Az idei Hacktivity egyik legnagyobb közönségkedvence a lockpicking workshop volt. Ez az, amikor az ember roncsolásmentesen próbálja meg kinyitni a zárakat.
Nem volt illúzióm a zárakkal kapcsolatban már addig sem, mert láttam lakatost munka közben (szomszédom zárta ki magát és 1-2 percig próbálkozott roncsolásmentesen kinyitni az ajtót, ami annyiból állt, hogy feszegette finoman, mint korábban mi, majd közölte, hogy ezt bizony törni kell, ezt követően 5 másodperc és már nyitva is volt az ajtó...), de azért arra nem számítottam, hogy 5 perc alatt (!!!) egy ablaktörlő lapát darabjával kinyitok egy olyan lakatot, mint ami otthon is van a sufnin, a Horvátországban rendszeresített bilincset leszedem a kezemről és egy sörözdoboz darabkával nyitok egy másik lakatot. Tudom a fiúk rendesek voltak és a könnyebb zárakat adták oda. Mégis.
Mégis, elgondolkodtam, hogy azért az elég durva, hogy a fizikai biztonság még ott tart, hogy olyan lakatokat adnak el, olyan zárak vannak forgalomba, aminek a nyitása ennyire nevetségesen egyszerű.
Végre egy terület, ahol az informatika fényévekkel előrébb tart: ma már senki sem (remélem) próbál gagyi, home-made titkosítást használni, a használatban lévő titkosításokat, biztonsági megoldásokat folyamatosan értékelik, vizsgálják, az erősségüket és gyengeségeiket újra és újra értékelik.
A lockpickeres srácok megmutatták, hova vezet az, amikor nem lehet vagy nem szokás a másik oldalról is megnézni egy megoldást, egy feltételezést. Nem tudom a fizikai biztonság területén vannak e hasonló rendezvények, mint amilyeneket az IT fel tud mutatni. Nem tudom, az életnek melyik olyan másik területe van, ahol két szakma (informatika és IT biztonság) egymás mellett, ilyen (egy nagyon durva szó következik) szinergiában létezik.
Nem állítom, hogy nincsenek jó fizikai biztonsági megoldások. Gondolom, akik képesek megfizetni, azok hozzájuthatnak valóban működő megoldásokhoz, akik meg tudják fizetni, megtudhatják a különböző megoldások mi ellen és mennyire védenek. De a többieknek, nekünk átlagembereknek, marad a hit.
Ha valaki az adatait biztonságban akarja tudni annak számtalan valóban működő biztonsági megoldás áll a rendelkezésére. De ami ennél is fontosabb, a biztonsági megoldások korlátai is megismerhetőek, ismertek.
És nem gondolom, hogy ez csak a kiválasztottak, a szűk szakmai kör kiváltsága! Éppen a folyamatos párbeszéd és az olyan események mint a Hacktivity segítik, hogy az eredmények a mindennapi informatikai megoldásokba is beépüljenek. Ezért a fenti kérdésre megvan a saját válaszom: kétlem, hogy vannak ilyen rendezvények, kétlem hogy van igazi párbeszéd. Ha lenne akkor nem itt tartanánk...
Az informatikai megoldások fejlődése mutatja, hogy milyen volt a világ a hackerek előtt, amikor a fizikai biztonságból is ismerős (security by obscurity) megoldásokkal indultunk (WEP, word file titkosítása, stb.) és hogyan fejlődött, ahogy jöttek a hackerek és leromboltak egy hitet. Volt, hogy üldöték, lenézték őket de az idő igazságot tett: mindannyian profitálunk abból, hogy vannak. A világ sokkal rosszabb lenne nélkülük.
Ha nem hiszed, beszélgess egy lockpickerrel és elmondja.
-- Tiborcz József