Véget ért a világ egyik legrangosabb etikushacker-versenye, aminek utolsó fordulójára Las Vegasban, a DefCon kiberbiztonsági konferencián került sor. Az augusztusi döntőbe jutott tizenöt csapat között hazánk is jelen volt – a Budapesti Műszaki Egyetemen működő Crysys Lab emberei a tizenharmadik helyen végeztek. – Ebben az évben a rangosabb versenyekre helyeztük a hangsúlyt – mondta lapunknak Buttyán Levente, a BME egyetemi docense, a Crysys Lab vezetője. A csapat ugyanis nem ismeretlen a nemzetközi hackerközösségen belül, az elmúlt években sorra küzdötték végig magukat az informatikai biztonsági rendszerek feltörését célzó versenyeken. Aktivitásuknak köszönhetően tavaly az etikushacker-csapatokat listázó nemzetközi ranglista ötödik legsikeresebb közösségévé váltak.
A digitális infrastruktúra biztonságának növelésére törekszik az Európai Unió is. Augusztus 8-tól hatályos ugyanis az uniós hálózati és információs rendszerek biztonságáról szóló irányelv (NIS), ami a kibervédelem területén az első közösségi szintű szabályozásnak számít. Egy incidens amellett, hogy komoly gazdasági károkat is okozhat, alááshatja a fogyasztók bizalmát például az interneten keresztül történő fizetés vagy egyéb elektronikus szolgáltatások iránt – hangsúlyozta az irányelv jelentőségét az annak betartatásáért felelős hazai hatóság, a Nemzeti Kibervédelmi Intézet. Lapunk kérdésére az intézet közölte: az internetszolgáltatók, az online áruházak, a keresőprogramok és felhőszolgáltatások, illetve az egészségügyi, az energia-, közlekedés- és ivóvíz-szolgáltatók, valamint a pénzügyi szféra szereplői érintettek az új szabályozásban. (MN)
– Ehhez a szakirányhoz nagy elhivatottság kell – folytatja Buttyán. A BME informatika mesterszakán már működik az IT-biztonsági szakirány, a Crysys Lab hackercsapata is nagyrészt innen verbuválódik. A felvételhez vizsgát kell teljesíteni, utána már a közösség többi tagjával együtt folytatódik a tanulás, a versenyekre való felkészülés. A csapat azonban a sikerek ellenére nehézségekkel küzd. – Az IT-biztonsági szakemberek képzése nehezen illeszthető be az előadásokra, szemináriumokra épülő hagyományos egyetemi képzési rendszerbe – hívja fel a figyelmet a Crysys Lab vezetője. A hallgatóknak itt szituációs gyakorlatokkal tanítják meg a biztonsági rendszerek réseinek feltérképezését, vagyis mind külön odafigyelést igényelnek. – Próbáljuk saját erőből megteremteni a megfelelő körülményeket – mondja Buttyán, a Crysys Lab ezért a hackerek számára szimulációs tanulószoftvert fejlesztett ki, az Avatao.com a nemzetközi közösség által is használt program.
– Egyelőre azonban a fejlesztést nem fizette ki nekünk senki – folytatja Buttyán, s hozzáteszi: nehéz a kiberbiztonság-oktatásra anyagi támogatást szerezni.
– Bár mindenki informatikushiányról beszél a munkaerőpiacon, a felsőoktatás egész területén nem történik változás – teszi hozzá. Az egyetemi tanár szerint különösen fontos lenne több IT-biztonsági szakember képzését lehetővé tenni, ugyanis a cégek munkaerőigényét ezen a területen képtelenség kielégíteni. Elmondja, az informatikus alapképzésről kiberbiztonsági vonalra került hallgatók hatszázezer forint körüli fizetést vihetnek haza.
Hogy mekkora az igény az ilyen és ehhez hasonló szolgáltatásokra, jól jelzi a kiberbiztonsági piac rohamos bővülése. A Forbes gazdasági magazin összeállítása szerint tavaly összesen 75 milliárd dollárt költöttek a cégek erre a célra, s az összeg várhatóan robbanásszerű növekedés előtt áll. Állítják, 2020-ra a piac 170 milliárd dollárra bővül majd, évente átlagosan 9,8 százalékos növekedést jósolnak.
Amilyen biztatók ezek a számok, olyan lehangoló a szakemberhiány: nagyságrenddel több igen jól képzett kiberszakértőt bír el a piac, mint amennyit az oktatási rendszer jelenleg produkál. A problémát észleli a Deloitte könyvvizsgáló cég kiberbiztonsági részlegének vezetője, Antal Lajos is. A kiberbiztonsági szakembert azután kerestük meg, hogy a könyvvizsgáló cég toborzókampányával a metrómegállókban találkoztunk: a hackerfigurát ábrázoló poszteren izgalmas munkát és nagy szellemi kihívást kínál a cég.
– A pénzügyi világban alapszabály: amit pénzzé lehet tenni, azt támadni is fogják – kezdi a beszélgetést Antal Lajos. A szakember elmondja: a Deloitte-nak Magyarországon működő hackercsapata a világ számos pontjára kiterjedően teszteli a vállalat ügyfeleinek biztonsági rendszereit, s az informatikai audit okkal vált mára a Deloitte egyik legnépszerűbb szolgáltatásává. Egyre több cég észleli ugyanis, hogy a kibertérben a vállalati titkokért töretlenül folyik a harc, ami újabb és újabb szakemberigényt támaszt.
Antal szerint a monitor túloldalán szervezett bűnözői körök bérhackerei és magányos elkövetők is ülnek. A támadók közvetlenül a virtuális számlákon tárolt pénzhez próbálnak hozzáférni, de a szellemi tulajdon és a személyes adatok is veszélyben vannak.
A részlegvezető húsz éve oszlopos tagja a kiberbiztonsági közösségnek. Az általa képviselt betörésiteszt-módszer mára elterjedt gyakorlattá vált. Lényege, hogy az informatikai rendszerek gyenge pontjait szimulált támadásokkal keresik a hackerek, majd megbízóik a feltárt biztonsági rések javításával növelik a cég informatikai rendszereinek biztonságát.
– Amelyik rendszerre rámutatnak, annak nekimegyünk – folytatja Antal, amikor a Deloitte-nál végzett munkájukról kérdezem. Elmondása szerint a csapatnak széles körű a hozzáértése, komplett informatikai infrastruktúrát, mobilalkalmazásokat, valamint ipari rendszereket, például erőműveket is tesztelnek. De egyre nagyobb az igény az úgynevezett beépített rendszerek tesztelésére is: ezek bizonyos funkciók végrehajtására kifejlesztett eszközök, amelyek számos helyen, járművekben, forgalomirányításban vagy az egészségügyi vizsgálóberendezésekben is megjelennek.
– Jelenleg az ügyfeleket a technológiai kibertámadás és a megtévesztéses technika kombinációja veszélyezteti a legjobban – folytatja Antal. A megtévesztéses támadás, vagyis social engineering gyakorlatával a hackerek olyan formában próbálnak egy rosszindulatú programkódot bejuttatni a célrendszerre, hogy közben az áldozatban nem ébresztenek gyanút. Ez történhet e-mail formájában éppúgy, mint egy fizikai adathordozón, például egy USB-táron. Majd ha a támadás sikeres volt, lehetőség nyílik akár a támadott rendszer feletti kontroll átvételére is, de előfordul, hogy a bejuttatott vírusok jelszavakat gyűjtenek és továbbítanak a támadóknak. Antal elmondja, széles a paletta a támadások karakterisztikájának tekintetében.
– Esetenként az ügyfelek kérésére a fizikai biztonságot is tesztelik. Ilyenkor különböző kitalált történetekkel kicselezik a biztonsági őrök és az alkalmazottak éberségét, majd az épület bizonyos pontjain elhelyezett névjegykártyákkal jelzik, sikerült bejutniuk. Ezeket az akciókat egy biztonsági laborból vezetjük – folytatja Antal. Mielőtt azonban a támadás megindulna, részletes felkészülés kezdődik. Valamennyi „akció” ugyanis szigorú forgatókönyv szerint zajlik. Elsőként a megbízó cég biztonsági szakembereivel egyeztetnek, megállapodnak a célrendszerek, adott esetben célszemélyek köréről. Felkészülnek a megtévesztéses támadásra is, környezettanulmányokat készítenek. Ha például adott személyekre építenek fel social engineering támadást, előtte a világhálón megtalálható információkból részletes profilt dolgoznak ki. Így a támadás során jobb eséllyel tudják megkörnyékezni az áldozatot, hogy gyanútlanul titkos kódokat juttassanak be a számítógépébe vagy más eszközeire.
– Egy ilyen akcióból a megrendelő nagyon sokat megtudhat – mondja Antal. Például láthatóvá válnak a sebezhető pontok: mely úton érték el a rendszert, illetve hol vallott kudarcot a támadás, amennyiben a védelem képes volt észlelni és elhárítani. – De nem csak a felderítés fontos – folytatja a szakember. Ilyenkor ugyanis arra is fény derül, milyen gyorsan reagálnak a támadásra. A megbízó megtudja, mely dolgozók, mennyi idő után jelentenek egy gyanús személyt vagy bármilyen biztonsági anomáliát, s miként lép mozgásba a támadást elhárító biztonsági rendszer.
