Biztonsági őrt is kicselező hackerek

Hiába lenne szükség kiberbiztonsági szakemberekre, az oktatási rendszer felkészületlen

2016. augusztus 30., kedd 17:36, frissítve: kedd 17:36

Egyre többet költenek a cégek informatikai rendszereik védelmére, a felívelő piac azonban hiába adna kitörési lehetőséget magyar szakembereknek. A Deloitte könyvvizsgáló cég a világ egyik piacvezető kiberbiztonsági csapatát irányítja Magyarországon, az oktatási rendszer gyengeségei miatt azonban utánpótlási nehézségekkel küzd. Hasonló tapasztalatai vannak a Budapesti Műszaki Egyetem kiberbiztonsági szakfelelősének is: bár az egyetemen kutató hackercsapat világszínvonalú, az új generáció képzése kreativitást igényel.

Véget ért a világ egyik legrangosabb etikushacker-versenye, aminek utolsó fordulójára Las Vegasban, a DefCon kiberbiztonsági konferencián került sor. Az augusztusi döntőbe jutott tizenöt csapat között hazánk is jelen volt – a Budapesti Műszaki Egyetemen működő Crysys Lab emberei a tizenharmadik helyen végeztek. – Ebben az évben a rangosabb versenyekre helyeztük a hangsúlyt – mondta lapunknak Buttyán Levente, a BME egyetemi docense, a Crysys Lab vezetője. A csapat ugyanis nem ismeretlen a nemzetközi hackerközösségen belül, az elmúlt években sorra küzdötték végig magukat az informatikai biztonsági rendszerek feltörését célzó versenyeken. Aktivitásuknak köszönhetően tavaly az etikushacker-csapatokat listázó nemzetközi ranglista ötödik legsikeresebb közösségévé váltak.

Infrastruktúra-védelem az EU-ban

A digitális infrastruktúra biztonságának növelésére törekszik az Európai Unió is. Augusztus 8-tól hatályos ugyanis az uniós hálózati és információs rendszerek biztonságáról szóló irányelv (NIS), ami a kibervédelem területén az első közösségi szintű szabályozásnak számít. Egy incidens amellett, hogy komoly gazdasági károkat is okozhat, alááshatja a fogyasztók bizalmát például az interneten keresztül történő fizetés vagy egyéb elektronikus szolgáltatások iránt – hangsúlyozta az irányelv jelentőségét az annak betartatásáért felelős hazai hatóság, a Nemzeti Kibervédelmi Intézet. Lapunk kérdésére az intézet közölte: az internetszolgáltatók, az online áruházak, a keresőprogramok és felhőszolgáltatások, illetve az egészségügyi, az energia-, közlekedés- és ivóvíz-szolgáltatók, valamint a pénzügyi szféra szereplői érintettek az új szabályozásban. (MN)

– Ehhez a szakirányhoz nagy elhivatottság kell – folytatja Buttyán. A BME informatika mesterszakán már működik az IT-biztonsági szakirány, a Crysys Lab hackercsapata is nagyrészt innen verbuválódik. A felvételhez vizsgát kell teljesíteni, utána már a közösség többi tagjával együtt folytatódik a tanulás, a versenyekre való felkészülés. A csapat azonban a sikerek ellenére nehézségekkel küzd. – Az IT-biztonsági szakemberek képzése nehezen illeszthető be az előadásokra, szemináriumokra épülő hagyományos egyetemi képzési rendszerbe – hívja fel a figyelmet a Crysys Lab vezetője. A hallgatóknak itt szituációs gyakorlatokkal tanítják meg a biztonsági rendszerek réseinek feltérképezését, vagyis mind külön odafigyelést igényelnek. – Próbáljuk saját erőből megteremteni a megfelelő körülményeket – mondja Buttyán, a Crysys Lab ezért a hackerek számára szimulációs tanulószoftvert fejlesztett ki, az Avatao.com a nemzetközi közösség által is használt program.

– Egyelőre azonban a fejlesztést nem fizette ki nekünk senki – folytatja Buttyán, s hozzáteszi: nehéz a kiberbiztonság-oktatásra anyagi támogatást szerezni.

– Bár mindenki informatikushiányról beszél a munkaerőpiacon, a felsőoktatás egész területén nem történik változás – teszi hozzá. Az egyetemi tanár szerint különösen fontos lenne több IT-biztonsági szakember képzését lehetővé tenni, ugyanis a cégek munkaerőigényét ezen a területen képtelenség kielégíteni. Elmondja, az informatikus alapképzésről kiberbiztonsági vonalra került hallgatók hatszázezer forint körüli fizetést vihetnek haza.

Hogy mekkora az igény az ilyen és ehhez hasonló szolgáltatásokra, jól jelzi a kiberbiztonsági piac rohamos bővülése. A Forbes gazdasági magazin összeállítása szerint tavaly összesen 75 milliárd dollárt költöttek a cégek erre a célra, s az összeg várhatóan robbanásszerű növekedés előtt áll. Állítják, 2020-ra a piac 170 milliárd dollárra bővül majd, évente átlagosan 9,8 százalékos növekedést jósolnak.

Amilyen biztatók ezek a számok, olyan lehangoló a szakemberhiány: nagyságrenddel több igen jól képzett kiberszakértőt bír el a piac, mint amennyit az oktatási rendszer jelenleg produkál. A problémát észleli a Deloitte könyvvizsgáló cég kiberbiztonsági részlegének vezetője, Antal Lajos is. A kiberbiztonsági szakembert azután kerestük meg, hogy a könyvvizsgáló cég toborzókampányával a metrómegállókban találkoztunk: a hackerfigurát ábrázoló poszteren izgalmas munkát és nagy szellemi kihívást kínál a cég.

– A pénzügyi világban alapszabály: amit pénzzé lehet tenni, azt támadni is fogják – kezdi a beszélgetést Antal Lajos. A szakember elmondja: a Deloitte-nak Magyarországon működő hackercsapata a világ számos pontjára kiterjedően teszteli a vállalat ügyfeleinek biztonsági rendszereit, s az informatikai audit okkal vált mára a Deloitte egyik legnépszerűbb szolgáltatásává. Egyre több cég észleli ugyanis, hogy a kibertérben a vállalati titkokért töretlenül folyik a harc, ami újabb és újabb szakemberigényt támaszt.

Antal szerint a monitor túloldalán szervezett bűnözői körök bérhackerei és magányos elkövetők is ülnek. A támadók közvetlenül a virtuális számlákon tárolt pénzhez próbálnak hozzáférni, de a szellemi tulajdon és a személyes adatok is veszélyben vannak.

A részlegvezető húsz éve oszlopos tagja a kiberbiztonsági közösségnek. Az általa képviselt betörésiteszt-módszer mára elterjedt gyakorlattá vált. Lényege, hogy az informatikai rendszerek gyenge pontjait szimulált támadásokkal keresik a hackerek, majd megbízóik a feltárt biztonsági rések javításával növelik a cég informatikai rendszereinek biztonságát.

– Amelyik rendszerre rámutatnak, annak nekimegyünk – folytatja Antal, amikor a Deloitte-nál végzett munkájukról kérdezem. Elmondása szerint a csapatnak széles körű a hozzáértése, komplett informatikai infrastruktúrát, mobilalkalmazásokat, valamint ipari rendszereket, például erőműveket is tesztelnek. De egyre nagyobb az igény az úgynevezett beépített rendszerek tesztelésére is: ezek bizonyos funkciók végrehajtására kifejlesztett eszközök, amelyek számos helyen, járművekben, forgalomirányításban vagy az egészségügyi vizsgálóberendezésekben is megjelennek.

– Jelenleg az ügyfeleket a technológiai kibertámadás és a megtévesztéses technika kombinációja veszélyezteti a legjobban – folytatja Antal. A megtévesztéses támadás, vagyis social engineering gyakorlatával a hackerek olyan formában próbálnak egy rosszindulatú programkódot bejuttatni a célrendszerre, hogy közben az áldozatban nem ébresztenek gyanút. Ez történhet e-mail formájában éppúgy, mint egy fizikai adathordozón, például egy USB-táron. Majd ha a támadás sikeres volt, lehetőség nyílik akár a támadott rendszer feletti kontroll átvételére is, de előfordul, hogy a bejuttatott vírusok jelszavakat gyűjtenek és továbbítanak a támadóknak. Antal elmondja, széles a paletta a támadások karakterisztikájának tekintetében.

– Esetenként az ügyfelek kérésére a fizikai biztonságot is tesztelik. Ilyenkor különböző kitalált történetekkel kicselezik a biztonsági őrök és az alkalmazottak éberségét, majd az épület bizonyos pontjain elhelyezett névjegykártyákkal jelzik, sikerült bejutniuk. Ezeket az akciókat egy biztonsági laborból vezetjük – folytatja Antal. Mielőtt azonban a támadás megindulna, részletes felkészülés kezdődik. Valamennyi „akció” ugyanis szigorú forgatókönyv szerint zajlik. Elsőként a megbízó cég biztonsági szakembereivel egyeztetnek, megállapodnak a célrendszerek, adott esetben célszemélyek köréről. Felkészülnek a megtévesztéses támadásra is, környezettanulmányokat készítenek. Ha például adott személyekre építenek fel social engineering támadást, előtte a világhálón megtalálható információkból részletes profilt dolgoznak ki. Így a támadás során jobb eséllyel tudják megkörnyékezni az áldozatot, hogy gyanútlanul titkos kódokat juttassanak be a számítógépébe vagy más eszközeire.

– Egy ilyen akcióból a megrendelő nagyon sokat megtudhat – mondja Antal. Például láthatóvá válnak a sebezhető pontok: mely úton érték el a rendszert, illetve hol vallott kudarcot a támadás, amennyiben a védelem képes volt észlelni és elhárítani. – De nem csak a felderítés fontos – folytatja a szakember. Ilyenkor ugyanis arra is fény derül, milyen gyorsan reagálnak a támadásra. A megbízó megtudja, mely dolgozók, mennyi idő után jelentenek egy gyanús személyt vagy bármilyen biztonsági anomáliát, s miként lép mozgásba a támadást elhárító biztonsági rendszer.

Fontos a lojalitás
A Deloitte-nál az etikushacker-jelölteket háromfordulós felvételin vizsgálják, az eljárás során nem csak a szakmai tudást mérik. A szakember szerint döntő a gyors tanulási készség, a logikus gondolkodás, továbbá a nyelvtudás és a képesség arra, hogy precíz, megfontolt módon kezeljen problémákat. – Ez a munka folyamatos tanulást igényel – mondja Antal Lajos –, ami kezdetben koncentrált tanulási időszakokat jelent. – A frissen felvett munkatársakat fokozatosan készítik fel a feladatra, sokáig egy tapasztalt kolléga mellett sajátítják el a munka részleteit. A tanulási folyamat során lassan kibontakozik a hacker személyisége. Kiderül, mely területeken jobb, mely munkák állnak tőle távolabb. Nagymértékben támogatjuk, hogy mindenki találja meg azt a szakterületet a kiberbiztonságon belül, ahol a legtöbbet képes kihozni magából – teszi hozzá. Hiába kérdezem, Antal Lajos nem árulja el, mennyit ér a csapatában dolgozó hackerek tudása. – A megfelelő fizetés mellett sokat jelent a kollégáknak, hogy szakmai tudásuk bővül, és nem utolsósorban igen sok informatikai rendszert, helyet és embert ismernek meg szerte a világban – mondja. A szakembereket ugyanis több szempontból is kompenzálni kell, ugyanis nemcsak a tudásuk nagyon értékes, de fontos a lojalitásuk is. Ha a konkurenciának sikerül átcsábítani őket, nemcsak értékes tudást, de a cég szempontjából kényes információt is magukkal vihetnek. (B. V.)

Ennek a cikknek a nyomtatott változata a Magyar Nemzetben jelent meg. A megjelenés időpontja: 2016.08.30.

A szerkesztő ajánlja

Molnár Csaba

176 millió kamera kereszttüzében: a kínai Nagy Testvér mindenkire odafigyel

Az, ami Orwell idejében még disztópiának tűnt, a mindent látó kamerának hála szép lassan valósággá válik.

Pethő Tibor

1938. augusztus 25. – 2018. április 11.

Elhallgatni nem fogunk. Várunk, reménykedünk, imádkozunk. Mert lehet egy újságnak bárki is a tulajdonosa, azt pontosan tudjuk, hogy a mi igazi „gazdánk” az olvasó.

Stier Gábor

Szomorú búcsú Eraszt Fandorintól

Borisz Akunyin húsz év után nemcsak világhírű regényhősét, hanem a kilencvenes években az orosz jövőről szőtt álmait is eltemeti.

Lakner Dávid

Lajcsika, ha te mindig játszol, miből éltek?

Inkey Alice Szőts Istvánról, Latinovits jókedvéről és Kosztolányi Dezső fekete pöttyös nyakkendőjéről.