Noha időről időre új támadási formák jelennek meg, továbbá változik az is, hogy éppen melyek a legmeghatározóbb, leggyakoribb fenyegetettségek, az etikus hackelés módszertana tulajdonképpen független az aktuális trendektől. Mivel csak elvétve lehet felfedezni egy-egy új hibaosztályt, illetve a hibák jellege, valamint az alkalmazott szoftverek többnyire hasonlóak, az etikus hackereknek - Buttyán Levente egyetemi docens, a BME-n működő CrySyS Lab vezetője szerint - általában a jól bevált eljárásokat kell követniük.
Ugyanakkor nem szabad megfeledkezni arról, hogy a vállalatok informatikai rendszerei egyre komplexebbekké válnak. - Az etikus hacker feladata, hogy jól kezelje ezt a komplexitást, illetve hogy az ellenőrzés a komplex rendszerek egészét át tudja fogni - mutat rá Bencsáth Boldizsár egyetemi adjunktus.
Élő rendszeren nem
Az IT-biztonságot, illetve az etikus hackelést érintő figyelemre méltó újdonság, hogy folyamatosan bővül a komplex informatikai rendszerekre épülő alkalmazási területek köre, azaz olyan területeket, ipar- és szolgáltatási ágakat is érintenek a fenyegetettségek, amelyek korábban nem is léteztek, avagy biztonságban érezhették magukat. Ide tartoznak például az autonóm járművek, a különböző ipari rendszerek, a beágyazott vagy a mobilkörnyezetek. A szakértők szerint ezen újdonságnak számító, speciális környezetekben nem biztos, hogy ugyanazok a hibakeresési, sérülékenységet feltáró módszertanok jól működnek, mint amik vállalati környezetben már beváltak.
Az egyik alapprobléma például az, hogy egy átlagos vállalatnál jellemzően élő rendszeren folyik az etikus hackelés. Ott általában nem okoz ugyanis gondot, ha a legális behatolási kísérlet sikerrel jár, és esetleg néhány percre megbénítja a számítógépes rendszert. Ipari környezetben azonban egészen más a helyzet. Ha az ott működő kiberfizikai rendszert kiberoldali támadás éri, annak olyan súlyos fizikai hatásai lehetnek, amelyek megengedhetetlenek (például leáll egy gépsor). Bizonyos esetekben még a hálózaton működő eszközök felderítése is kockázatos lehet, hiszen a felderítés folyamata olyannyira megnövelheti a hálózaton a forgalmat, hogy az már akadályozhatja az ipari eszközök kommunikációját.
- Egy erőműben vagy egy gyárban például biztos nem dolgozhat élő rendszeren az etikus hacker. Ilyenkor az egyetlen megoldás, ha lemásolják a rendszert, és azon végzik el a vizsgálatot. A tesztkörnyezet kialakításának azonban komoly anyagi vonzata és időigénye van, ezért ez az út egyelőre inkább csak a nagyobb vállalatok számára járható. A kutatók, az etikus hackerek tehát pillanatnyilag ezen új területeken csak elvétve tudnak dolgozni, következésképpen a berendezések egyre nagyobb veszélyeknek vannak kitéve - fogalmaz Buttyán Levente.
Hiányzik a módszertan
Mivel az érintett vállalatoknál eddig fel sem merült az etikus hackelés gondolata, annak metodológiája egyáltalán nincs kidolgozva. Egyelőre nincs is mire támaszkodni, hiszen nincsenek gyakorlati példák, következésképpen best practice-eket sem lehet találni. Jellemzően a kutatóhelyek feladata, hogy kidolgozzák az iparra és egyéb speciális területekre leselkedő veszélyek feltárását segítő módszertanokat.
- Az ipari berendezések IT-biztonsági problémáinak megoldása felé mi is teszünk lépéseket. Nemrég egy pályázaton komoly összeget nyertünk, ebből kiegészítjük, továbbfejlesztjük azt az ipari tesztbedet, aminek építését már korábban megkezdtük. Célunk, hogy ilyesfajta szakértői támogatást is tudjunk nyújtani, azaz a valós környezethez hasonló konfiguráción tudjunk különféle támadási szcenáriókat tesztelni. A tesztbedet természetesen oktatási célokra is fel szeretnénk használni - hangsúlyozza a CrySyS Lab vezetője.
A metodológiák kérdésével azonban csínján kell bánni - hívja fel a figyelmet Bencsáth Boldizsár. A kiberbiztonság szempontjából új területeken ugyanis még a szabványok sem egyértelműek: olyan sok van belőlük, hogy gyakorlatilag mindenki kedve szerint válogathat a gazdag kínálatból. Ebből fakadóan a metodológiák is széles skálán mozoghatnak. Adott esetben inkább az fog dönteni, hogy mit tudnak elfogadni az érintettek. (Egészen más a helyzet ebből a szempontból például a bankszektorban, ahol évek óta óriási figyelmet szentelnek a kiberbiztonságnak, így ott már vannak iparági szabványok, előírások, ajánlások és tesztkörnyezetek, amelyek alkalmazásának a gyakorlata is kialakult.)
Ismeretlen kártevők ellenszere
A komplex informatikai rendszerek új alkalmazási területein is megjelenhetnek a manapság egyre divatosabb, APT-jellegű (Advanced Persistent Threat), célzott támadási típusok, amelyek gyakran még ismeretlen eszközöket (például ismeretlen malware-eket) használnak. Erre válaszul olyan újfajta, speciális vírusellenőrző vagy hálózati dobozos eszközök jelentek meg, amelyek a hálózatba helyezve figyelik a forgalmat, illetve annak gyanús elemeit újfajta módszerekkel elemzik.
- Ezeket az újfajta biztonsági eszközöket tesztelni kell. Saját tapasztalatból tudjuk, hogy ez nem kis feladat. Ezek az eszközök ugyanis azt állítják magukról, hogy felismerik a korábban ismeretlen támadásokat, vírusokat. De honnan vegyen az ember ismeretlen kártevőket? Alapos megfontolás után arra jutottunk, hogy a teszt kedvéért magunknak kell újfajta - természetesen ártatlan - vírusmintákat előállítanunk. Kísérletünk sikerült, az eredmény azonban nem minden esetben volt megnyugtató. Voltak olyan mintáink, amelyek minden tesztelt terméken simán átmentek. Egyetlen eszköz sem tudta detektálni őket, sem akkor, amikor megfertőzték a gépet, sem utána, amikor a gép már kommunikált, és küldte az adatokat egy távoli szerverre. Az új biztonsági eszközök tehát nem ismertek fel minden ismeretlen kártevőt, illetve gyanús forgalmat - hívja fel a figyelmet Buttyán Levente.
Új tananyag és tantárgy informatikusoknak
A 2015-ös ITBN-en összevonták a korábban több kategóriában kiosztott díjakat, és egyetlen, Security Award for Exceptional Achievement névre hallgató elismerést ítéltek oda. A díjat a CrySyS Lab (BME Hálózati Rendszerek és Szolgáltatások Tanszék) vehette át. Ezzel a szakma nagyra értékelte az egyetemi labor tevékenységét, amely nem csupán egyetemi oktatóműhelyként működik, hanem aktív szereplője is a piacnak: szakértői tevékenységet folytat, megbízásoknak tesz eleget.
A BME Villamosmérnöki és Informatikai Karán 2016-tól egy új méréssel bővült az IT-biztonság mellékszakirányt választó mérnökinformatikus hallgatók (MSc) tananyaga. A hallgatóknak kiberfizikai tesztkörnyezeten kell támadást indítaniuk a szimbolizált víz- és naperőmű ellen. További témába vágó újdonság az a 2016 őszén indított választható tantárgy, amely a biztonságos szoftverfejlesztés rejtelmeibe avatja be az érdeklődő hallgatókat.
Hackerverseny: emberek kontra gép
Idén is bejutott a világ legrangosabb hackerversenyének döntőjébe a BME !SpamAndHex csapata, amelynek tagjai a CrySyS Lab Student Core önképzőkörből kerültek ki. A 2016-os Defcon érdekessége, hogy a döntős csapatoknak egy "gépi versenyzővel" is meg kellett küzdeniük: a mesterséges intelligenciát a DARPA Cyber Ground Challenge győztes programja képviselte. A verseny során bebizonyosodott, hogy - egyelőre legalábbis - az emberek jobban megbirkóztak a feladatokkal, mint a gép, ugyanis a döntő mezőnyében a számítógépes program végzett az utolsó helyen. A szakértők szerint a jövő etikus hackelésében egyre nagyobb szerephez jutnak a szoftverek, amelyek a repetitív, automatizálható, az ember számára monoton feladatokat hiba nélkül és gyorsan el tudják végezni. Emellett a mesterséges intelligencia fokozatosan beépül a hibakeresést követő folyamatokba is. E tendencia már a Defconon is megmutatkozott, hiszen a döntős program már nem csupán megkereste a hibát, hanem a biztonsági rést kihasználva át is vette a hatalmat a támadásra kiszemelt gép fölött.