Meglehetősen ijesztő, de tény, hogy a vállalatok nem tudják, mennyire és milyen támadásoknak vannak kitéve informatikai rendszereik. Az NSA-botrány kapcsán egyértelműen kiderült, hogy bizonyos berendezéseket nem csupán szoftveres, hanem hardveres kiskapukkal is elláttak. Senki sem érezheti tehát teljes biztonságban magát, sőt azt sem lehet tökéletesen megítélni, hogy az eddigiekben milyen mértékben fordultak elő a vállalatnál támadások.
Háromféle támadási alapséma
A különféle kiskapukkal történő támadási sémák közül a legegyszerűbb a kiberbűnözési (cybercrime) vonulat, amikor bűnözők anyagi haszonszerzés céljából akarnak bizonyos (például hitelkártya-) adatokat megszerezni. A bűnelkövetők akár sorozatban bocsáthatnak ki fertőzött végberendezéseket, amelyeket jó áron lehet megvásárolni, jellemzően kis, "nevenincs" boltokban. Ezek az eszközök aztán rögtön a használatbavételt követően támadásba lendülnek. A védekezés egyetlen módja, ha a cég megbízható forrásból vásárol. Természetesen ekkor sem százszázalékos a biztonság, ám valószínűleg nem fordul elő ilyen jellegű támadás.
Nehezebb a helyzet, ha a támadás mögött komoly állami háttér áll. Ilyenkor idejekorán bekerül az eszközbe a számítógépes rés, így a viszonteladó is teljesen gyanútlan. Nem segít tehát a védekezésben a biztos forrásból történő beszerzés.
Ezen támadások során már nem hitelkártyaadatokat és hasonlókat akarnak megszerezni, hanem bizonyos fontos, célzott információkra utaznak. Az igazi kérdés tehát az, hogy mi a támadó fél pontos szándéka. A legvalószínűbb, hogy a támadó sok-sok végberendezéshez hozzáfér, ám a begyűjtött adatoknak csak egy részét használja fel, csak bizonyos felhasználókra kíváncsi. A vállalatok szemszögéből nézve véletlenszerű, hogy áldozatává válnak-e egy ilyen támadásnak.
A harmadik jellemző támadástípus szintén állami háttérrel történik, ám itt nem "vaktában" lőnek, hanem a támadás célzottan valaki ellen irányul. A támadó ilyenkor többnyire megpróbál fertőzött okostelefonokat, laptopokat, asztali számítógépeket bejuttatni a kiszemelt céghez. Ebben az esetben szintén nem nyújt kellő védelmet a megbízható beszerzési forrás, hiszen már oda is manipulálva érkezhetnek a berendezések.
"A háromféle támadás közül ez utóbbi ellen a legnehezebb a védekezés. Az első két támadástípusnál vagy azok kombinációjánál ugyanis elképzelhető, hogy előbb-utóbb lebukik a támadó, és akkor másoknál is felismerhetővé válik a biztonsági rés. A harmadik típus esetén azonban a támadás akár teljesen egyedi lehet. Még azt is rendkívül nehéz kideríteni, hogy egyáltalán bejutottak-e a támadók vagy sem" - mutat rá Bencsáth Boldizsár, a Műegyetem adjunktusa (CrySyS laboratórium).
Hasonló kockázat a felhőben
Ajánlott tehát megbízható forrásból, biztonságos szállítótól vásárolni a berendezéseket, továbbá az ismert támadások ellen megfelelő antivírus-programokat használni. "Nem megoldott kérdés, hogy ezen túlmenően miként lehet védekezni. Műszakilag is problémás egy ismeretlen, csak feltételezhető kiskaput feltárni, legyen az akár szoftver-, akár hardveroldali. Éppen ezért nehéz kideríteni, hogy egy berendezés az elvárt módon működik-e, vagy van-e benne alvó biztonsági rés. Annak már nagyobb az esélye, hogy a kiskapu aktiválásakor fény derüljön a támadásra. Bármilyen furcsa esemény, például egy illegális fájlhozzáférés vagy egy kamera váratlan bekapcsolása gyanút kelthet a felhasználóban" - fogalmaz a BME adjunktusa.
A szakértő szerint felhőalapú szolgáltatások használatakor hasonló a kockázat. A felhőkiszolgáló esetében ugyanezek a problémák állnak fenn, tehát a szolgáltató ugyanúgy kitett az ilyen típusú támadásoknak, mint a cégek. Abból viszont előnye származhat egy vállalatnak, ha adatait szeparálva tárolja a felhőben. Így a támadó mindig csak az adatok egy töredékére láthat rá, ezért sokkal nehezebb a dolga.
A jövőben várható támadásokkal kapcsolatban nehéz bármiféle előrejelzést tenni. "Mivel a támadások típusait egyre jobban ismerjük, nem nagyon van olyan lehetőség, amivel egyáltalán nem számoltunk volna. A Snowden-iratokból és más felderített támadásokból szintén az derül ki, hogy eddig is jó nyomon jártunk, csak arra nem gondoltunk, hogy ilyen profi módon, ilyen tömeges mértékben zúdulnak a világra a támadások, és azt sem tudtuk, hogy már évek óta jelen vannak életünkben. Teljesen új támadástípusokra tehát nem nagyon lehet számítani. Ugyanakkor a technika fejlődésével természetesen állandóan finomodnak a meglévő támadások" - teszi hozzá Bencsáth Boldizsár.
Biztonságos programozás - tudatosan
A különböző, világméretekben használt programok (és más szoftverek) esetében naponta ezernyi javítás történik. A frissítésekben kijavított hibák többsége nem szándékosan került a rendszerbe. A programhibák és biztonsági hibák létezése tehát tömeges és normális: akkor is előáll, ha a fejlesztők kellő körültekintéssel dolgoznak.
Esetenként egyébként nagyon nehéz kiértékelni és bizonyítani, hogy egy hiba tudatosan vagy véletlenül került be a programba. Sokszor még egy külső szakértő sem tudja könnyedén megállapítani, egyáltalán ott van-e a kiskapu, illetve szándékosan vagy programozói hibából került be a biztonsági rés a szoftverbe.
"Az egyetemen is tanítjuk, hogyan kell jó, robusztus programokat írni. Vannak tantárgyaink, amelyek a programozással, fejlesztéssel vagy éppen általánosságban a különböző gépek architektúrájával, azok helyes használatával foglalkoznak. Hiába írja meg ugyanis a fejlesztő jól a saját programját, ha rosszul integrálja egy nagyobb rendszerbe, abból komoly problémák származhatnak. Az informatikai biztonság oktatásának előmozdítása érdekében a BME számos lépést tett. A jövőben például minden BSc-szakos diák számára kötelező lesz az IT-biztonság tantárgy. Eddig ilyen irányú képzésben csak az MSc-hallgatók vettek részt, így azonban most már többekhez eljutnak legalább az alapismeretek. Aki még jobban el szeretné mélyíteni ismereteit, több másik tantárgyat is fel tud venni, hogy az IT-biztonság egyes részleteit mélyebben megismerje. Mindazonáltal ezek a tárgyak nem kötelezőek, tehát nem mindenkihez jutnak el. Bízunk benne, hogy egyre többen fognak egyre mélyebb ismereteket szerezni a témában már az egyetemi tanulmányaik alatt" - fogalmaz az oktató.
Rendszeres tesztek etikus hackerekkel
Ha egy szervezet a szoftvervásárlást követően biztonsági teszteket akar végezni, természetesen megteheti. Az úgymond garantált biztonság kimondása azonban hatalmas erőforrásokat igényel, amivel egy átlagos vállalat jellemzően nem rendelkezik. Az alapvető, ismert hibák keresésére természetesen megvannak az eszközök, amelyek már a programozónál kibuktathatják a hibákat.
Az utóbbi időben egyre inkább bevált gyakorlattá válik a cégeknél, hogy új rendszer bevezetésekor etikus hackereket hívnak meg, sőt ezeket a látogatásokat a későbbiekben is rendszeressé teszik. E vizsgálatok fő célja nem feltétlenül a programkód hibáinak feltárása, sokkal inkább az, hogy az integrált rendszerben vannak-e hibák, rossz komponensek, régi verziók, olyan beállítások, amelyek az illetéktelen hozzáférést lehetővé teszik.
Óriásprogramok kontra hazai fejlesztések
Nem lehet egyértelműen megmondani, hogy egy hatalmas, a világ minden táján használt szoftver, avagy egy magyar csapat kis programja tekinthető-e biztonságosabbnak. Feltételezve, hogy mindkét rendszert igazi profik készítették, igazából csak a két programkód méretében, komplexitásában lehet komoly eltérés, a hibák arányában nem. Ennek megfelelően egy bonyolultabb programban valószínűleg több a sérülékenység, mint egy kis fejlesztőcsapat célirányosan létrehozott, egyszerűbb programjában.
Amikor egy vállalat nemcsak azzal foglalkozik, hogy informatikai rendszereiben hol van hiba, illetve hol van biztonsági rés, hanem azt is vizsgálja, hogy ezekkel hogy élnek majd vissza, akkor fontos a támadómodell ismerete, valamint a rendszerre épített várható támadások felmérése. Egy kis cégtől származó, egyedi program feltörése például komoly nehézségek elé állíthat egy átlagos támadót, miközben egy széles körben elterjedt, nagy rendszer ismert hibáiról rengeteg információt lehet találni az interneten. Ugyanakkor arról sem szabad megfeledkezni, hogy a kis, egyedi rendszerek csak egy adott pillanatig érezhetik biztonságban magukat. Ha ugyanis a szoftver forráskódja napvilágot lát, esetleg belső támadó tevékenykedik a cégnél, akkor máris könnyebbé válik a betörők dolga. Minden beruházásnál külön megfontolást igényel tehát, hogy melyik út a biztonságosabb, és a döntés adott esetben nehéz lehet.
