Biztonsági őrt is kicselező hackerek

Hiába lenne szükség kiberbiztonsági szakemberekre, az oktatási rendszer felkészületlen.

Buzna Viktor
2016. 08. 30. 15:36
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Véget ért a világ egyik legrangosabb etikushacker-versenye, aminek utolsó fordulójára Las Vegasban, a DefCon kiberbiztonsági konferencián került sor. Az augusztusi döntőbe jutott tizenöt csapat között hazánk is jelen volt – a Budapesti Műszaki Egyetemen működő Crysys Lab emberei a tizenharmadik helyen végeztek. – Ebben az évben a rangosabb versenyekre helyeztük a hangsúlyt – mondta lapunknak Buttyán Levente, a BME egyetemi docense, a Crysys Lab vezetője. A csapat ugyanis nem ismeretlen a nemzetközi hackerközösségen belül, az elmúlt években sorra küzdötték végig magukat az informatikai biztonsági rendszerek feltörését célzó versenyeken. Aktivitásuknak köszönhetően tavaly az etikushacker-csapatokat listázó nemzetközi ranglista ötödik legsikeresebb közösségévé váltak.

A digitális infrastruktúra biztonságának növelésére törekszik az Európai Unió is. Augusztus 8-tól hatályos ugyanis az uniós hálózati és információs rendszerek biztonságáról szóló irányelv (NIS), ami a kibervédelem területén az első közösségi szintű szabályozásnak számít. Egy incidens amellett, hogy komoly gazdasági károkat is okozhat, alááshatja a fogyasztók bizalmát például az interneten keresztül történő fizetés vagy egyéb elektronikus szolgáltatások iránt – hangsúlyozta az irányelv jelentőségét az annak betartatásáért felelős hazai hatóság, a Nemzeti Kibervédelmi Intézet. Lapunk kérdésére az intézet közölte: az internetszolgáltatók, az online áruházak, a keresőprogramok és felhőszolgáltatások, illetve az egészségügyi, az energia-, közlekedés- és ivóvíz-szolgáltatók, valamint a pénzügyi szféra szereplői érintettek az új szabályozásban. (MN)

– Ehhez a szakirányhoz nagy elhivatottság kell – folytatja Buttyán. A BME informatika mesterszakán már működik az IT-biztonsági szakirány, a Crysys Lab hackercsapata is nagyrészt innen verbuválódik. A felvételhez vizsgát kell teljesíteni, utána már a közösség többi tagjával együtt folytatódik a tanulás, a versenyekre való felkészülés. A csapat azonban a sikerek ellenére nehézségekkel küzd. – Az IT-biztonsági szakemberek képzése nehezen illeszthető be az előadásokra, szemináriumokra épülő hagyományos egyetemi képzési rendszerbe – hívja fel a figyelmet a Crysys Lab vezetője. A hallgatóknak itt szituációs gyakorlatokkal tanítják meg a biztonsági rendszerek réseinek feltérképezését, vagyis mind külön odafigyelést igényelnek. – Próbáljuk saját erőből megteremteni a megfelelő körülményeket – mondja Buttyán, a Crysys Lab ezért a hackerek számára szimulációs tanulószoftvert fejlesztett ki, az Avatao.com a nemzetközi közösség által is használt program.

– Egyelőre azonban a fejlesztést nem fizette ki nekünk senki – folytatja Buttyán, s hozzáteszi: nehéz a kiberbiztonság-oktatásra anyagi támogatást szerezni.

– Bár mindenki informatikushiányról beszél a munkaerőpiacon, a felsőoktatás egész területén nem történik változás – teszi hozzá. Az egyetemi tanár szerint különösen fontos lenne több IT-biztonsági szakember képzését lehetővé tenni, ugyanis a cégek munkaerőigényét ezen a területen képtelenség kielégíteni. Elmondja, az informatikus alapképzésről kiberbiztonsági vonalra került hallgatók hatszázezer forint körüli fizetést vihetnek haza.

Hogy mekkora az igény az ilyen és ehhez hasonló szolgáltatásokra, jól jelzi a kiberbiztonsági piac rohamos bővülése. A Forbes gazdasági magazin összeállítása szerint tavaly összesen 75 milliárd dollárt költöttek a cégek erre a célra, s az összeg várhatóan robbanásszerű növekedés előtt áll. Állítják, 2020-ra a piac 170 milliárd dollárra bővül majd, évente átlagosan 9,8 százalékos növekedést jósolnak.

Amilyen biztatók ezek a számok, olyan lehangoló a szakemberhiány: nagyságrenddel több igen jól képzett kiberszakértőt bír el a piac, mint amennyit az oktatási rendszer jelenleg produkál. A problémát észleli a Deloitte könyvvizsgáló cég kiberbiztonsági részlegének vezetője, Antal Lajos is. A kiberbiztonsági szakembert azután kerestük meg, hogy a könyvvizsgáló cég toborzókampányával a metrómegállókban találkoztunk: a hackerfigurát ábrázoló poszteren izgalmas munkát és nagy szellemi kihívást kínál a cég.

– A pénzügyi világban alapszabály: amit pénzzé lehet tenni, azt támadni is fogják – kezdi a beszélgetést Antal Lajos. A szakember elmondja: a Deloitte-nak Magyarországon működő hackercsapata a világ számos pontjára kiterjedően teszteli a vállalat ügyfeleinek biztonsági rendszereit, s az informatikai audit okkal vált mára a Deloitte egyik legnépszerűbb szolgáltatásává. Egyre több cég észleli ugyanis, hogy a kibertérben a vállalati titkokért töretlenül folyik a harc, ami újabb és újabb szakemberigényt támaszt.

Antal szerint a monitor túloldalán szervezett bűnözői körök bérhackerei és magányos elkövetők is ülnek. A támadók közvetlenül a virtuális számlákon tárolt pénzhez próbálnak hozzáférni, de a szellemi tulajdon és a személyes adatok is veszélyben vannak.

A részlegvezető húsz éve oszlopos tagja a kiberbiztonsági közösségnek. Az általa képviselt betörésiteszt-módszer mára elterjedt gyakorlattá vált. Lényege, hogy az informatikai rendszerek gyenge pontjait szimulált támadásokkal keresik a hackerek, majd megbízóik a feltárt biztonsági rések javításával növelik a cég informatikai rendszereinek biztonságát.

– Amelyik rendszerre rámutatnak, annak nekimegyünk – folytatja Antal, amikor a Deloitte-nál végzett munkájukról kérdezem. Elmondása szerint a csapatnak széles körű a hozzáértése, komplett informatikai infrastruktúrát, mobilalkalmazásokat, valamint ipari rendszereket, például erőműveket is tesztelnek. De egyre nagyobb az igény az úgynevezett beépített rendszerek tesztelésére is: ezek bizonyos funkciók végrehajtására kifejlesztett eszközök, amelyek számos helyen, járművekben, forgalomirányításban vagy az egészségügyi vizsgálóberendezésekben is megjelennek.

– Jelenleg az ügyfeleket a technológiai kibertámadás és a megtévesztéses technika kombinációja veszélyezteti a legjobban – folytatja Antal. A megtévesztéses támadás, vagyis social engineering gyakorlatával a hackerek olyan formában próbálnak egy rosszindulatú programkódot bejuttatni a célrendszerre, hogy közben az áldozatban nem ébresztenek gyanút. Ez történhet e-mail formájában éppúgy, mint egy fizikai adathordozón, például egy USB-táron. Majd ha a támadás sikeres volt, lehetőség nyílik akár a támadott rendszer feletti kontroll átvételére is, de előfordul, hogy a bejuttatott vírusok jelszavakat gyűjtenek és továbbítanak a támadóknak. Antal elmondja, széles a paletta a támadások karakterisztikájának tekintetében.

– Esetenként az ügyfelek kérésére a fizikai biztonságot is tesztelik. Ilyenkor különböző kitalált történetekkel kicselezik a biztonsági őrök és az alkalmazottak éberségét, majd az épület bizonyos pontjain elhelyezett névjegykártyákkal jelzik, sikerült bejutniuk. Ezeket az akciókat egy biztonsági laborból vezetjük – folytatja Antal. Mielőtt azonban a támadás megindulna, részletes felkészülés kezdődik. Valamennyi „akció” ugyanis szigorú forgatókönyv szerint zajlik. Elsőként a megbízó cég biztonsági szakembereivel egyeztetnek, megállapodnak a célrendszerek, adott esetben célszemélyek köréről. Felkészülnek a megtévesztéses támadásra is, környezettanulmányokat készítenek. Ha például adott személyekre építenek fel social engineering támadást, előtte a világhálón megtalálható információkból részletes profilt dolgoznak ki. Így a támadás során jobb eséllyel tudják megkörnyékezni az áldozatot, hogy gyanútlanul titkos kódokat juttassanak be a számítógépébe vagy más eszközeire.

– Egy ilyen akcióból a megrendelő nagyon sokat megtudhat – mondja Antal. Például láthatóvá válnak a sebezhető pontok: mely úton érték el a rendszert, illetve hol vallott kudarcot a támadás, amennyiben a védelem képes volt észlelni és elhárítani. – De nem csak a felderítés fontos – folytatja a szakember. Ilyenkor ugyanis arra is fény derül, milyen gyorsan reagálnak a támadásra. A megbízó megtudja, mely dolgozók, mennyi idő után jelentenek egy gyanús személyt vagy bármilyen biztonsági anomáliát, s miként lép mozgásba a támadást elhárító biztonsági rendszer.

A téma legfrissebb hírei

Tovább az összes cikkhez chevron-right

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Google News
A legfrissebb hírekért kövess minket az Magyar Nemzet Google News oldalán is!

Címoldalról ajánljuk

Tovább az összes cikkhez chevron-right

Fontos híreink

Legolvasottabb

1
2
3
4
5
6
7
8

A Magyar Nemzet közéleti napilap konzervatív, nemzeti alapról, a tényekre építve adja közre a legfontosabb társadalmi, politikai, gazdasági, kulturális és sport témájú információkat.

Előfizetek az újságra

Belföldi híreink

Külföldi híreink

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Csépányi Balázs
idezojelekMomentum

Cseh Katalinon nevet az egész internet, beleszaladt egy méretes pofonba

Csépányi Balázs avatarja

Nem ő a legélesebb kés a baloldal fiókjában.

A Magyar Nemzet közéleti napilap konzervatív, nemzeti alapról, a tényekre építve adja közre a legfontosabb társadalmi, politikai, gazdasági, kulturális és sport témájú információkat.

Előfizetek az újságra

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.