[Eredetileg megjelent az IT-Business-ben.]
Az idei év eddigi legnagyobb visszhangot kiváltó biztonsági incidense, hogy az anonymous nevű internetes csoport a HBGary Federalt és a rootkit.com-ot feltörte. A kárörvendők számára érdekes adalék, hogy az előbbi a HBGary biztonsági cég, az utóbbi Greg Hoglund elismert IT biztonsági szakemberhez köthető. A hírekben elsősorban ezek az információk jelentek meg, ugyanakkor az ilyen történetek mögött mindig érdekes azt is megnézni, hogy mi is történt valójában. A szakmai zsargonban „támadási vektor” ismerete a védekezést segítheti. Szerencsénkre az ars technica cikkéből erre is választ kaphatunk.
A történet csalódást keltően egyszerű: az előbbit egy harmadik fél által fejlesztett CMS -ben talált SQL injection-ön keresztül törték fel, míg az utóbbi egy klasszikus social engineering támadáson vérzett el. Ahogy mondani szokták: minek a rendszert feltörni, ha mindig van egy készséges munkatárs, aki magától is átadja amire szükségünk van? Ebben az esetben Greg Hoglund nevében (email címéről) küldött levélben kérte a támadó, hogy módosítsa a jelszavát. Az egész email párbeszéd annyira jellemző, hogy érdemes eredetiben is elolvasni!
A dolog tanulsága számomra azonban nem az, hogy valaki hibázott, nem az, hogy valaki szembe ment a forgalommal! Az eset a maga egyszerűségében mutatta meg, hogy a social engineering technikák milyen hatékonyan működnek. Még egy chief security specialist is milyen könnyek áldozatul tud esni. Könnyű azt mondani, hogy a levélváltásban voltak gyanús jelek (nem tudta saját jelszavát, nem tudta a fiókjának a nevét), de őszintén; még senki sem folyamodott jelszó reset-hez, még senki sem volt fáradt, nem volt, hogy elfelejtett valamit, rosszul emlékezett valamire? Ráadásul a támadó olyan dolgokat ismert, amit normálisan csak a tulajdonos ismerhet (root jelszó, email a jó feladóval). Noha tudjuk, ezek kijátszhatóak, de őszintén, minden egyes emailnél mindenki mérlegeli, hogy amit benne írtak, az tényleg attól jött, aki a fejlécében látszik? Ha a válaszod igen, akkor azt mondom, hogy nehéz életed lehet! Az ember elsősorban társas lény, a túléléshez közösségekben él. Család, barátok, cég, Nemzet. Folytassam? A közösség elsőrendű alkotóeleme a bizalom, az együttműködés kényszere és igénye. Bizalom nélkül nincs család, nincsenek barátok, sem cég még Nemzet sem. Csak ezt az utóbbiban máshogy hívjuk: közös értékeink.
A bizalmi viszonyainkat az informatika tette bonyolulttá. Az eset tanulsága az, hogy a sok tízezer év alatt kialakult és jól működő rendszert alig két évtized alatt a technikai fejlődés alapjaiban kérdőjelezett meg. A folyamat ellen küzdeni felesleges, a technikai fejlődés előnyei elvitathatatlanok.
Amit tehetünk, hogy vizsgáljuk és igyekezünk megérteni az informatika, bizalom és ember kölcsönhatását és az így szerzett ismeret birtokában cselekszünk. Amit tehetünk, hogy rendszeresen teszteljük magunk és munkatársaink viszonyát az IT rendszerekhez. A social engineering vizsgálat tehát nem ad-hoc hanem rendszeres, nem célja, annak kiderítése, hogy esendőek vagyunk e, mert a választ előre megmondom: igen (emberek vagyunk), hanem az, hogy az adott közösségen belül milyen bizalmi viszonyokat fogadunk el érvényesnek és mik a határesetek, ahol további párbeszédre van szükség.
Úgyhogy a Tanú klasszikus mondata ma sem lehet érvényesebb: Éberség elvtársak, éberség!
-- Papp Péter
UPDATE (04.20): Azóta a helyzet már nem ilyen egyértelmű, mert az RSA is bejelentkezett a dobogóra.
