Jövő héten ismét hackerkonferencia és ennek apropóján gondoltam megosztom veletek, hogy szerintem mire is jó a hacker. Előre tisztázandó nem vagyok hacker. Nemcsak munkakörömet tekintve, de képességeimet, tudásomat tekintve sem. Friss olvasmányélményeim alapján azt mondanám, hogy I have no natural aptitude...
Szokták mondani, hogy az ITSec egy trust management issue. Ez annyira általános, hogy még igaz is, vagyis minden IT biztonsági problémát meg lehet bizalmi kérdésként fogalmazni: bízunk, bízhatunk-e a cloudban, a rendszergazdában, a gyártóban, a fejlesztőben? Vagy mi kell ahhoz, hogy bízzunk a cloudban, a rendszergazdában? Gyakran látom, hogy ez az általános igazság a gyakorlatban nem visz közelebb a veszélyek jobb megértéséhez.
A hackerek (most hagyjuk a politikailag korrekt fehérezést...) ezzel szemben nem trust managementben gondolkodnak: fogják az eszközt, terméket, megnézik mit állít magáról, vagy mire használják, és megpróbálják olyanra használni, ahogy arra nem számítottak, amire nem tervezték, megpróbálják az állításokat megcáfolni. Csak néhány megcáfolt állítás:
- email feladó mezőben látott ember adta fel az emailt;
- forrás ip cím azt a gépet azonosítja, ahonnan az ip csomag származik;
- WEP emberi időben nem fejthető vissza;
- ha titkosítom a merevlemezt, akkor nem lehet az adataimhoz hozzáférni stb;
Fontos látni, hogy ezeket az állításokat soha sem a programok tették, hanem egyfajta a fejlesztők által támogatott megállapodás volt a felhasználók között.
Ahogy a nem várt használati módok sem a szokásos értelemben programhibák:
- url-ben küldött kód;
- név mely törli a táblát stb.
Persze a sor a végtelenségig folytatható, nem is ez a lényeg. Ami fontos, hogy a hackerek folyamatosan arra kényszerítik az IT-t használó embert, hogy újra gondolja viszonyát az IT-val: mire jó, mire nem jó. Szükségünk van rá, mert szemben a tüzzel, amit megtanultuk használni, közmegegyezés van veszélyéről és erre a gyerekeinket is könnyen megtanítjuk, addig az IT-val való viszonyunk már nem ilyen egyszerű.
A hackerekre szükségem van, mert IT-ról alkotott elképzeléseimet pellengérre állítják és könyörtelenül lecsapnak a gondolati bakugrásokra. Szerencsémre a cégnél van pár hacker. Külön szobában élünk, ezért időről időre átmegyek hozzájuk és kérdezem őket mit csinálnak, mit találtak, hogyan oldottak meg egy feladatot. És tanulok. Ha kell, pontosítom IT világképemet. Máskor előállok egy elképzeléssel (mostanában a clouddal provokálom őket) és vitatkozunk. Keresem érveim gyenge pontjait, keresem hol nem megalapozott a bizalom és megint csak tanulok.
[Szégyentelen hirdetés a végére]
A jövő héten Ethical hacking konferencia, ahol ilyen hackerekkel lehet majd találkozni. Halgassátok olyan szemmel őket, hogy amit mondanak, hogyan illeszkedik IT világképetekbe, figyeljétek, hogyan használják, látják az IT eszközöket. Utána tegyétek föl magatoknak a kérdést, hogy erre számítottatok vagy sem. Ne felejtsétek el, hogy akkor vagyunk (IT biztonsági) biztonságban ha az általunk használt IT eszközök, szoftverek azt csinálják, amit elvárunk tőlük és ha nem lepődünk meg azon, amit csinálnak.
A hackerek ezt feszegetik folyamatosan.
A konferencia időpontja: 2011. május 12., csütörtök
Mi is ott leszünk:
Cím: Virtuális biztonság, avagy Alíz a virtualizált Csodaországban
Előadók: Klock László és Spala Ferenc (kancellar.hu, információbiztonsági tanácsadók)
-- Tiborcz József
