A Trend Micro júniusban kinevezett új magyarországi területi képviselőjével, György Lászlóval a BKK-botrányról, etikus hackelésről, bug bounty programokról és a cég hazai célkitűzéseiről beszélgettünk.
Computerworld: Erősen foglalkoztatja a hazai IT-szakembereket és a közvéleményt a BKK online bérletvásárlási rendszerének katasztrofális bemutatkozása. Mi a véleménye a rendszer sebezhetőségéről, a felhasználói adatok tárolásának módjáról?
György László: Az ügyben a NAIH vizsgálatot indított, véleményem szerint egyébként a személyi adatok tárolásának módja policy, és nem információbiztonsági kérdés. Mindazonáltal a személyi adatokat tároló rendszereknél többrétegű védelmet kell kialakítani. Amíg a BKK webboltja elérhető volt, a weboldalak biztonságát ellenőrző nemzet-közi szolgáltatások, például az ssllabs.com katasztrofális minőségűnek találták.
A GDPR életbe lépéséhez közeledve e téren javulásra lehet számítani. Úgy vélem, össze fognak állni a részmegoldásokat adó IT-biztonsági szállítók és a tanácsadó cégek, hogy közös megoldásokat adjanak.
CW: Etikus hackernek nevezhető-e a BKK-ügyet kirobbantó, jó szándékú bejelentő?
GyL: A fiatalember - talán tapasztalatlanságból, talán türelmetlenségből - elkövette azt a hibát, hogy nem adott időt a BKK-nak vagy a szoftver fejlesztőjének a javításra. Ha valaki bemegy egy budapesti bankba, és látja, hogy nyitva van a széf, ezért felhívja az anyabank londoni központját, ott üzenetrögzítőre mondja, hogy a széf nyitva van az itteni bankban, akkor etikusan jár el. De ha ezután kimegy az utcára, és elkezdi ordítani, hogy itt a pénz, nyitva van a széf, az már bűncselekményszagú. A fiatalember akkor és ott, sajnos felkészületlenül, az etikus hacker szakmát képviselte, márpedig az, aki a felfedezett sérülékenységet azonnal kiteszi a webre, nem minősíthető etikus hackernek.
CW: A Trend Micro nyolcvannál több ország háromezer sebezhetőség-kutatójával dolgozik együtt biztonságunk növelése érdekében. Miből áll ez a munka?
GyL: A behatolásvédelemmel foglalkozó Tipping Point, amelyet azóta felvásárolt a Trend Micro, még 2005-ben indította útjára a sebezhetőségek feltárását díjazó programját. Akkoriban az első díj az volt, hogy aki sebezhetőséget talált, megtarthatta az erre a célra kapott laptopot. Tavaly a cég már kétmillió dollárt költött nulladik napi sérülékenységek keresésére. Az etikus hackereknek fizetett díj mértéke a feketepiaci ártól függ, ezért a széles körben használt szoftvereknél nagyobb összeget lehet elérni, de kicsi CRM-
alkalmazásokban feltárt hibákért is fizet. Ha a BKK szoftverében fellelt - és persze megfelelően dokumentált - hibát a fiatalember beküldte volna a Trend Micrónak, valószínűleg pénzdíjat kapott volna érte, hiszen azok a virtuális patchek, amelyek a tényleges hibajavítás elkészültéig blokkolni tudják a támadásokat, éppen az ilyen bejelentések alapján készülnek. A sérülékenység feltárása után a gyártó 120 napot kap a foltozásra, és ha ennek elteltével sem kezdik meg a javítást, akkor annak érdekében, hogy a felhasználók fel tudjanak készülni a védelemre, közreadjuk a hibát. Az erre tett erőfeszítéseinket jellemzi, hogy a tavaly mindösszesen feltárt 1337 nulladik napi sebezhetőség közel felét a Trend Micro publikálta.
CW: Új területi képviselőként milyen célokat tűzött ki, mely területekre összpontosítanak?
GyL: Vannak Magyarországon, akik a felhőt még csak részben használják, és vannak, akik ragaszkodnak az on-premise megoldásokhoz, de szinte mindenki virtualizált környezetben dolgozik. Minthogy a célzott támadások zöme ezeket érinti, nagyon nagy az igény a virtualizált szerverek közötti kommunikáció védelmére, a hálózati sebezhetőségek automatikus feltárását és elhárítását biztosító megoldásokra, valamint az adatközponti védelemre. Nagyon kevés gyártó tud olyan megoldást, amellyel a felhasználó maga is ráláthat a szervereit érintő védelemre akár felhőben, akár on-premise.
CW: Az újgenerációs védelmi szoftverek mesterséges intelligencia, felhőben működő tanuló algoritmusok segítségét veszik igénybe. Ezek hoznak-e fordulatot a rabló-pandúr versenyben, vagy csak magasabb szintre emelik a háborút?
GyL: A gépi tanuláson alapuló védelmi rendszerek majd' minden iparágban hatékony védelmet nyújtanak az egyre komplexebb támadások ellen. A rosszindulatú jelenségeket felderítő öntanuló rendszerek ugyanakkor csak jó kiegészítői a hagyományos rendszereknek, együtt hatékonyabbak lehetnek. Ezt a kombinációt mi XGennek, a generációk összekapcsolásának hívjuk. A többrétegű védelmirendszer-kombinációk jobb hatékonysággal szűrik ki és állítják meg a zsarolóvírusokat is.