David Jacoby a Budapesten megrendezett Hactivity 2014 konferencián tartott előadást. A Kaspersky Lab vezető kutatója nemrég azzal hívta fel magára a figyelmet, hogy szakmai indíttatástól vezérelve a hacker szerepét öltötte magára, és feltörte saját otthoni hálózatát.
Computerworld: Mint kiderült, még csak különösebb erőfeszítést sem követelt a behatolás, jóllehet a célpont egy IT-biztonsági szakember otthoni hálózata volt. Persze a támadás kivitelezéséhez is jól jöhetett a szakértelem, az egész kísérlet azonban a lakossági és a vállalati felhasználók, valamint az iparág számára is fontos üzenetet fogalmazott meg. De miért pont a nappalit választotta célpontul?
David Jacoby: Közel 15 éve dolgozom az IT-biztonság területén, és kissé belefáradtam abba, hogy a piaci szereplőktől mindig ugyanazokra a sérülékenységekre és fenyegetésekre vonatkozó jelentéseket kapjuk, a médiát és a közvéleményt olyan biztonsági események hozzák lázba pár napra, amelyekről azután mindenki megfeledkezik, és a biztonságos jelszavakról is mindig ugyanazokat a tanácsokat olvashatjuk újra meg újra. Olyan kutatást akartam felmutatni, melynek eredményéhez mindenki viszonyulni tud, és az ötletet végül két jó barátom, Charlie Miller és Chris Valasek munkája (a DARPA két kutatója a tavalyi Defcon konferencián demonstrálta, hogy miként törte fel egy Ford Escape és egy Toyota Prius beágyazott számítógépes rendszerét – lásd Hálózat négy keréken című cikkünket a Computerworld 2014/01-es lapszámában), valamint a dolgok internetét (Internet of Things) övező, mondjuk így, lelkesedés vagy izgalomkeltés adta.
A biztonsági szakembereknek rá kell világítaniuk, hogy az IoT, amely mindannyiunk életét be fogja hálózni, milyen konkrét veszélyeket hoz magával, méghozzá olyan módon, hogy ahhoz az átlagfelhasználó is viszonyulhasson. Egy internetre csatlakozó hűtőszekrény vagy termosztát feltörése szerintem erre nem alkalmas, mert a legtöbb háztartásban ma még nincsenek ilyen készülékek. Olyan célpontot kerestem ezért, amely a legtöbb fogyasztó szemében ismerősnek tűnhet, így jutottam el az otthoni hálózatra csatlakozó szórakoztatóelektronikai eszközökhöz. Odahaza két smart-tévém, két hálózati tárolóm, médiaszerverem, útválasztóm, wifi-képes blueray-lejátszóm, játékkonzolom van. Őszintén szólva engem is meglepett, hogy a számítógépeken, okostelefonokon és tableteken felül könnyen találtam további tíz olyan eszközt a házban, amely szintén az otthoni hálózatomra csatlakozik. Még a Commodore 64-esem is csatlakozik, ami mutatja, hogy azért nem minden részletében átlagos otthoni hálózatról beszélünk.
Nézzük hát, mondtam magamban, hogy mennyire ellenálló ez a hálózat a támadásokkal szemben. Ez ugyanis sokkal relevánsabb, mint azzal foglalkozni, amit egyébként gyakran kérdeznek tőlem, hogy milyen fenyegetéseknek leszünk kitéve a jövőben. A közvetlen veszélyt azok a – nemegyszer a múltból magunkkal cipelt – sérülékenységek jelentik, amelyek itt és most megbújnak eszközeinkben, alkalmazásainkban és hálózatainkban.
CW: Milyen eredményre jutott a kísérlettel?
DJ: Gyorsan rá kellett jönnöm, hogy az otthoni hálózatomat feltörheti valaki az internetről, méghozzá igen könnyen. Mindössze 20 perc alatt adminisztrátori jogú hozzáférést szereztem a médiaszerveremhez, méghozzá úgy, hogy ehhez speciális eszközökre sem volt szükségem, csupán egy laptopot és böngészőt használtam a támadáshoz. Adminisztrátorként azután utasításokat adhattam és hajtathattam végre, és minden felhasználó azonosítóját megismerhettem. Semmilyen védelmet nem adott az a körülmény, hogy mi odahaza, ahogyan az egy biztonsági szakember otthonában elvárható, erős jelszavakat használunk, amelyeket gyakran megváltoztatunk.
A smart-tévék már keményebb diónak bizonyultak, napokon át hiába kerestem sérülékenységet a szoftverükben, de azután változtattam a támadás irányán, és sikerült szoftverkódot lefuttatnom rajtuk, amely egy nagy Borat-fotót küldött a kijelzőre. Itt felhagytam a további próbálkozásokkal, mert a saját pénzemen vásárolt tévéket mégsem tehettem működésképtelenné, a kislányom nem nézhetett volna több Scooby-Doo epizódot.
Ehelyett felvettem a kapcsolatot a készülékgyártókkal, és jeleztem, hogy milyen sérülékenységeket találtam a termékeikben. Megdöbbenésemre teljes érdektelenséggel fogadták a kutatás eredményét, amelyet megköszöntek, de azzal söpörtek félre, hogy a sérülékenységeket lakossági piacra szánt, és egyébként is régi modellekben találtam. Egészen életszerűtlen szállítói gondolkodásmódról árulkodik ez, a smart-tévéimet ugyanis 6 hónappal a kutatás előtt vettem. A gyártók, mint tapasztaljuk, évente frissítik kínálatukat, de a fogyasztók nem cserélik le szórakoztatóelektronikai készülékeiket hasonló gyakorisággal. A tévék túl drágák, az emberek öt-, de lehet, hogy inkább tízévente vásárolnak belőlük újat. Súlyosbítja a problémát, hogy miután egy szállító kifutottnak minősíti valamely termékét, ahhoz támogatást, frissítéseket sem ad a továbbiakban, ami még inkább növeli a biztonsági kockázatokat.
CW: A lakosságtól aligha várható el, hogy tévék, otthoni médiaszerverek, lejátszók és konzolok keretrendszerét frissítgesse, pláne szállítói támogatás nélkül, amikor tudjuk, hogy gyakran az okostelefonok és az otthoni PC-k védelmére sem fordít kellő gondot. Hogyan lehetne akkor mégis növelni az otthoni hálózatok biztonságát?
DJ: A gyártóknak kellene sokkal többet tenniük a lakossági piacra készülő termékeik fokozottabb védelme érdekében, mert valóban nem várható el, hogy a fogyasztó külön-külön vásároljon és telepítsen biztonsági szoftvert minden, hálózatra csatlakozó szórakoztatóelektronikai és háztartási készülékére. Amit a felhasználó megtehet az erősebb védelem érdekében, az például az otthoni hálózat szegmentálása, vagy a készülékbe épített hálózati képesség kikapcsolása. A smart-tévének például nem kell feltétlenül ugyanarra a hálózatra csatlakoznia, mint a PC-nek ahhoz, hogy YouTube-videókat vagy internetes tévécsatornákat lehessen nézni rajta, és a blueray-lejátszónak sem kell feltétlenül elérnie az otthoni wifihálózatot. Mindez azonban nagyobb felhasználói jártasságot feltételez, ezért a gyártók nem rakhatnak minden felelősséget a fogyasztó vállára.
Egészen mást tapasztalunk a vállalati piacra készülő termékek esetében, a szállítók kínosan ügyelnek a szoftverek frissítésére és javítására, termékeik és ügyfeleik támogatására, amit nemcsak jogi felelősségük, hanem üzleti érdekük is diktál számukra. Ehhez hasonló gyakorlatra lenne szükség a lakossági piacon is.
CW: Annál is inkább, mert a két terület egyre szorosabban összefonódik, ahogyan azt az alkalmazottak tulajdonában levő digitális eszközök munkavégzésre történő felhasználása is mutatja. A Kaspersky Labtől és más IT-biztonsági cégektől érkező jelentések is rendre kiemelik, hogy napjainkban a támadók gyakran a magánembereket megcélozva, digitális személyiségüket ellopva jutnak be az értékes adatvagyont rejtő vállalati vagy kormányzati hálózatokba. A lakossági piacra készülő termékek biztonsága ennélfogva gazdasági és társadalmi érdek, közügy is. Amit elmondott, abból kitűnik, hogy mennyire felkészületlenek vagyunk nemcsak a dolgok internetjére, hanem arra is, hogy itt és most hatékonyabban védekezzünk az internetes fenyegetésekkel szemben. Hogyan lehetne javítani a helyzeten, mit tesz például a Kaspersky Lab ennek érdekében?
DJ: Ugyanarról a problémáról van szó, lemérhető ez azon is, hogy milyen sok vállalat tárgyalójában, recepcióján vagy teakonyhájában találhatók meg a hálózati képességekkel bíró szórakoztatóelektronikai és háztartási készülékek, minden védelem nélkül. Ezzel együtt az IT-biztonsági megoldások piacát érdemes továbbra is két szegmensre osztani, mert egy végfelhasználó nem tudna mit kezdeni például egy vállalati tűzfallal, még akkor sem, ha hajlandó lenne kifizetni az árát.
A lakossági piacra szánt termékek gyártóit azonban rá kell vezetni arra, hogy nagyobb felelősséggel kezeljék a biztonság kérdését, egyszerűen beállítható, de fejlett funkciókkal, közérthető útmutatókkal és jobb támogatással erősítsék ügyfeleik védelmét. A Kaspersky Lab tanácsadóként segíthet nekik abban, hogy biztonságosabb keretrendszereket fejlesszenek termékeikbe. Foglalkozunk azzal a kérdéssel is, hogy az internetre csatlakozó, új eszközök védelmére készíthetnénk-e újfajta biztonsági megoldást, de véleményem szerint nem ez lesz a járható út, mert már ma is az eszközök, technológiák és szabványok rendkívüli sokféleségéről beszélünk, és ez a jövőben még inkább így lesz. A problémát ezért egyrészt a gyártók, másfelől a támadások oldaláról kell megközelíteni. Abban kell segíteni a fogyasztókat, hogy megértsék, egy smart-tévé vagy egy internetre csatlakozó hűtőszekrény használatával milyen támadások veszélyének teszik ki magukat, és azokkal szemben miként védekezhetnek.
CW: Más szóval a gyártók kapacitálása mellett a lakosság biztonságtudatosságát kellene fejleszteni. A kormányzatok nem segíthetnének ebben, akár azzal, hogy az IT-biztonsági ismeretek oktatását tantervbe iktatják?
DJ: Mindannyiunkra szerep vár ebben, a gyártókra, az IT-biztonsági piac szereplőire és a kormányzatokra is. Az Európa Parlamentben már működik az IoT kérdéskörével foglalkozó munkacsoport. Iskolai tantervbe kerülni azonban alighanem hosszasabb folyamat lesz. Mindig problémás, ha a kormány piaci szereplők szakértőit próbálja bevonni tananyag készítésébe, mert a versenytársak attól tartanak, hogy ez üzleti előnyökhöz juttatja az érintett cégeket. Sokkal jobban működik, ha valamely iskola kér fel bennünket, hogy vendégelőadóként beszéljünk a tanulóknak az internetes fenyegetésekről és az ellenük való védekezésről.