Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
Mivel az ügynökség nem volt biztos benne, hogy valódi hacker írta a levelet, illetve, hogy szakmailag helytálló amit írt, megkértek egy nemzetközi, informatikai biztonsággal foglalkozó céget, hogy ellenőrizze le szakmailag. Íme a levél, és a válasz.
Hacker: Az, hogy az országban még nincs teljes káosz, csak a hazai hackerek jóindulatának köszönhető! … Egyúttal megragadom az alkalmat, hogy megköszönjem hackertársaim visszafogottságát, így jómagam is még egy élhető országban élhetek - áll a nyílt levél bevezetésében.
Kiss Szabolcs, a Symantec Magyarország rendszermérnöke: Mi egy hacker tevékenységének a célja? Mi vezérli a hackert? Szeretné megmutatni, hogy okosabb a rendszergazdáknál, a gyártók szakembereinél, hogy extra tudással rendelkezik. De kérdés: csak azért, mert valaki többet tud egy területről másoknál, attól még vissza kell-e élnie ezzel a tudással? Vannak olyan helyek Európában, ahol nyitva hagyhatjuk a kocsit, és járó motor mellett bemehetünk cigarettáért a trafikba. Nem hiszem, hogy ennél a helyzetnél az a jobb, ha rettegünk és az autóra az összes elérhető riasztót felszereljük. Mindannyiunk érdeke, hogy nyugalomban dolgozhassunk.
Hacker: Sok cég vállalkozik arra, hogy egy szerveren keresztül megosztja az internetet a belső gépekkel. Kevesen tudják azonban, hogy egy rosszul konfigurált szerver elérhetővé teszi számunkra a belső gépek adatait. A levelezés és a jelszavak így könnyen a kezünkbe kerülnek. A vállalatok többsége a mi malmunkra hajtja a vizet. A tájékozatlanság, vagy a pénzhiány az oka? A lényeg, hogy nem fordítnak elég figyelmet a biztonságra. Megveszik a szervert, ami be van konfigurálva, jobb esetben valakit "megkérnek", hogy állítsa be és nagyon ritka az, amikor egy végzett rendszergazda felügyeli a hálózatot. A szakemberek többsége nem fordít gondot a felhasználók jelszavaira és nem figyelmezteti őket, hogy ne ugyanazt a jelszót használják, mint a usernév. A rendszeres upgrade is sok helyen elmarad. Egyszer például végignéztem egy internetszolgáltató szerverparkját és megdöbbenve láttam, hogy az ott lévő gépek 90 százalékán a rendszermag 2000. június előtti volt. Nevetséges. De nézzünk egy másik esetet.
Kiss: Igaz, vannak olyan cégek, akik elhanyagolják a biztonsági kérdéseket, de azért nem ez az általános tendencia. A nagyvállalatok többsége már igenis tisztában van a veszéllyel, és megfelelő szakembereket alkalmaz a biztonság felügyeletére. Egyértelmű, hogy a biztonság pénzt követel, a ráfordítás mennyisége pedig attól függ, hogy milyen adatokat védünk. Egy alapvető biztonsági szint minden vállalatnál szükséges, annak ellenére, hogy tudjuk: a 100 százalékos biztonság nem elérhető.
Hacker: Egy nemzetközileg is elismert részvénytársaság szerverén ugyanaz volt a user neve, mint a jelszó. Beléptem a gépre és mindössze 3 másodpercig tartott, hogy root jogot szerezzek. Ha ez a gép leállt volna, vagy csak fogom és letörlök róla mindent, hát nagy botrány lett volna belőle a magyar médiákban. Vagyis a cégek többsége képtelen megvédeni magát, alkalmazottait, vagy felhasználóit egy magamfajta hackerrel szemben. A jó rendszergazda drága. A többiek meg általában még a backup lehetőségét sem ismerik.
Kiss: De van remény akkor is, ha a vállalatnak nincs lehetősége arra, hogy képzett szakembereket alkalmazzon az informatikai rendszereinek üzemeltetésére. Ilyenkor érdemes szakértői programokkal támogatni ezeket az alkalmazottakat. Ezek segítenek abban, hogy a dolgozók megfelelő jelszavakat használjanak, azokat gyakran módosítsák, és biztonságosan tárolják. A szervereknél sérülékenység-vizsgálatot kell alkalmazni, de nem kell magasan képzett szakember ahhoz sem, hogy a felfedezett sérülékenységet elhárítsuk, mert a vizsgáló szoftverek még a veszély elhárításban is konkrét segítséget adnak. Mi azonban úgy látjuk, hogy nemcsak a rendszergazda és az informatikai szakember felelőssége a biztonság, hanem a felhasználók is sokat tehetnek érte. Ha a cégvezetők pár alapszabályt betartatnának az alkalmazottaikkal, már nehezebb lenne a hackerek dolga.
Hacker: A Sulinet is egy vicc. Jó, a rendszer biztos hasznos, de a szerverek rendkívül el vannak hanyagolva. Pénzük gondolom nem sok van, így a rendszergazdák többsége csak nevében az. Nem értenek a "betelepített" szerverhez és a rárakott bekonfigurált linuxhoz. Előfordult, hogy leültem egy szerverhez, bekapcsoltam a monitort és rögtön a root shell volt előttem. Megmondom nagy volt a kísértés, bármit megtehettem volna. Szerencsére a kernel- és csomagfrissítéssel sem nagyon törődnek. Könnyű eltüntetni a logfájlokat és így senki nem akad nyomunkra. Az ilyen gépet könnyen feltöröm és sokszor csak egy sulinetes ip-t hagyok a logokban. Senki nem talál rám. Hallottam egy esetet, mikor egy sulinetes szervernek 64 ip címe volt és az egyik ügyeskedő diák mind a 64 ip-ről támadást indított.
Kiss: A más gép "mögé bújó" és onnan támadást indító hackerek miatt alakulhatott ki az a helyzet, amelyet a legfrissebb lakossági kutatásunk is alátámaszt, miszerint valamennyi megfigyelt támadás Magyarországról indult. Ez némiképp szokatlan, hiszen a múltban a hasonló tanulmányok legalább néhány, külföldről származó támadást is kimutattak. Néhány támadás egyenesen egy-egy cég számítógép-hálózatán belülről eredt. Ebből látható az olyan céges védelmi stratégia szükségessége, amelynek révén a dolgozók nem tudják rendeltetésellenesen használni a cég eszközeit. Azzal csak egyetérteni tudunk, hogy a frissítések és a patch-ek alkalmazása elengedhetetlenül fontos.
Hacker: Alig akad olyan hálózat, amelynek védelmére tűzfalat használnak. Pedig a linux alá készült tűzfalak általában ingyenesek és meglehetősen jók. Ehhez persze egy gyakorlott rendszergazdára lenne szükség. Ahol viszont használják ezt a védekezési módot, ott sem fordítanak figyelmet a tűzfal finomhangolására és karbantartására. Nekünk kedvez az is, hogy a kereskedelmi forgalomban kapható tűzfalak nem minden protokollon tudják biztosítani a védelmet és ráadásul előre meghatározott szabályok szerint működnek. Nagyon kevés az olyan tűzfal, amely eseményeket kapcsol a protokollok paramétereihez és ez által scriptelhető.
Kiss: 4. Sajnos igaz, hogy Magyarországon a tűzfalhasználat mértéke és szintje még nem igazán megfelelő. Abban is igazat kell adjunk a hackernek, hogy a tűzfal beállítása a lelke a védelemnek. Sőt, manapság már nem elég a tűzfal, hanem olyan integrált megoldások használata javasolt, melyek behatolás-érzékelést (IDS) is tartalmaznak. A behatolás-érzékelő rendszerek a háttérben folyamatosan futva figyelik a számítógép hálózati forgalmát. Ha gyanús jeleket mutató tevékenységre bukkan, riasztja a felhasználót, illetve megteszi a megfelelő, előre meghatározott ellenintézkedést.
Hacker: Szóval a mai társaságok "nekünk" dolgoznak. Nem forradalmasítanak, csupán a régi szoftvereket foltozgatják. Hogy meddig működik még az "ipar"? Úgy gondolom Magyarországon van még jó néhány "szép" évünk. A hazai cégek inkább vállalják a kockázatot, mintsem hogy fizessenek a biztonságért. Bár, még ha fizetnek is érte, a rendszergazdák többsége nem ért eléggé a szakmához. Ismerek olyan csapatot is, amelyik nappal "szolgál és véd", éjszaka pedig ugyanoda támad. Van egy másik társulat, aki egyszerűen külföldi hacker-csapatokkal megtámadtatja a magyar céget, utána pedig bekopogtat hozzá, hogy védené. És hogy én az Internet bűnözője lennék!? A törvény szempontjából talán igen. Pedig csak azt teszem, amit mindenki. Kihasználom a lehetőségeket.
Kiss: A Symantecre nem igazán jellemző a foltozgatás, igyekszünk minden területen a rossz fiúk előtt járni, és a munkájukat a lehető leginkább megnehezíteni. A nappal véd és éjszaka támad csapatok tekintetében pedig azt javasoljuk, hogy azok a nagyvállalatok, ahol a biztonság a legmagasabb prioritást élvezi, ott érdemes megfontolni a biztonság outsourcingját, ahol képzett, és auditált szakemberek állnak a vállalatok rendelkezésére.
