Etikus hekker, avagy hekkeretika a XXI. század digitális forradalmában
Hogyan lehetünk objektívek egy szubjektív világban? Miként bízhatunk meg a digitális kultúrában? És hogyan lehet etikus egy hekker a digitális forradalomban? Többek között ezekről, no és persze arról is beszélgettünk Frész Ferenccel, a Cyber Services Zrt. CEO-jával és tulajdonosával, a KÜRT Akadémia Etikus Hekker képzés vezetőjével, hogy miért látták fontosnak, hogy az Akadémia falai közt etikushekker-képzést indítsanak.
Akár a Jó, a Rossz és a Csúf vonalvezetésén is elindulhatnánk, ha definiálni akarnánk az etikus hekker fogalmát. Ugyanis annak ellenére, hogy egy olyan szakembert sejtet, aki kivételes technológiai ismeretekkel és problémamegoldó jártassággal rendelkezve, képes a váratlannál váratlanabb szituációkban egyedi megoldásokkal, az etikusság határain belül maradva, orvosolni egy problémát – napjainkban mégis negatív szereplőként tekintenek rá. Olyan valakit látnak benne, aki bár komoly informatikai tudással bír, tudását mégsem a jó szolgálatába állítja, hanem – akár egy mozifilmben – számítógépes rendszereket tör fel, szoftvereket programoz át és ír felül, vagy épp kiberbűnőzőkből álló csoportok tagjaként világméretű támadásokat indít el informatikai rendszerek ellen. A tévhitek tisztázásáért Frész Ferencet kérdeztük.
Mitől lesz egy hekker etikus?
A közértelmezés szerint az a hekker az etikus hekker, aki szerződéses kapcsolatban van az ügyféllel, csak az ügyfél hálózatát vizsgálja. Ugyanakkor van egy másik vélemény is, miszerint egy hekker nem lehet etikus. Mi két ponton különböztetjük meg magunkat ettől. Az egyik, hogy egy etikus hekker sosem él vissza azzal az információval, amit megszerez. A másik, hogy szándékosan
nem alkalmazunk olyan támadási módszereket a vizsgálatok során, amik az ügyfél rendszerének vagy az ügyfél szolgáltatásának a leállását okozhatják. A mi feladatunk a sérülékenységek feltárása és azok legjobb tudásunk szerinti kivédése, megoldása. Nem telepítünk semmilyen olyan kódot vagy vírust, ami kárt tehet egy rendszerben,
illetve, ha tudjuk, hogy valami nagyon bizonytalan, agresszív, akkor azt külön egyeztetve, és csakis leállási ablakban, ellenőrzött körülmények között vizsgáljuk, hogy ne okozzunk ezzel kárt a szolgáltatás működésében.
Mennyit tud a hekkelésről, a hekker vagy éppen az etikus hekker fogalmáról egy átlagember?
Pontosan annyit, amennyit a filmekben lát, és ez az 1960-as évek óta nem változott. A hekker mint bűnöző először 1983-ban jelent meg a köztudatban, a Háborús játékok című filmmel, amely sikerrel alapozta meg a hekkerek negatív megítélését. Másnap ugyanis a sajtó már azt zengte, hogy a hekkerek fel tudják törni akár a Pentagon rendszerét is. A bűnözés fogalmával való összemosás végül az 1990-es évek végéig kitartott, holott előtte a hekkerek a legmegbecsültebb számítástechnikai szakemberek voltak. Persze a hekkerek akkoriban, mondhatni, „baltával” oldották meg a problémát, vagyis faék egyszerűséggel. Az elmúlt 20 évhez képest most kell változtatni ezen a megítélésen.
Sokan még ma is úgy gondolják, hogy ha van egy jó informatikusa egy cégnek, akkor az megold mindent?
Persze. Ma egyrészt általános a hamis biztonságtudat, másrészt él az a tévhit, hogy nincs felelősségem, mert azzal, hogy vezetőként kiadtam a feladatot, a felelősség már a másiké, ami egy nagyon rossz vezetői magatartás. Sajnos azt kell mondani, hogy jót tesz ennek a kérdésnek az a számos, direkt élmény, ami a kibertámadásokból következik. A klasszikus értelemben vett rendszergazdák és üzemeltetők ilyenkor feladják a harcot, mondván, hogy nem tudnak vele mit kezdeni. Időközben már megjelentek a különböző szerepkörök, mint például az információbiztonsági felelős, 2018 májusától pedig már kötelező lesz minden olyan cégnek, amely elektronikusan kezel személyes adatot, hogy információbiztonsági tisztségviselőt nevezzen ki.
Milyen visszhangot kap a médiában az, hogy a hekkerek nem feltétlenül a rossz oldalon állnak és tényleg szükség van a munkájukra?
Úgy gondolom, hogy nem eleget. Ma már a hekkerek nem csak a sérülékenységet vizsgálják, hanem képesek átlátni komplex rendszereket, így meg tudják előzni magát a sérülékenységek kialakulását is. Ma pedig már itt van az etikus hekkerek harmadik generációja is, akik nem a rendszerek feltörésével foglalkoznak, hanem komplex védelmi megoldásokat terveznek. A sajtó azonban még most is láthatóan értetlenül néz erre az egészre. Ha feltörnek egy weblapot, és kicsit átrajzolják, akkor rögtön politikai, geopolitikai szándékot sejtenek mögötte, illetve nem látják át, hogy ők maguk is egy sérülékeny rendszerben dolgoznak. A sajtónak és a mai értelemben vett médiának óriási kitettsége lett, de most már ők is használhatják ezt a tudást, hogy megvédhessék saját rendszereiket. Ez lényeges elem, hiszen a médián keresztüli befolyásolásnak óriási ereje van akár az államok szintjén, akár a választási befolyásolás kapcsán. Ezen a szinten már profi, állami szervezettséggel és finanszírozással működő hekkercsoportok kezdtek el egymással, illetve más államokkal küzdeni. Egyfajta kiberháború jelent meg, sőt, a varsói csúcson el is dőlt, hogy az ötödik, hatodik hadszíntér az információs rendszerben, a kibertéren, az interneten zajlik.
Miért érezték fontosnak, hogy etikushekker-képzést indítsanak idehaza?
Ez igazából még nem létezett mint szakma, amikor az 1990-es években úgy döntöttem, hogy kifejlesztek egy olyan módszertant, amivel az addig megszerzett tudásomat oktathatóvá teszem. Azt, hogy nem szeretnék a mai értelemben vett fekete kalapos hekker lenni, szintén akkor döntöttem el. Egyszerűen nem akartam olyan hekker lenni, aki csak abból él, hogy rendszereket tör fel. Ez egy öncélú tudás, én pedig azon kezdtem el gondolkozni, hogy miként lehetne ebből üzletet csinálni. Így fogalmazódott meg bennem és több németországi kollégámban is, hogy ezt a tudást bérelhetővé lehetne tenni.
Muszáj volt definíció szerint is megkülönböztetnünk magunkat, hiszen az emberekben óriási volt a bizalmatlanság és a félelem a hekkerekkel szemben.
Hivatásszerűen, oktatásban ezt a tudást akkor még sehol nem lehetett megszerezni. Ráadásul két irányba fejlődött ez az egész: a penetrációs teszt felfogásának irányába, ami egy szoftvertesztelési módszertanból épült fel, célja, hogy validálja a vizsgálat során felfedezett sebezhetőségeket, abból a célból, hogy ez a tevékenység eladható legyen. A másik pedig, a nehezebb irány,
amiben az etikus hekkerek által végzett sérülékenységi vizsgálat mint szolgáltatás arra irányul, hogy a rendszerek gyengeségeit felkutatva, megmutassák azt, hogy ha hekkertámadás éri a rendszerüket, az mennyire kompromittálóan hatna, és hogyan tudják ezeket a lyukakat befoltozni, mielőtt ez a veszély bekövetkezne.
Realizáltuk, hogy kevesen vagyunk erre, és hogy éppen ezért ezt a tudást oktatni kellene, hogy legyen utánpótlás, amire felépülhet egy cég. Sok időbe telt, mire 2003-ban végre sikerült elérnem, hogy ezt a tudást lajstromozzák és hivatalosan elismert oktatási anyag lehessen belőle. Ezután persze még eltelt jó 6 év, mire megalakult a KÜRT Akadémia, ahol hivatalosan is elindulhatott az etikushekker-képzés. Nem mondanám, hogy ez hiányszakma volt, hiszen igazából még nem is létezett, inkább úgy fogalmaznék, hogy ezt mi teremtettük meg, és tettük olyanná, hogy az ma egy felkapott, keresett és igen jól fizető foglalkozás legyen.
Lehet tudni, hogy Magyarországon hány hekker van árnyékban, tehát hányan vannak a black-hat hackerek?
Ez abszolút kiszámíthatatlan. Itthon nagyon szűk az a réteg, amelyik a black-hat-ben gondolkozik. Magyarország inkább mint terep izgalmas a hekkerek számára, hiszen ilyen szempontból proxy ország vagyunk, vagyis nem számítunk célországnak. A hírszerzési hálózatok működnek és a kémtevékenység is óriási, azonban a magyar hekkerek szervezett bűnözési csoportosulásai nem jellemzőek. Ez a vonal egyszerűen nem indult el Magyarországon, mert nem vagyunk célország. Sokkal inkább jellemző az, hogy ha fel is törnek itthon egy rendszert, az csak azért történik, hogy azon keresztül más rendszereket is feltörhessenek. Ráadásul sok pénzt sem lehet ebből csinálni, hiszen ez egy mindössze 4 milliós piac. Sokkal többet tudunk a nemzetközi helyzetről, például az orosz hekkertevékenységről, az USA-beli helyzetről vagy a nyugat-európai viszonyokról, ahol ténylegesen is szerveződnek kiberbűnöző-csoportok. Nálunk még nincs kultúrája az online kereskedelemnek, nem forog benne akkora pénz. Kiberbűnőzés szempontjából tehát nem vagyunk még célország, nem alakult még ki erre épülő szubkultúra. Ez persze, a digitalizáció felgyorsulásával, a következő 10 évben várhatóan gyökeresen meg fog változni.
Van-e kirívóbb, magyar vonatkozású hekkersztorijuk?
Van, de erről sajnos nem beszélhetek.
Fotó: Kiss András
A teljes interjút olvassa el a Business Class Magazin KÓDHATALOM című lapszámában!
Fizessen elő nyomtatott vagy digitális formában!