Az etikus hackerek szerint mindenkit érhet baleset

Az Ethical Hacking, azaz a jó szándékú, bitonsági hiányosságok feltárására szolgáló hackelés hazai szakamberei számára rendezett konferencián az előadók idén leginkább azt próbálták bemutatni, hogy minimális hackertudás is elegendő ahhoz, hogy valaki céges rendszereket törjön fel vagy magánemberek adataihoz juthasson hozzá.

Veres-Szentkirályi András előadásából az derült ki, hogy még a megbízhatónak vélt - akár egyenesen a hivatalos Marketből letöltött - Android appok is veszélyt jelenthetnek az okostelefonok és tabletek felhasználóira, mert előfordulhat, hogy azt egy rosszindulatú személy manipulálni tudja. A legtöbb alkalmazás alig kér hozzáférést a telefonban tárolt adatokhoz, sőt akár internet-hozzáférésre sincs szüksége. Igen ám, de akár az is előfordulhat, hogy a támadó észrevétlenül jelenít meg egy potenciálisan rosszindulatú reklámot vagy szponzorált(nak tűnő) appot a "biztonságosan letöltött" alkalmazáson belül, s ilyenkor az egyébként jóindulatú alkalmazás is a rossz szándék hordozójává válik.

Egy másik előadó, Keleti Arthur a céges biztonságról, illetve inkább annak elhanyagolásáról beszélt. Felhívta a figyelmet arra, hogy egy hanyag vagy lusta programozó tulajdonképpen tálcán kínálja fel a rendszerben tárolt adatokat, amelyek egy ügyes hacker számára akár 15-20 percen belül elérhetők. Az egyik legnagyobb veszélyt a rosszul beállított rendszerek és a felületesen kezelt biztonsági beállítások mellett a fontos szoftverfrissítések elhanyagolása rejti. A támadók gyakran találkoznak 3-4 éves, azaz egyértelműen elavult rendszerekkel, amelyekre a gyártó már régen adott ki frissítést, ám ennek hiányában a közismert hibán keresztül a rendszer könnyen sebezhetővé és hackerek áldozatává válhat. A másik kritikus pontot a default vagy túlságosan könnyen kitalálható jelszavak jelentik. A legevidensebb és legegyszerűbb támadási módszer az ilyen jelszavak végigpróbálása, és nem is hinnénk, hány esetben járnak sikerrel a támadók.

A konferencia legnagyobb tanulsága, hogy nem szabad hamis biztonságérzetbe ringatnunk magunkat. A felhasználók szempontjából fontos, hogy körültekintően telepítsenek alkalmazásokat, a cégek esetében pedig ajánlott nem csak elvégeztetni egy biztonsági auditot, hanem meg is fogadni az ez után kapott tanácsokat és befoltozni a fellelt biztonsági réseket. Ez utóbbira ugyanis sokszor nincs idő, így a teszt csak egy kiadási tételt jelent és egy jelentést, amit a vezetők lefűzhetnek, mondván, ezt is letudták.

Varga Judit