Nemes Dániel (21), egy Internet-szolgáltató cég ügyvezetőjének definíciója szerint a hacker olyan úri betörő, aki nem okoz kárt. Efféle zsonglőröknek írták ki a „hackme"-versenyt: egymillió forint üti a markát, aki a cég erre a célra felkészített szerverén elhelyezett weboldalakat meg tudja változtatni, áthatolva a biztonsági rendszeren.

 

Adatlap
név: Nemes Dániel 
kor: 21 
foglalkozás: ügyvezető igazgató 
bedrótozva: ??? 
saját oldal: telnet
CyD linkjei
még nincsenek...
...de majd lesznek!
ha elküldi őket...
CyD A versenyt azért találtuk ki, mert mindenki arról hall és olvas, hogy az Internet nem biztonságos, hiszen betörnek a Pentagonba, a NASA-ba, a CIA-be, most legújabban az indiai atomkutató laborba. És hogy ez miért van... nem azért, mert nem lehet jó védelmet csinálni, hanem mert nem figyelnek oda, mert nem szánnak rá elég emberi és anyagi erőforrást. Mi azt szerettük volna megmutatni, hogy igenis lehet biztonságos rendszert csinálni, és ha ezáltal nő a bizalom, nyilván szánnak is rá anyagi erőforrást és foglalkoznak a témával, illetve azokat is szerettük volna meggyőzni, akik pont emiatt tartották távol magukat az Internettől. Tehát nemcsak azokat, akik azt mondták, hogy oké, ott vagyunk az Interneten, de úgysem tudunk vele mit csinálni, nem is költünk rá, hanem azokat is, akik nem mernek megjelenni az Interneten, mert hiszen nem biztonságos dolog, és jaj mi minden történhet ott velük. Úgy tűnik, hogy ezt idáig sikerült is elérnünk. Igazából az érdeklődés már lankad, ezért is nem akartuk két hétnél hosszabbra húzni az ügyet. Próbálkoznak, próbálkoznak, de messze nem annyira, hogy ez indokolta volna a fenntartást. Persze még most is vannak nagyon érdekes próbálkozások, főleg külföldről.
Miért volt fontos bizonyítani a Háló biztonságos voltát?
Piacot szerettünk volna építeni. Ez egy ilyen egyszerű dolog: nem csak az volt az ok, hogy mi ennyire szeretjük az Internetet – nagyon szeretjük, nem véletlenül foglalkozunk vele, de piacot is szerettünk volna teremteni, és nemcsak a magunk számára, hanem általában az internetes szakma számára. Általában, az egész Netről szerettük volna bebizonyítani, hogy lehet biztonságosan használni, és ez nemcsak nekünk jó, ez az egész internetes szakmának jó. Egyébként úgy tűnik, a konkurrencia ezt észrevette: ilyenkor, ha valaki kitalál valami újdonságot, azt a konkurrencia fújolni szokta. Most azt vettük észre, hogy a konkurrencia szép csendben ül, mégpedig azért (legalábbis mi úgy értelmezzük), mert ő is jónak találja ezt az ügyet. Persze nem akar plussz reklámot csinálni nekünk, ez is világos.
Pontosan mit értetek azon, hogy piacot akartatok teremteni?
Az Internetnek úgy általában. Tehát hogy merészkedjen föl az az Internetre, aki eddig még nem mert följönni.
Aki attól félt, hogy megtörik az oldalát?
CyD Pontosan! Megtörik az oldalát, vagy otthon a kis számítógépében átírják a rendszerfájlokat, amikor felcsatlakozik a hálózatra. Mert ugye ez a leggyakoribb félelem: emlékszem, annak idején, amikor még ilyen kicsi voltam, volt egy számítástechnika tanárom, egy fiatal srác, aki szeretett volna egy számítógépes klubot létrehozni a ház aljában. Ezt a ház többi lakója azzal szavazta le, hogy szó sem lehet róla, ők pontosan tudják, hogy a számítógépeken terjednek a vírusok...
Igen, engem is megkérdezett a nagymamám még programozó koromban, hogy nem lesz semmi bajod azoktól a vírusoktól, kisfiam?
Na ez az... Egyszóval szerettük volna ezt is bebizonyítani, meg ez egy jó reklám nekünk. Kifejlesztettünk egy rendszert, elég sokat foglalkoztunk vele, és ezt a rendszert értékesíteni fogjuk, ez nem titok, ennek is egy jó reklám a verseny. Más is árul hasonló rendszereket, amire azt mondja, hogy biztonságos – nála kénytelen vagy ezt elhinni, mivel olyan jó nevű cég, annyit adott már el abból a rendszerből, hogy ez nyilván egy valóban biztonságos dolog. Mi azt mondjuk, hogy a miénket egymillió forintért nem törték fel.
Jó, a ti rendszeretek biztonságos, ezt bizonyítjátok. De más, közismertebb cégek termékeivel is lehet csinálni hasonlóan erős rendszert?
Nézd, ahogy a konkurrens cégek nem mondják meg, hogy hogyan csinálják, úgy mi sem, így aztán hiszünk nekik, mert biztos úgy van, miért kételkednénk...
Dolgoztatok ilyen rendszerekkel?
Hogyne dolgoztunk volna! Volt, amit biztonságosnak találtunk, volt amit kevésbé, de a mi tesztelési kapacitásunk jóval kisebb, mint az egész Interneté. Ők nem szalajtottak rá a rendszerükre több millió potenciális betörőt, míg mi igen, tehát mi ennyivel előnyben vagyunk, a mi rendszerünk így sokkal inkább tesztelt, mint az övék.
Én csak valahogy azt képzelem, hogy egy ilyen rendszer már általában alkalmas arra, hogy egy átlagosan törésbiztos rendszert hozzunk vele létre...
nemes dániel Nézd, lehet hogy kamu, lehet, hogy valóban biztonságos, mi azt mondjuk, hogy biztos máshol is vannak olyan agyak, mint nálunk, mások sem hülyébbek, mint mi, biztos mások is meg tudják csinálni – hogy ezt valóban megcsinálták-e vagy sem, az kérdés.
Mi nem teszteljük, mi nem próbálgatjuk a konkurrencia által védett rendszereket, nem próbálunk betörni sehova, ezt nagyon fontos kihangsúlyozni. Nagyon sok támadás ért bennünket, hogy mi vagyunk a magyar hackerfőnökök, tehát biztos a sajátunkat is meg tudnánk hackelni. amit őrültség kijelenteni: ha én tudnám, hogy hogyan lehet megtörni a rendszerünket, akkor azt a lyukat eleve befoltoznám.
Ha megnézed a feltörendő oldalunk vendégkönyvét, azt lehet észrevenni, hogy nagyon sokaknak savanyú a szőlő. Egyrészt mert nem nekik jutott eszükbe, másrészt mert nem tudnak betörni. Ez a két alapvető felállás van, onnantól fogva jönnek a kifogások, például hogy ez a szerver nem életszerű. Persze, hogy nem életszerű, mert nem csinál levelezést, nincsen rajta IRC-szerver, és még csirkét sem lehet vele sütni, sőt még a teletexten sem közöljük a belépési jelszavakat, dehát azt hiszem, ez érthető: mi egy biztonságos webszervert csináltunk, nem egy biztonságos IRC-szervert – ha azt csinálnánk, arra meg nem raknánk rá webszervert, ez egy ilyen dolog. Ha valaki költ a biztonságra, foglalkozik vele, akkor különválasztja a két funkciót.

Az indulásnál haraptak a hírre?
Amint megjelent a felhívás, másnap már mindenféle nemzetközi hackercsoportok ott voltak és buzdították a hackertársadalmat, hogy tessék, itt van ötezer dollár...
Hány találata volt az oldalnak?
Több tízezer, pontos számot nem tudok, pár hete már nem nézzük.
Ez elég kevés, nem?
Hát ez relatív, egy AltaVizslával nyilván nem tudunk versenyezni, hiszen ez egy egyszeri hírértékű dolog.
Az nem hagy nyomot, aki megpróbál behatolni?
De, hogyne, ő azonban nincsen beszámítva a látogatottságba. A betörők mennyiségére viszont egészen pontos számot nemcsak hogy nem tudok, de nem is akarok mondani, maradjunk annyiban, hogy többezer különböző próbálkozás volt; eddig sikertelen mind. Egy nagyon érdekes történet: az egyik számítástechnikai havilap, akiknek mi vagyunk az Internet-szolgáltatója, kapott egy telefonhívást, miszerint XY a cégünktől keresi őt, és pontosan a verseny miatt szükség volna a biztonsági intézkedések szigorítására, ehhez pedig szükség lenne a lap belépési jelszavára. Szerencsére gyanút fogtak a lap munkatársai, és nem adták ki a jelszót.
Amikor hackingről beszélünk, akkor ez a gyakoribb? Megszerzik a jelszót egy gondatlan alkalmazottól, vagy szoftverrel, eszközökkel valósítják meg a betörést?
CyD Ez rendszertől függ. Bizonyos rendszereknél ez a módszer a kifizetődőbb, másoknál más. Bankokba kívülről például kicsit nehezebb betörni, minthogy azt mondod az egyik kedves munkatársnak, aki mondjuk sima adatrögzítő, hogy ugyan már itt van a fizetése kétszerese, és ugyan mondja már meg a jelszavát. Néha már az ilyen alacsony beosztású emberek jelszavával is igencsak a tűz közelébe lehet keveredni... Persze egy rendes biztonsági rendszer úgy épül föl, hogy egyrészt nagyon sok lépcső, másrészt mindenképpen van több olyan elválasztó réteg, amit más cég emberei csinálnak, vagy egymással kapcsolatban egyáltalán nem lévő emberek, nehogy valakinek a kezében összpontosuljon az egész.
Milyen a „technikásabb" betörési út?
A legegyszerűbb dolog, hogy tudod, milyen szoftververzió fut a szerveren, és tudod, hogy ebben a szoftverben éppen találtak egy kihasználható hibát – hajrá, használjuk ki! Ha valamelyikről valami kiderül, a hacker-hírcsoportokban két-három óra alatt napvilágot is lát. Ez versenyfutás az idővel: hamarabb tudod-e befoltozni a lyukat, mintsem a hackerek rájönnének a kihasználás módjára. Akinek ezt nem sikerül kivédekezni, annak nem volt jó a rendszere, nem volt többszintű a védelem.
Ezt a módszert aztán lehet kombinálni, de a profi módszertanok kicsit másképpen kezdődnek. Próbálkozol közelebb jutni mindig, építkezel, szövögetsz, mint pók a hálóját, aztán hátha összejön egy olyan kép, amivel lehet kezdeni valamit...

Igen, idáig szoktunk eljutni a közbeszédben: pók, háló, építget, összejön valami...Ezek szóvirágok, semmit nem mondanak. Egyszóval mégiscsak jó lenne hallani pár konkrét mondatot, különben sosem értjük meg mi, civilek, mit is jelent a behatolás...
Oké. Maradjunk most az Internetnél, így aztán az IP-protokollnál – ezzel érdemes foglalkozni, hiszen az nyújt interaktivitást, minden más olyan, hogy elküldök valamit, ami megérkezik és kész, ott mondjuk lefagyasztani lehet inkább. Egy szervernek vannak bizonyos TCP-portjai, mondjuk kapujai, a 80-ason közlekednek a weboldalak, a 25-ösön a levelek és így tovább. A legalapvetőbb dolog, hogy először föltérképezed, mely portok vannak nyitva, milyen szoftververziók futnak rajtuk, ezt szépen fölírod. Onnantól fogva van egy listád... Egyrészt várhatsz, hátha kijön valami. Másrészt, ha ez egy nagy rendszer – és általában nagy rendszerekről van szó –, megnézed, hogy a tűzfal (a jogosulatlan behatolást gátló szoftver) miket enged át, amit átenged, az hova érkezik, így tesztelsz. És ha nem figyelik eléggé a tűzfalat, vagy ha a tűzfal buta, akkor nem riaszt, hogy itt egy ilyen tesztelés folyik. Ezzel megpróbálunk egy pontos térképet csinálni az egész helyszínről. Ha van egy térképed, megkeresheted a legrövidebb utat, ami nyilván le van zárva, de ha kerülőutat keresel, az esetleg nyitott.
Az az igazság, hogy mi nem vagyunk hackerek, így aztán nem tudjuk egészen pontosan megmondani, mik a módszerek – valószínüleg egy hacker sem tudná egészen pontosan megmondani. Mi azért mégiscsak a védekezés szempontjából gondolkozunk. Módszertan nem létezik, legalábbis célravezető, minden szituációban működő. Tesztelgetni kell, próbálgatni, információt gyűjteni.

Ha nem vagytok-voltatok hackerek, hogyan tudtok eredményesen védekezni? Nem hiszem, hogy ne tudnátok betörni ide-oda, ha akarnátok...
Ha akarnánk, akkor biztos be tudnánk törni olyan oldalakra, amiket nem védenek alaposan, amikkel nem foglalkoznak eleget, de sem időnk, sem kedvünk nincs ehhez.
Azt már tudjuk, hogyan szokás bemenni. De milyen okból?
nemes dániel Nagyon jó kérdés. Egyrészt azért, mert bizonyítani akarják, hogy ők a jani a hegyen, ők ide is be tudnak törni – ez a legegyszerűbb. Lehet, hogy simán hasznot akarnak szerezni: ha például meg tudom mondani valaki bankszámlájának az állását, akkor ezt az információt eladva valaki másnak bevételre tehetek szert, vagy akár én magam is fel tudom használni az infót. Végül előfordul, hogy egyszerűen csak le akarnak járatni valakit, akár konkurrens cégeket, akár olyat, akik mondjuk nem cseréltek ki egy hibás terméket: simán kárt akarnak nekik okozni, ami megtehető úgy, hogy kicserélik a konkurrencia oldalaira az ő oldalát, pornóképeket raknak ki, vagy kiírják, hogy mi ökrök vagyunk és szart árulunk – bármit lehet. De például most történt ez a konkrét eset az indiai atomkutatóval – volt egy világszintű közfelháborodás, és néhány ifjú titán úgy gondolta, hogy odapörkölnek nekik, és sikerült. Szóval gyűlölet, magamutogatás vagy pénzszerzés – ez a három alapok.

yy.gif (35 bytes)cekkerfej

Komment?
cekkerfej várja megjegyzésedet, javaslatodat a cikkel kapcsolatban
Eddig jött:
Kitmiről?
javasolj interjúalanyt, kérdéseket, vagy szavazz az eddig javasoltakra!
Eddig jött:
  NETHEADS

címlap