az átlagfelhasználó persze nincs tudatában annak, hogy a közeljövőben támadni fogják a gépét, így én nyilván kicsit óvatosabb voltam a megszokottnál. Amint egy furcsa emailt kaptam a Nők Lapja Cafés fórumos admintól, vagy volt egy kis gond a gmailes belépésemmel, egyből a legrosszabbra gondoltam. Mint kiderült: nem egészen alaptalanul.
Két héttel később
Miután letelt a megbeszélt idő, örömmel vettem tudomásul, hogy nem omlott össze a gépem, és be tudtam lépni a levelezésembe is. Pont a találkozónk előtt két órával engem is megtalált valahogy az úgynevezett rendőrségi zsarolóvírus (amikor egy felugró oldal azt jelzi, hogy a rendőrség illegális tartalmat talált a gépeden, de ha elutalsz X összeget, akkor eltekintenek a feljelentéstől), de mint utólag kiderült, ehhez nekik nem volt semmi közük.
Az újbóli találkozóra egy napfényes belvárosi kávézóban került sor. Azzal kezdték, hogy a legkényesebb felületeimre, vagyis a levelezésembe és a Facebookomba nem léptek be. Az arcomra kiülő mosolyt némileg hervasztotta, hogy egy-két helyre viszont igen. Több fórumos regisztrációmat is feltörték, és például itt, a Nők Lapja Cafe hasábjain is bármikor tudtak volna fórumozni a nevemben. És akkor még egy szót sem szóltam az iWiwről, amit ugyan kábé két éve nem használok, de valami rejtélyes oknál fogva máig se töröltem magam. Miután most feltörték a fiókomat, talán tényleg itt lenne az ideje. Nem akarom elképzelni a szituációt, amikor valaki a nevemben írogat az ismerőseimnek.
Csak a jóindulatukon múlt
Két szakértőnk szerint a kisebb magyar levelezőrendszerek feltörése a megoldható feladatok közé tartozik, de az olyan mamutok, mint a Google, a Yahoo vagy a Facebook elég hatékonyan védik a felhasználóikat a támadásoktól, így például egy gmail-es mailcím feltörése még egy profi számára sem egyszerű feladat. Persze azért nem lehetetlen. Ők például megtalálták a kulcsot az én fiókomhoz, és csak a jófejségükön múlt, hogy nem használták.
“Miután rájöttem, hogy a visszaállítási címed egy olyan mail-szolgáltatóé, ahová már nem lehet regisztrálni, írtam nekik, hogy én vagyok a Tóth Csaba, és szeretném, ha visszaállítanák a régi címemet. Szó nélkül megtették. Ezután már csak folyamatos jelszópróbálkozásokkal kellett volna elérnem, hogy a gmail rendszere megtiltsa számodra a belépést, és így pár nap alatt a visszaállítási mail-címedről be tudtam volna lépni hozzád. Viszont gondoltam, hogy nem örülnél, ha pár napig nem tudnál belépni a levelezésedbe, így inkább nem vittem el idáig a dolgot. Ha megteszem, és már bent vagyok, akkor a Facebookon is kérek egy jelszó-visszaállítást, és akkor az is megvan.” Oké, itt egy kicsit megállt bennem az ütő. Ha tényleg csak ennyiből áll lebénítani egy mailfiókot, az minimum ijesztő. Az meg egyenesen nyomasztó, hogy bárki olvashatja minden korábbi emailemet, sőt írhat a nevemben újakat.
A WiFi is feltörhető
| Támadás belülről Ma már a legtöbb szoftverbiztonsági hibát a különböző állami hivataloknak és szerveknek dolgozó profi hackercsapatok fedezik fel. Az egymással konfliktusban álló országok folyamatosan keresik a lehetőségeket a másik ország rendszereinek gyengítésére. Erre egy jó példa Izrael, melynek például sikerült vírust bejuttatnia egy iráni atomerőműbe, megbénítva ezáltal az ottani munkát, és hátráltatva a kutatást. Persze ennél könnyen nagyobb baj is történhetett volna. A legtöbb hackertámadás ma már belülről történik, vagyis a vírusokat gyakran akár zárt rendszerekbe csempészik be például egy közönséges pendrive és egy beépített dolgozó segítségével, ezért egyre fontosabbá válik a belső védelem erősítése. Hiába van tehát egy cégnek vagy szervezetnek a legjobb tűzfala, az ilyen esetekben ez mit sem ér. “Olyan helyzet ez, mintha volna egy nagyon profi biztonsági ajtód, de a betörő már amúgy is odabent tartózkodna” – magyarázzák szakértőink. |
Ugye megvan a kép, amikor a hollywoodi filmekben egy ház előtt parkoló furgonból izzadt, borostás fickók hallgatják le a telefont, és követik nyomon a bent lévők adatforgalmát? Ez egy valóban létező megoldás arra az esetre, ha például egyenesen az ember otthoni WiFijére próbálnak betörni. “Mi is voltunk nálad” – kezdtek bele a nem túl biztató mondandójukba. “Este nyolc körül mentünk, mert azt gondoltuk, akkor már biztosan otthon vagy, és kicsit meg is lepődtünk, amikor hirtelen megjelentél egy másik fickó társaságában szemben az utcán. Szerencsére sötét volt, és esett az eső, úgyhogy nem szúrtál ki” – mondja egyikük huncut mosollyal az arcán. A döbbenetem az arcomra van írva. Emlékszem az estére, pontosan így történt. Nem túl jó érzés, ha megfigyelik az embert. Persze szakértőink nem azért jöttek oda, hogy engem bámuljanak.
“Megpróbáltuk megtalálni a WiFi hálózatodat, de sajnos elég sok volt arrafelé, és a nevekből nem volt egyértelmű, melyik lehet a tiéd. Pechünk volt, mert amikor az irodánkban jártál, nem volt bekapcsolva a WiFi a telefonodon. Ha be lett volna, akkor a telefonod által kibocsátott jelekből megtudtuk volna annak MAC címét – a legtöbb hálózati eszköz rendelkezik ilyennel –, amit aztán a házadnál összehasonlítottunk volna az ott érzékelt címekkel, és ha valahol azt látjuk, hogy a telefonod MAC címe csatlakozik egy ottani WiFi hálózatra, akkor nyert ügyünk van. De ugyanígy elmehettünk volna valamelyik munkahelyedre is körbenézni. Ha pedig megvan a WiFi hálózat, akkor jöhet egy szótár végigfuttatása a hálózati kulcs megfejtéséért. Persze ez olykor akár napokig is eltarthat, de ezt szerencsére nem kell a helyszínen megvárnunk. Viszont ha sikerül, akkor ezen keresztül akár az okostévédhez vagy a hálózati tárolóeszközeidhez is szabad a bejutásunk.” A legtöbben persze nem kémkedni akarnak, csak ingyen nethez jutni. “Néha érdemes ellenőrizni, hányan csatlakoznak az otthoni hálózatodhoz. Könnyen meglepődhetsz” – mondták.
Nagyobb az esély rá, hogy leütnek az utcán
“A hackerek inkább nagyban játszanak. Szinte kizárólag nagybani adathalászat folyik, és inkább komplett adatbázisokban gondolkodnak” – magyarázták, de persze ez nem nyugtat meg eléggé. És ha valaki úgy gondolja, hogy rám száll? “Ha van egy haragosod, aki rosszat akar neked, sokkal valószínűbb, hogy megvár az utcasarkon és jól megver, mint hogy hackertámadással bombázzon. Ez időigényes és bonyolult dolog, ha pedig valaki nem ért hozzá eléggé, az némi káoszokozáson túl úgysem megy majd semmire. Az amatőr hacker olyan, mint az elefánt a porcelánboltban. Egyfolytában nyomokat hagy maga után. Észre fogod venni, hogy lefagy a géped, leszakad a WiFid…”
Profi hackerből nagyon kevés van, lelkes amatőrből viszont annál több. “A hackerek az új hősök. Egy csomó mai fiatal üti el az ideje nagy részét a gépe előtt ülve. A filmekből azt látja, hogy a hackerkedés menő dolog. Ebből szoktak csúnya dolgok születni. Az Anonymus csoport nagy része például ilyen képzetlen, de lelkes hackerekből áll, akik többnyire csak túlterheléses támadásokra képesek, vagyis zajt csinálnak.”
Nincsenek egyenes utak
A filmekben ugyan többnyire úgy néz ki, hogy ha a hackernek szüksége van egy biztonsági kamera képére, akkor pár kattintással már látja is, és egy jelszó feltörése se tart tovább két percnél, de a valóság meglehetősen távol áll ettől. “Felejtsük el ezt, ebben a szakmában nincsenek egyenes utak. Soha nem így jutunk el A-ból a B-be. Ha például be akarunk törni az e-mail-fiókodba, de ez nem megy, akkor elkezdjük megkeresni azokat az oldalakat, amiket rendszeresen használsz, és próbálkozunk, hátha találunk valahol egy biztonsági rést. Ha pedig ez megvan, akkor már megszerezhető az ottani jelszavad is. Mivel az emberek többsége ugyanazt a 2-3 jelszót váltogatja minden felületen, egy jelszó megszerzése általában más felületekre is belépést biztosít” – magyarázzák. “Ha nem is ugyanazt a jelszót használod máshol, az abból kiinduló kombinációk is gyakran eredményre vezethetnek.”
Az rögtön látszik, hogy a hackerkedés elég speciális gondolkodásmódra épül: a kiskapuk folytonos keresésére. “Ha nem tudok bejutni a gépedre, akkor megpróbálok bejutni a barátnőd gépére. Ha az övére sem sikerül, akkor jöhet mondjuk a gyerekedé. A gyerekek számítógépei többnyire messze nincsenek úgy védve, mint a felnőtteké, és a különböző linkekre és spamekre is könnyebben kattintanak rá a szüleiknél. Ha pedig kapsz egy e-mailt mondjuk egy csatolmánnyal vagy egy linkkel a gyerekedtől vagy a barátnődtől azzal a szöveggel, hogy cicás-kutyás videó, szinte biztos, hogy meg fogod nyitni. És az nem cicás-kutyás videó lesz” – avatnak be a részletekbe.
“A sikeres támadáshoz egy hiba kell. A sikeres védekezéshez viszont minden hibát ismerni kell, és azok útját le is kell zárni” – foglalják össze a szakmájuk lényegét egy mondatban.
Nincs olyan, hogy kis hal
A legtöbben hajlamosak vagyunk azzal vigasztalni magunkat, hogy túlságosan érdektelenek vagyunk ahhoz, hogy érdekeljük a hackereket vagy az olyan mamutcégeket, mint a Google, akik gyakorlatilag az összes adatunkkal rendelkeznek. A szakértők szerint ez csupán illúzió: “A privát szférának online is privát szférának kellene maradnia. Ha például egy vírus miatt a te felhasználói fiókodon keresztül jutnak nagyobb mennyiségű pornó közelébe, akkor az egyes oldalakon és keresőkön könnyen kaphatsz kéretlen pornótémájú hirdetéseket, vagy például potencianövelős spameket. Ez rendkívül kellemetlen.”
És akkor még egy szót sem ejtettem a különböző nemzeti és nemzetközi ügynökségekről és titkosszolgálatokról, amemlyek aztán tényleg bármilyen adatunkhoz hozzáférhetnek. De miért érdekelnénk mi például egy olyan nagy ügynökséget, mint az amerikai NSA? “A kapcsolati hálók korát éljük. Lehet, hogy te nem vagy fontos, de szinte minden embernek van legalább egy-két olyan ismerőse – Magyarországon egy kapcsolati hálóban szinte bárkihez el lehet jutni három ismerősön keresztül –, aki lehet az. Rajta keresztül – például egy meghackelt emaillel – el tudják érni azokat az embereket, akik már egyáltalán nem kishalak.”
| Így védd magad!
A jelszó a minden Hogyan jegyezzek meg ennyi jelszót? Frissíteni, frissíteni, frissíteni Ne használd a gépedet rendszergazdaként! Telefonbiztonság A közösségi oldalak tudatos használata Ne bízz abban, ami ingyen van! |
