"A legnagyobb veszély az ember maga" - interjú a díjnyertes magyar hackerrel

2011.08.05. 16:43

Nem hackernek, hanem hétköznapi programozónak tartja magát a hackervilág Oscar-díjának számító Pwnie-t elnyerő, anonimitását őrző kiberbiztonsági szakértő, aki e-mailben válaszolt az [origo] kérdéseire. A szakemberrel egy legális hacker közreműködésével kerültünk kapcsolatba, szerinte a számítógépes rendszerekre a legnagyobb veszélyt az emberek jelentik, riválisai sem biztonságosabbak a Windowsnál, tökéletes szoftvereket pedig nem lehet írni, így évtizedekig törheti még a fejét újabb agyafúrt védelmi megoldásokon.

A kiberbiztonsági világ egyik legkomolyabb elismerését kapta meg az anonimitását őrző, az interneten csak Pipacs néven ismert programozó. A Black Hat konferencián átadott Aranypóni-díjat a Pipacs által fejlesztett PaX nevű biztonsági megoldásért, a mára az összes operációs rendszerbe beépített védelmi technológiákért, és a kiberbiztonság előremozdításáért kapta meg a magyar kóder.

- Mire való a PaX nevű fejlesztése?
- A PaX egy Linux rendszermagra épülő módosítás, egy úgynevezett kernel patch, amelynek az a célja, hogy minél nehezebbé tegye a manapság támadásokhoz előszeretettel használt, memóriakorrupciót okozó hibák kihasználását. Ez nem egy kész szoftver, amit le lehet tölteni és telepíteni, hanem egy olyan "építőkocka", amelyre alapozva biztonságosabb rendszert lehet építeni. Mivel a forráskódját szabadon hozzáférhetővé tettem, bárki ötletet vehet a PaX-ban alkalmazott megoldásokból, és azokat saját rendszerébe is beépítheti, hogy biztonságosabbá tegye azt.

- Hogyan lett hacker? Honnan ered a Pipacs név?
- Nem tartom magamat hackernek, hiszen nem török fel számítógépeket, és nem szoktam exploitokat, vagyis más programok sérülékenységeit kihasználó kódokat írni. Csak egy sima programozó vagyok. A nevem eredete pedig maradjon rejtély.

- Nem ismerjük a nevét, szinte sosem nyilatkozik senkinek. Miért tevékenykedik ennyire a háttérbe húzódva?
- Megfordítom a kérdést: ha ennyire érdekes vagyok és fontos a véleményem, akkor miért nem keres meg a média? Lehet, hogy hihetetlenül fog hangzani, de az elmúlt egy évtizedben, mióta a PaX-ot csinálom, talán ez a második vagy harmadik alkalom, hogy valamilyen újságtól megkerestek. Egyébként világéletemben kerültem a nyilvánosságot. Szeretem szétválasztani az internetes életemet a valóditól. Ez a gyakorlat sok év távlatából egyre jobb döntésnek tűnik annak tükrében, hogy az átlagemberről mennyi mindent meg lehet tudni egy kis kereséssel az interneten.

- A Pwnie-díj honlapján hosszan sorolják az ön által kidolgozott védelmi megoldásokat. Mi a legnagyobb hozzájárulása az internet védelméhez?
- Az "internet védelme" kifejezés használata azért túlzás. Én ennek egy nagyon kicsi, de nagyon fontos részterületével foglalkozom. Nem egy-egy konkrét technikai megoldást tartok fontosnak, hanem az ezek mögött lévő szemléletmódot, a problémák megközelítésének módszerét. Szeretem a megoldatlan, illetve megoldhatatlan problémákat. Az ilyenekkel való foglalkozás növeli az ember rálátását egy adott területre, és sok nem várt ötlete támad akár a megismerni kívánt problémán kívül is. Akkor vagyok boldog, ha a munkámmal inspirálni tudok másokat, hogy ne adják fel a küzdelmet ránézésre nehéz problémák láttán, hanem járják körbe alaposan a témát, kalandozzanak el más területekre is.

- Van esély arra, hogy egyszer hibátlan szoftverek készüljenek?
- A manapság használt programok olyan bonyolultak már, hogy soha nem lesznek hibátlanok. Saját fejlesztésem, a PaX ebből a felismerésből született. A helyzet azért nem reménytelen, mert ha a programhibákat nem is lehet teljesen eliminálni, sokat lehet tenni a kihasználásuk ellen. Ez manapság egy rendkívül aktív kutatási terület az informatikában.

A Microsoft  például a héten hirdetett meg egy 250 ezer dolláros (körülbelül 48 millió forintos) összdíjazású versenyt a memóriakorrupciós hibák kihasználása elleni védelmekkel kapcsolatban. Ezzel foglalkozik a saját projektem, a PaX is. Az egyik általuk felvetett problémára (hozzáértőknek: return oriented programming nevű exploit módszer elleni védelem) már évtizedek óta zajlik kutatás rengeteg érdekes és hasznos eredménnyel. Csak épp nem it-biztonsági területen dolgozók ügyködtek rajta, hanem atomerőművek üzemeltetéséhez használatos és űrkutatásban futó szoftverek megbízhatóságának növelésével kapcsolatban került elő a probléma.

Forrás: Elliot Phillips
Az aranyszínűre fújt póni, vagyis a Pwnie-díj

A két terület között az a kapcsolat, hogy a futó program szempontjából ugyanúgy néz ki, ha egy alfa részecske billentett át egy bitet vagy egy programhiba kihasználása során íródott felül. Tehát jó eséllyel az egyik területen kitalált módszerek átvihetők lesznek a másikra is. Az már más kérdés, hogy egy ilyen horderejű probléma megoldására ez a pénz bagónak számít.

- Milyen a világháló mostani helyzete? Mi fenyegeti legjobban az átlagnetezőt?
Az egyik legnagyobb veszély manapság az ember saját maga. Ez lehet, hogy paradoxonnak hangzik, de sajnos ma már a legtöbb támadás az egyének ellen irányul. Az átlagfelhasználó internetezési szokásait, vagy nagy általánosságban az emberi gyarlóságot használják ki. A legtöbb internetező rendszeresen kap családtagoktól vagy ismerőseitől mindenféle vicces levelet, és minden elővigyázatosság nélkül rákattint az abban lévő linkre vagy csatolt fájlra. Mivel az emberi gyarlóság ilyen hatékonyan kiaknázható, egy potenciális támadónak semmi mást nem kell tennie, mint beszállni egy ilyen láncba: egy kártevőkkel preparált weboldallal, vagy károkozót rejtő prezentációval komolyabb munka nélkül ejthet áldozatokat.

- Csak az internetezők tehetnek arról, ha mondjuk ellopják az adataikat?
Nem csak a felhasználót terheli felelősség, hiszen ő pont ugyanolyan racionálisan viselkedik, mint az élet más területein. Az internetet és a számítógépeket a programokban vétett és megfelelő szakértelemmel kihasználható hibák jelenléte teszi mássá. Ennek az élet más területein nem igazán van megfelelője, a legtöbb ember azért esik áldozatul ezeknek a támadásoknak, mert nem is számít rájuk. Oktatással vagy elővigyázatossággal sok bajt meg lehetne előzni. A lopásokat például azzal, ha az emberek más számítógépen vagy a mindennapokra használt operációs rendszertől különválasztott szoftveren bankolnának a neten.

- Milyen hibák a leggyakoribbak?
Programhibákból rengetegféle létezik és egy átlagfelhasználónak nem sokat mond egy-egy konkrét hiba, de az érdeklődők elmerülhetnek a http://cwe.mitre.org/ című honlapon található katalógusban.

- Tényleg sokkal biztonságosabb az egyik operációs rendszer a másiknál?
Az operációs rendszereket többféle módon is össze lehet hasonlítani. Például vizsgálhatjuk az adott rendszerben megtalált hibák számát, illetve súlyosságát, ez ugyanis jól reprezentálja a fejlesztőcég módszereit és a programkód minőségét is. Manapság már nincs sok különbség a piac nagyobb játékosainak - Google, Apple, Microsoft stb. - szoftverei között. Mindegyik társaság jelentős erőforrásokat fordít a biztonsági szempontból is jó minőségű szoftverkódok előállítására. Érdekes módon nem igazán számít, hogy egy program nyílt vagy zárt forráskódú. Például a Firefox, a Chrome/Chromium vagy az Internet Explorer böngészők új verziói között sincs lényegi különbség biztonsági szempontból.

Különösen érdekesnek tartom azt a vizsgálati szempontot, ami az operációs rendszerben maradt, potenciálisan kihasználható hibák elleni intézkedések alapján ítél. Ezen a területen óriási különbségek voltak az elmúlt évtized során a Windows, a Linux és a Mac OS X között. Azonban a nemrég megjelent új Apple-szoftver, a Mac OS X Lion premierje óta már úgy tekinthetjük, hogy mindegyik nagy gyártó azonos szinten áll a biztonság terén.

- Milyen a tapasztalata a szoftverkészítőkkel? Vannak biztonsági szempontból korrekt és inkorrekt cégek?
Az egyedi programozók viselkedése nem feltétlenül egyezik egy szervezetével. A nagy cégek megengedhetik magunknak, hogy rengeteg pénzt költsenek a szoftvereik biztonságára és aktívan próbálják segíteni a külső fejlesztőket például a fejlesztéskor használt fordítóprogramba épített ellenőrzésekkel. Természetesen az operációs rendszereket készítő cégek csak a jéghegy csúcsát jelentik. A különböző felhasználói programok fejlesztői között már nagyon komoly eltérések mutatkoznak, elég például a szinte minden felhasználót érintő Flash bővítmény újabb és újabb biztonsági réseire gondolni.  Ezeken keresztül még egy olyan nagy gondossággal elkészített böngészőt is romba lehet dönteni, amilyen például a Google Chrome - pedig a browsert a kanadai Pwn2Own versenyen sem tudták soha feltörni.

Manapság pontosan az ilyen, alsóbb szintű hibák motiválják egyébként az operációs rendszerek gyártóit abban, hogy lehetőleg minél több proaktív biztonsági megoldással vértezzék fel az alapszoftvereiket. Így ugyanis megakadályozhatják azt, hogy egy egyébként támadható hiba kritikus problémát okozhasson.

Forrás: Northfoto
Munkában egy hacker (képünk illusztráció)

- Néhány évvel ezelőtt azt nyilatkozta a Phrack hackermagazinnak (magyar fordítása a Buhera blogon olvasható), hogy egy egész életre talált magának fejlesztenivalót. Jobban áll már a tennivalólistájával?
Az eltelt két évben sok dolgot megcsináltam, de egyik sem csökkentette alapvetően a lista méretét. Még több ötletem támadt különféle problémákra, de ez normális dolog. A tennivalók lejegyzésével nem is az a cél, hogy az ember minél előbb letudja a rajta lévő dolgokat, hanem az, hogy tartósan lekösse őt.

- Abban az interjúban megemlített egy Sri Lanka-i herceget is. Ő hogyan járult hozzá a PaX fejlődéséhez?
A herceget nem kell azért szó szerint érteni. Ez csupán az akkori munkámra való utalás volt: ekkor még külföldön dolgoztam az említett úriember meghívására, ott kezdtem el foglalkozni a memóriakorrupciós támadások megakadályozásának lehetőségeivel egy startup cégnél. Ez a vállalkozás csak pár hónapig élt, én viszont hobbiszinten tovább foglalkoztam a témával, és ennek az eredménye lett végül a PaX. Ha akkor nem kerülök külföldre, valószínűleg a program sem született volna meg.

- Mire számít, milyen új módszerekkel, kártevőkkel próbálják majd ellopni az adatainkat az online bűnözők?
- Új módszerekre nem számítok, legfeljebb a célpontok fognak változni annak függvényében, hogy melyiküket lehet hatékonyabban támadni. Például internetbanki szolgáltatások esetében nem csak az ügyfeleket lehet megtámadni, ahogy manapság szokták, hanem a bankok rendszereit is, beleértve a pénzintézetek alkalmazottait is.

- Az emberi gyarlóság ellenére biztonságossá tehető például a Facebook?
- Attól függ, mit tekintünk biztonságnak a Facebookon: szerintem az oldal alapkoncepciója hatalmas kockázatot rejt, hiszen a szájt kiváló terepet biztosít a kezdeti információk begyűjtésére. A Facebookon fellelt adatok alapján például meg lehet környékezni egy banki alkalmazottat, vagy meg lehet támadni az otthoni számítógépét. Ezen kívül implementációs problémái is vannak a közösségi oldalnak, vagyis az oldal kódja is tartalmaz biztonsági réseket. Ugyanakkor a Facebook nemrég indított egy olyan programot, amelynek keretében jutalmat fizet a biztonsági réseit megtalálóknak, ami azt jelzi, hogy a cég jó irányba indult el.