Te is lehetsz igazságügyi informatikus?

igazsagugyi-informatikaMeglepő, de könnyen lehet, hogy igen, csak éppen nem tudsz róla. Ebben a posztban elmagyarázzuk, hogy bizonyos esetekben például egy büntetőeljárás folyamán a nyomozati szakaszban a rendőrség, az ügyészség, a vádemelést követően pedig a bíróság egy-egy szakkérdés megválaszolására nem olyan igazságügyi szakértőt kér fel, aki ezt a tevékenységet hivatásszerűen gyakorolja, hanem egy olyan civilt, aki esetleg az igazságszolgáltatás működéséről annyit tud, hogy a rendőrautón van villogó, a bíró talárban jár, az amerikai filmekben pedig kalapáccsal csapkod, amikor csendet kér a tárgyalóteremben. Hogyan adhat olyan szakvéleményt egy civil, ami esetleg nagyon komoly bizonyító erővel bír?

Először is érdemes átfutni, hogy ki járhat el szakértőként, és mikor alkalmazzák  őt egyáltalán? A törvény szerint:

eseti szakértő: olyan – az eljárásban megállapítandó vagy megítélendő jelentős tény vagy egyéb körülmény megállapításához vagy megítéléséhez – megfelelő szakértelemmel rendelkező természetes vagy jogi személy, aki nem igazságügyi szakértő; valamint olyan igazságügyi szakértő, aki az igazságügyi szakértői szakterületekről, valamint az azokhoz kapcsolódó képesítési és egyéb szakmai feltételekről szóló rendeletben meg nem határozott szakterületen ad szakvéleményt,

(4) Kivételesen az igazságügyi szakértői tevékenység ellátására megfelelő szakértelemmel rendelkező eseti szakértő is igénybe vehető, ha

a) az adott szakterületen nincs bejegyzett igazságügyi szakértő,

b) az adott szakterületen – időszakos hiány vagy egyéb szakmai ok miatti hiány okán – a bejegyzett igazságügyi szakértők egyike sem tud eleget tenni a kirendelésnek, vagy

c) az adott szakterület nem szerepel a miniszter rendeletében felsorolt szakterületek között.

Nagyon durván leegyszerűsítve abban az esetben, ha például a rendőrség, ügyészség vagy a bíróság egy szükséges tény megállapításához nem rendelkezik megfelelő szaktudással, olyan személyt kell bevonni az eljárásba, akinek ez a tudása megvan.

Magyarországon igazságügyi szakértői feladatot igazságügyi szakértőként, szakértőjelöltként, eseti szakértőként vagy szakkonzultánsként lehet végezni. A hivatásos igazságügyi szakértővé válásnak meglehetősen szigorú feltételei vannak, amivel most nem foglalkozunk hosszan.

Azt viszont érdemes megjegyezni, hogy a tevékenységük egészen elképesztően szerteágazó lehet. Igazságügyi orvosszakértőről már mindenki hallott, de gondoltad volna, hogy szükségessé válhat megállapítani, hogy a szemtanúk mennyire emlékezhettek pontosan egy eseményre? Vagy éppen egy angolul beszélő gyanúsítottnak, akiről nem tudni semmit, mi lehet az anyanyelve a beszéde alapján?

A hírekből tudni lehet, hogy egy nemrég történt robbantás elkövetője többször is átöltözött a robbantás előtt és után, szándéka szerint mindent megtett, hogy ne legyen felismerhető a kamerák által rögzített képen, azzal viszont alighanem nem számolt, hogy az ember járás közbeni testmozgása annyira egyedi, hogy az antropológus szakértők számára szinte mindig alkalmas az azonosításra.

Amit már ezen a blogon is érintettük, hogy az igazságügyi informatikus nemcsak a böngésző gyorsítótárát, de akár a gép memóriájának tartalmát is le tudja dumpolni, mivel megvan rá a megoldás, hogy hogyan foglalható le egy gép olyan módon, hogy ne kelljen kikapcsolni.

 

Ennek nem kicsi a jelentősége, ha belegondolunk, hogy alkalmazhat valaki bármilyen überszuper titkosítást, a titkosítás feloldásához használt kulcsoknak nyilván be kell töltődniük a memóriába. A NetAcademia egyik kurzusán is emlegettünk már igazságügyi nyelvészeket, akik például névtelen, persze nem kézzel írott levelekről a nyelvhasználat alapján valószínűsíteni tudják a szerző több pszichológiai sajátosságát, iskolázottságát, amivel nagyban szűkíthető a lehetséges elkövetők köre.

Azt gondolnánk, hogy nem lehet elképzelni annyira elborult, speciális kérdést, amire ne lenne igazságügyi szakértő. Mégis előfordulhat, hogy annyira speciális szakkérdést kell megválaszolni, amit a névjegyzékben lévő szakértőnél jobban ismer egy civil a tevékenysége folytán. Egy kevenc példával folytassuk, ha már korábban szó kerültek a honeypotok.

Gondoljunk csak bele, elképzelhető, hogy valaki csali szervereket, ún. honeypotokat bütyköl, esetleg köt hálózatba, majd azt figyeli, hogy a rajta futó rendszert milyen módszerekkel próbálják feltörni. Ez rögzíthető, így többek közt mintát lehet venni, hogy például adott tartalomkezelő rendszert vagy sokkal komolyabb, komplett ERP-rendszert feltörni próbálók hogyan próbálják elkövetni a behatolást.

Ebből gyakran lehet következtetést levonni a támadó felkészültségével, sőt, sokszor a motivációival kapcsolatban is. Ha valaki birtokában van egy kellően nagy betörési mintázat-gyűjteménynek, az igencsak hasznos lehet olyan esetben, amikor ténylegesen feltörnek egy ERP-szervert, levelezőszervert, routert, bármit, mivel a korábban rögzített betörési patterneket összehasonlítva azzal, ami a tényleges betörésről tudható, az elkövetés módja alapján ismét szűkíthető a lehetséges elkövetők köre.

A példában a honeypot-üzemeltető azért alkalmas eseti szakértőnek, mert rendelkezik a megfelelő tapasztalattal, és olyan tudás birtokában van, aminek az igazságügyi szakértő nem. Ez pedig a honeypotokon keresztül szerzett tapasztalata.

Elképzelhető olyan eset is, amikor a nyomozók már tudják, hogy egy nem túl eszes, ámde annál veszélyesebb figura kényelemből a kommunikációját jórészt a Facebookon folytatja. Ekkor indokoltnak tűnik, hogy titkos információgyűjtést és a titkos adatszerzést alkalmazzanak, azaz például a Facebook Law Enforcement Online Request formon keresztül adatkéréssel forduljanak a Facebookhoz, amelyik elbírálja a kérés indokoltságát, aztán akár megtagadja azt az adott ország hatósága előtt, akár teljesíti, az érintett felhasználót mindig értesítik (igaz, utólag), de eléggé világos, hogy sérti a nyomozás érdekeit, ha valaki tud róla, hogy rajta vannak.

Lehet benne valami, hogy a Facebook illetékes alkalmazottjainak az adatkérések teljesítésekor nem kell többet gondolkodniuk, mint a moderátoroknak moderáláskor, mivel az adatkérések tényleges indokoltságát nem tudják szakszerűen megállapítani.

Ami a statisztikát illeti, ezt ugyanúgy nem lehet megállapítani, mint azt, hogy ez az eljárás egyáltalán az összes adatkérésre vonatkozik-e vagy csak a mezei büntetőeljárásokra alkalmazzák, de nem tartalmazza a polgári- vagy katonai nemzetbiztonsági szervek adatkéréseit. A Magyarországgal kapcsolatos adatkérések a 2017-es évre vonatkozóan itt érhetők el.

Alapvetően az adatigénylés vagy eredményre vezet vagy nem, ráadásul a folyamat igencsak időigényes is lehet. Ugyanakkor a hatóság alkalmazhatja a blogon már emlegetett nyílt forrású információszerzés kevésbé ismert módszereit, vagy rábízhatja olyan civilre, aki ilyen területen magas szintű jártasságot szerzett. Természetesen nem arról van szó, hogy ekkor az eseti szakértőként eljáró civil átvenné a nyomozást, de olyan információkat szolgáltat, amik nagyban megkönnyíthetik a nyomozók dolgát számos olyan információ előbányászásával, amit ők maguk nem, vagy csak ésszerűtlenül sok ráfordítás mellett tudtak volna elvégezni.

Lényegében csak meglehetősen elborult esetek zárják ki azt, hogy valakit a megfelelő szaktudása ellenére mégse alkalmazhassanak eseti szakértőként, ha szükség lenne rá. Ilyen például, ha éppen olyan büntetőeljárás folyik ellene, aminél már megtörtént a vádemelés is, esetleg priuszos, vagy nem várható el tőle, hogy a feladatot kellően diszkréten végezze el.

A sok-sok évet tanult igazságügyi szakértő nem hülyébb vagy okosabb az eseti szakértőnél, hanem egyszerűen a tudásuk másra terjed ki. Ugyan aki járt már el eseti szakértőként, jó, ha gyorsan képbe kerül a büntető eljárásjog, büntetőjog, kriminalisztika alapjaival, ezen kívül tudja, hogy mik azok az formai hibák, amiket nem szabad elkövetni.

Hogy csak a legegyszerűbbet említsük, a terheltnek a vádemelést követően iratbetekintési joga lesz, azaz minden dokumentumot megismerhet, ami a nyomozati szakaszban keletkezett, aminek persze része a nevén nevezett eseti szakértő szakvéleménye is. Az eseti szakértő pedig vagy kérheti az adatai zárt kezelését vagy sem, viszont indokolt lehet, hogy a vádlott ne ismerje meg a személyazonosságát, ha éppen az eseti szakértő véleménye kulcsfontosságú volt a bizonyítás során. Az alapján is dönt majd úgy a bíró, hogy a vádlottat sittre vágja mondjuk 15 évre, aminek az elítélt annyira nem fog örülni.

Hasonlóan, az eseti szakértő akkor tud hatékonyan működni, ha az igazságügyi szakértővel értik egymás nyelvét, tisztában van a bizonyítástan alapjaival és így tovább.

etikus-hekkelesA végére hagytunk egy nagyon fontos részletet. Ha egyszer eseti szakértőként jársz el, még akkor se tedd ki a kirakatba, ha egyébként nagyon-nagyon jól mutatna a CV-ben, na meg a LinkedInen. Már nem a 90-es években vagyunk, amikor a szervezett bűnözésnek még volt lehetősége a fegyveres rendvédelmi szerveknél dolgozókra is nyomást gyakorolni, zsarolni őket, ilyentől egy állományban lévő zsarunak, igazságügyi szakértőnek nem kell tartania különösebben.

Inkább csak filmekben fordul elő, hogy a hűvösről kijön az elítélt, aztán  kellemetlenkedni próbál például egy nyomozóval, már csak azért sem, mert a bűncselekményeket a törvény tipikusan súlyosabban bünteti, ha azt hivatalos személy ellen követik el.

Az eseti szakértő nem hivatalos személy, de alapvetően nem kell tartania attól, hogy lófejet talál a párnáján egyik reggel. Ha pedig megpróbálnak borsot törni a korábbi eseti szakértő orra alá, szinte megállapíthatatlan, hogy a cél és motiváció egyáltalán összefügg-e azzal, hogy eseti szakértőként járt el valakinek az ügyében és olyan bizonyítóerővel rendelkező információt tett az ügyész vagy a bíró elé, amitől leszakadt az asztal – vagy teljesen másról van szó.

Nem zárható ki azonban, hogy polgári perben az alperes, büntetőügyben a gyanúsított vagy vádlott egyszerűen a megfélemlítés, bosszú okán olyan helyzetbe hozza az eseti szakértőt, hogy az végül is megsértse a törvényt. Például azzal, hogy ízesen elküld valakit melegebb égtájra többek előtt, esetleg lecsavar a kellemetlenkedőnek egyet, ha pedig feljelentik, könnyen eleshet emiatt egy ideig attól, hogy szakértői tevékenységet végezhessen.

Ugyanakkor tanulni érdemes, tudni kell, alkotni jó, eredetit alkotni még jobb, közben pedig a legkülönbözőbb területeken tehet olyan szaktudásra szert valaki, amit kamatoztathat az igazságszolgáltatásban. Nagyon jó alapot jelenthet erre, ha valaki elkezd foglalkozni például az etikus hekkeléssel, aztán ha Justitia és Sevillai Szent Izidor is úgy akarja, akár rendszeresen felkért eseti szakértő is lehet, amivel ugyan nem keres vagyonokat, az igazságszolgáltatás világában olyan dolgokat tanulhat meg, olyan szemléletmódra tehet szert, amilyenre máshol nem lenne lehetősége.

Ha pedig valakit beszippantott az igazságszolgáltatás világa, sosem késő arra a pályára állni, még ha sok-sok olyan dolgot is kell megtanulni a szakértőjelöltnek a szakértővé váláshoz, ami az elején fölöslegesnek tűnik.

képek: Wikipedia, ec.europe.eu

 

Miért kerül nagyon sokba a világnak az olcsó router?

iot_hackelesFélmillió routert pattintott meg egy szervezett bűnözői csoport, más források szerint kormányzati eredetű támadásról van szó. Az érintett eszközök mindegyike olcsó, otthoni vagy kisvállalati felhasználásra szánt router volt, ezek fölött vették át gyakorlatilag teljes egészében az irányítást a támadók, ahogy azt tegnap közölte az Arstechnica.

Ami a hírt illeti, már meg sem lepődünk rajta. Ezúttal nem elsősorban a támadás technikai részleteivel fogunk foglalkozni, hanem teljesen más, társadalmi és jogi aspektusból szemléljük a jelenséget.

Tételezzük fel, hogy a támadók átveszik az irányítást egy pénzintézeti rendszerben használt router fölött, emiatt jelentős, komoly kár keletkezik. Esetleg olyan módon törik fel egy kórház routerét, ami a társadalombiztosító rendszerével kommunikál, hogy azon keresztül konkrétan betegadatok csoroghatnak ki és kerülhetnek a feketepiacra. Ha éppen egy közlekedésirányítási rendszer routereit éri a támadás, az nagyon súlyos fennakadásokat, de akár tömegszerencsétlenséget is okozhat.

Természetesen a példák lebutítottak, mivel ezeken a területeken többrétegű védelmet, különösen szegmentálást alkalmaznak. Ez annyit jelent, hogy a közel valósidejű repülésirányító rendszerek eszközeibe épített mikrokontrollerek vagy egy atomerőmű egy reaktorának deutériumhőmérsékletét mérő eszközei kritikus információkat továbbítanak ugyan egymás közt, de nincsenek közvetlen kapcsolatban a szintén agyonbiztosított hálózatokkal, ahol már nagyobb hibalehetőség, na meg emberi beavatkozás is elfogadható.

A belső és a külső, ember számára információkat biztosító, de szintén kritikus fontosságú hálózat csak egy rendkívül szűk keresztmetszeten keresztül, rendkívül szigorú szabályok alapján folytat bármilyen kommunikációt. A kevésbé érzékeny, külsőbb hálózatoknak pedig már lehet kapcsolata a net felé bérelt vonalon vagy virtuális magánhálózaton keresztül.

Azaz igencsak nehéz dolga lenne annak, aki otthonról próbálná meghekkelni egy atomerőmű reaktorát hűtő deutérium hőmérsékletét mérő hőmérőt.

Online Security Technology

Hogy érthetőbb legyen: a mai napig slágertéma, hogy “feltörték a NASA rendszerét”, ami ugye meg is történt néhányszor, csak éppenséggel az már az hírfogyasztók 1%-ához jut el, hogy valójában a támadók mindössze a NASA közvetlenül netre kilógatott webszerverét törték fel, ami kínosnak kínos ugyan, viszont nyilván semmilyen következménye nincs azon kívül, hogy bosszúságot okoz a webszerverek üzemeltetőinek. Ami a lényeg, hogy a támadók nem kritikus infrastruktúrához fértek hozzá. Persze ez sem lehetetlen, még 2008-ban az orosz-grúz konfliktus során az oroszok lekapcsolták Grúzia elektromos hálózatának egy részét. Ahogy a világ egyik legfejlettebb malware-je nem kis riadalmat keltett 2010-2011. körül, amit fordulópontnak nevezhetünk a hadviselés és az információbiztonság történetében:

Visszatérve az előző gondolatra, tételezzünk fel még egy olyan esetet, amikor egy, a biztonságosságáról jól ismert kocsi fedélzeti számítógépét fertőzik meg, ami elvben lehetővé teszi, hogy a kocsit mondjuk az árokba hajtsák. Ja, nem csak elvben, gyakorlatilag is, ahogy történt ez 2015-ben.

Mi a közös a felsorolt esetekben, azaz a pénzintézetnél, a forgalomirányításnál vagy éppen a kocsi fedélzeti számítógépénél? Az, hogy minél kritikusabb infrastruktúráról van szó, annál szigorúbb iparági szabányoknak kell megfelelni, amit több esetben a törvény is jogszabály vagy rendelet szintjén előír. Azaz egy bank esetében egy sikeres támadást követően a banknak a törvény előtt kell bizonyítania, hogy minden tőle telhetőt megtett a biztonságos működés érdekében, ha ezt nem tudja bizonyítani, annak nagyon komoly jogkövetkezményei lehetnek.

Na és mi a helyzet akkor, ha egy otthoni felhasználó routerét törik fel, majd azon keresztül követnek el valamilyen bűncselekményt? Ki a felelős? A felhasználó? A gyártó, amelyik kiengedett a piacra egy rendkívül silány minőségű routert? Ez már egy sokkal nehezebben átlátható kérdés.

Tételezzük fel, hogy egy felhasználó kényelemből egyszerűen nem teszi jelszófüggővé a wifi-hozzáférést, ezt követően pedig valaki erre a wifire csatlakozva névtelenül, zsaroló vagy közveszély okozásával fenyegető emaileket küldözget olyan helyre, ahova aztán tényleg nem kellene, mondjuk valamilyen rendvédelmi szervnek. Az egyszerűség kedvéért tételezzük fel, hogy olyan levelezőrendszert használ, ami a levelek fejlécéből nem takarja ki a feladó IP-címét. Ekkor alighanem az történik, hogy az illetékes hatóság esetleg seperc alatt lekérdezi az internetszolgáltatótól, hogy a levelek küldésének idejében az adott IP-címet melyik ügyfelük birtokolta, azaz nagyon gyorsan azonosíthatóvá válik, hogy kinek az internetkapcsolatát használták.

Nem, azért nem fogja fél napon belül a mit sem sejtő ügyfélre rárúgni az ajtót a TEK, nem véletlenül. A közhiedelemben az azonosításban Szent Grálnak tartott IP-cím önmagában messze nem bizonyító erejű, az igencsak barokkos büntetőeljárás jogi szabályok szerint azt is bizonyítani kellene, hogy az ügyfél valamelyik eszközéről küldték a fenyegető levelet, amihez nyilván mindent le kell foglalni, ami csak a lakásban van. Viszont még ha meg is találják a browser cache-ben vagy a kliensprogramban a levelet, az ügyfél védekezhet például azzal, hogy nem zárta le a gépét, így valaki odaült és úgy küldött levelet a nevében. Az más kérdés, hogy ezt már a nyomozati szakaszban és a bíróságon sem könnyű elhitetni. Nagyon röviden: ahhoz, hogy az ügyféllel kapcsolatban alapos gyanút állapítsanak meg, ilyen esetben azért sokkal több kell, mint egy IP-cím-időpont páros.

Azzal kapcsolatos szabályozás is van persze, hogy a felhasználó is – hasonlóan például egy atomerőmű CISO-jához – minden tőle elvárhatót meg kell, hogy tegyen ahhoz, hogy az informatikai eszközeit ne lehessen felhasználni visszaélésre. Ez a gyakorlatban annyit jelent, hogy az otthoni routereket eleve úgy szállítják le, hogy abban WPA2 jelszót, “wifi kódot” kelljen beállítani.

Ha ez megvan, az átlagos tájékozottságú felhasználó a tőle elvárható módon megvédte a netkapcsolatát, nem vonható felelősségre. Alighanem még akkor sem, ha a wifi-jelszavát elmonda másnak, aki aztán elmondta olyannak, akinek nem kellett volna, így a harmadik fél a wifi-hálózatra való csatlakozás után küldte a fenyegető leveleket. Miért? Mert az átlag felhasználótól nem várható el, hogy ilyen típusú kockázattal tisztában legyen.

Vagy éppen egy másik példa: az otthoni routerek firmware-jét, azaz mini operációs rendszerét is frissíteni kellene bizonyos rendszerességgel, a többség azt sem tudja, hogy mi az a firmware, ezért nem frissít, és jelszóval védett ugyan a wifije, de könnyen törhető egy sebezhetőségen keresztül, így elkövetési eszközévé válhat egy bűncselekménynek.

Most pedig ugorjunk egy szép nagyot technikai irányba. Tételezzük fel, hogy valaki ír egy egyszerű programot, ami semmi mást nem tud, csupán annyit, hogy bekér a felhasználótól két pozitív egész számot, azokat összeadja és kiírja a végeredményt. Egy ennyire egyszerű program nyilván nem hordozhat magában semmiféle biztonsági kockázatot, nem? A rossz hír, hogy elméletileg igen. Ugyanis semmi nem zárja ki azt, hogy a program egész számok helyett olyan bitsorozatot kapjon, ami valamilyen rosszindulatú kódfuttatást fog végezni, azaz az összeg kiírása helyett mondjuk kifagyasztja a gépet. Miért is? Azért, mert a program erre nem volt felkészítve, nevezzük jobb magyar megfelelő híján improper input validationnek.

Ez a biztonságcentrikus szoftverfejlesztés aka secure codingnek egy apró része.

Az már más kérdés, hogy ennyire primitív támadás a gyakorlatban esetleg a Windows 95-ön működne vagy azon sem, azaz az oprendszerek már rég megfékezik a legócskább trükköket.

A router, aminek egy saját, apró operációs rendszere van, ugyancsak számokkal dolgozik, működés közben, konkrétan a WPA2 jelszavas védelmét szolgáltató program van benne megvalósítva.

A WPA2 jelen tudásunk szerint elméletileg ésszerű időn belül nem törhető. Viszont tételezzük fel, hogy az a szoftver, ami a jelszavas védelmet, titkosítást WPA2-n keresztül oldja meg, természetesen mi mással dolgozna, ha nem adatokkal, úgy lett megírva, mint az előző példában felvázolt apró program, ami csupán két egész számot ad össze, azaz nem ellenőrzi, hogy megfelelő adattípussal dolgozik-e. Azaz miközben a WPA2 algoritmusa, ami biztonságosra lett megtervezve, de rosszul kerül leprogramozásra, dolgozhat az adatokkal olyan módon, hogy a folyamat bármelyik pontján kaphat nem várt bemenetet, ahogyan a számológépes példában is.

A végeredmény ugyanaz: a szoftver teljesen más működést fog produkálni, még ha egy apró szolgáltatásként is fut a routerben az egész. Kezelhetetlen bemenet esetén az egy szinttel alatta lévő apró operációs rendszer működését is teljesen megváltoztathatja.

A routeres példában ugyan egy teljesen hipotetikus esetet szemléltettünk, ugyanis alighanem a világon nincs olyan router, ami semmilyen módon nem lenne védve a legegyszerűbb támadásokkal szemben sem.

Az olcsó routerek közt viszont tömeges jelenség, hogy a legprimitívebb támadások ellen védettek ugyan, viszont annyira irdatlan sok sebezhetőséget tartalmaz a firmware-jük, hogy azt simán fel tudja törni egy hobbiszinten programozni tudó hülyegyerek akkor is, ha alig tud valamit a wifikről, mivel a net rogyásig tele van konkrét leírásokkal. Sőt! Kimondottan wifi-törésre kihegyezett eszközökkel! Ezek a routereket természetesen nem csak a belső, otthoni hálózatról (wifin keresztül) lehet hekkelni, hanem az internet felől is. Erről számolt be az Arstechnica-cikk. Ez viszont már leírhatatlan kockázat.

Ugyanis több esetben nagyon komoly elosztott túlterheléses támadásokat úgy kiviteleztek, hogy tömegesen lefertőztek egy rakás olcsó routert, azokat botnet hálózatba kötötték, majd egy ún. Command and Control szerveren keresztül utasítottak például sok tízezer routert, hogy ugyanabban az időpontban küldjön égtelen mennyiségű adatcsomagot egy bizonyos szerver bizonyos portjaira, amitől a szerver meg is feküdt egy időre. Azaz olyan esetben, amikor valamilyen, ultravédett, nagyon komoly szervezetet megfektet ideig-óráig például az Anonymous, ne valamilyen bonyolult hadműveletre gondoljunk, hanem éppen ellenkezőleg, ilyen full egyszerű támadási formára. És ez persze a sok közül csak egy, igaz, leggyakoribb felhasználási területe a feltört routereknek a kiberbűnözés területén.

botnet_halozat

Ugorjunk ismét kicsit vissza: a felhasználó jelszóval védte a wifi-hozzáférést, a routerekben alapértelmezés szerint le van tiltva, hogy a net felől is be lehessen jelentkezni a beállítások közé és így tovább.

Abban az esetben, ha a hálózati eszköz kellően védett volt, végülis a felhasználó mindent megtett, ami az ő tudásszintjén elvárható, azaz aligha hibáztatható olyan esetben, ha mégis megpattintották az otthoni routerét wifin keresztül vagy a netkapcsolatán át, és látszólag a nevében követtek el valamit. Akkor mégis ki hibáztatható? Erre a laikus minden bizonnyal rávágja, hogy azok a szemét hekkerek, ki más, teljesen függetlenül attól, hogy a router védett volt, vagy egyáltalán nem. Jobban belegondolva viszont a láncolat végén mégis a csapnivaló minőségű terméket piacra dobó gyártó áll a szervezett bűnözés mellett.

Az, hogy egy szoftverrendszert biztonságosra fejlesszenek le, teszteléssel együtt nagyban megnöveli a gyártási költséget, a tranzisztor feltalálása óta a gyártók mindig a biztonságon spóroltak leginkább, nincs ez máshogy ma sem. Azzal kapcsolatban pedig csak nevetséges szabályozás van, hogy egy néhány ezer forintos routernek részeiben és egészében milyen feltételeknek kell megfelelnie. Olyan megfelelőségeknek kell eleget tenniük, mint az FCC bizonyos előírásai vagy a Conformité Européenne előírásai, amiknek a jelével mindenki találkozott már ezerszer (hacsak nem egy őserdőben él), de alighanem sosem érdekelt senkit, hogy mit jelent.

Ezek az előírások nem sokkal többet írnak elő, minthogy az eszköz nem fog olyan mértékig forrósodni, hogy ráolvadjon az asztalra, nem bocsát ki olyan sugárzást, ami interferálna mondjuk a egy mobilhálózat tornyának jeleivel és hasonló megmosolyogtató dolgok, ennél nem sokkal komolyabbak.

Gyakran kerül szóba, hogy amikor mesterségesen akarnak beleszólni a piac működésébe, ami valóban veszélyes műfaj minden területen, az úgysem fog eredményre vezetni. Nem tudni, hogy mennyi váráslót csapott meg az áram, mire bevezették az első, elektronikus eszközökkel kapcsolatos szabványokat sok-sok évtizeddel ezelőtt, azt sem, hogy mekkora közvetett károk keletkeztek, mielőtt az FCC-t vagy a CE-t kötelezővé tették volna még a gombelemre is, viszont világos, hogy az adott korban az ésszerű szabványok bevezetése és betartatása nem csak célszerű, hanem konkrétan kötelező!

A helyzet finoman fogalmazva is félelmetes az otthoni hálózati eszközök szabályozásával kapcsolatban.

1. Itt az IoT éra – az okoseszközök valamilyen módon a netre lesznek kötve, így elméletben előfordulhat, hogy a meghibásodásuk, ha súlyos sérülést vagy halált nem is okoz, nagyon komoly kárt igen. Például valakinek IoT az egész lakása, aztán elmegy síelni három hétre, valaki pedig vicceskedésből felveszi a fűtést 30 fokra egy szoftverhiba kihasználásával, a hőmérsékletszabályozó támadásán keresztül. Ezek olyan típusú károk, amik a végfelhasználót érintik.

2. A másik, hogy egyre több és több csapnivaló minőségű, a szervezett bűnözésben eszközként használható router, NAS, okoshűtő és ki tudja még mi kerül a piacra, amik hekkelésével aztán olyan célzott DDoS-támadásokat tudnak kivitelezni, ami egy-egy pénzintézetnek, kormányzati szervnek vagy klinikának akkora pénzben kifejezhető kárt, vagy éppen súlyos működésbeli fennakadást okoz, hogy végre leesik mindenkinek, hogy a helyzet tényleg súlyos. A NATO nem véletlenül mondta ki néhány évvel ezelőtt, hogy az infokommunikációs infrastruktúrára irányuló támadásokra úgy tekintenek, mint szárazföldi-, vízi- vagy légi hadműveletekre.

wifi-feltoresHa civilizációs léptékű dolgokról van szó, többen vannak azon a véleményen, hogy az emberiség bizonyos értelemben semmit sem tanult a történelem folyamán a hibáiból. Az első elektronikus eszközök piacra dobása után alighanem jópár vásárlót megcsapott az áram, jónéhány ház kigyulladt, mire a szabványügy elkezdett vele foglalkozni, a hatóságok és jogalkotók pedig kötelező érvényűvé tették bizonyos szabványoknak való megfelelést.

Ahogy megjelentek az atomerőművek, a légi irányítás, na meg a pénzintézetek, gyakorlatilag azonnal megjelentek az ágazatspecifikus szabályozások, amikkel érthetően a jogalkotók sem szöszmötöltek túl sokat.

A mostani magánfelhasználók otthoni eszközein keresztül véghezvitt bűnözés már okozott nagyon komoly károkat, de még nem érte el azt a szintet a döntéshozóknál, hogy nagyon sürgősen bizonyos szoftverek implementációjával kapcsolatos szabványokat kötelezőként előírjanak.

Azaz, hasonlóan ahhoz, hogy nem kerülhet forgalomba olyan tévé, amitől rendeltetésszerű használat mellett levakul a vásárló, vagy éppen nem kerülhet forgalomba olyan étrendkiegészítő, amitől normális fogyasztás mellett gallyra megy a mája, a routerek gyártóinak is a secure codingnek olyan szinten kellene megfelelniük, azaz törésbiztosnak lenniük, hogy azt ne lehessen annyira könnyen bekötni egy botnethálózatba, amivel aztán lebénítható a fél ország.

Ezt valahogy sokan még mindig túlzó riogatásnak tartják, holott világos, hogy évről évre egyre nagyobb kárt okoz egy-egy infokommunikációs rendszer kiesése, mivel egyre jobban támaszkodik rá minden.

A szabványok nemcsak hogy már léteznek, hanem a komolyabb és persze sokkal drágább hálózati eszközökben meg is vannak valósítva. Ezeket a drágább eszközöket aztán bizonyos szervezetek alkalmazzák best practice alapján, de a törvény nem írja elő számukra (bizonyos ágazatokban nyilván igen). Ennek a mintának az alapján az otthoni felhasználásra szánt routereket látszólag könnyűszerrel biztonságosabbra lehetne varázsolni.

Az FCC-nek és az EC-nek való megfelelést például simán kötelezővé tudták tenni gyakorlatilag nemzetközi szinten, pedig a gyártók sejthetően nem örültek neki, mivel minél több szabványnak megfelelően kell valamit az elejétől a végéig legyártani, annál drágább. Gondoltatok már arra, hogy gyakorlatilag mindennek, amit a konnektorba csatlakoztatunk, olyan kábellel kell rendelkeznie, ami legalább duplán szigetelt? Igaz, hogy így nyilván drágább legyártani, ez a biztonság ára.

Teljesen természetes, hogy például a kórházak intenzív osztályain használt lélegeztetőgépeknek annyira biztonságosnak kell lenniük, amennyire csak lehet, igen, akkor is, ha emiatt drágábbak. Itt megjegyezzük, hogy az USA-ban, Japánban és több európai országban folyamatosan váltják fel a hagyományos orvosdiagnosztikai eszközöket azok, amik végülis IoT eszközök, azaz kapcsolódnak a helyi hálózatra, közvetetten akár a netre, hiszen valahogy el is kell érni az általuk rögzített mérési adatokat az orvosoknak.

Azoknak a szabványoknak a nemzetközi vagy legalábbis regionális szinten kötelezővé tétele, amik előírnák, hogy minimálisan mennyire kell biztonságosra elkészíteni szoftveres szempontból egy hálózati eszközt, okoshűtőt, okoslégkondit végülis a szakhatóságok és a törvényhozók feladata lenne.

Az ok, ami miatt láthatóan nem kapkodják el a dolgot egyrészt ahogy írtuk, ha úgy tetszik, nem okozott még elég nagy kárt, a másik ok nyilván gazdasági természetű, ami megér egy bővebb kifejtést.

A Kínában gyártott föccsöntött routerekre a szoftvert nyilván nem Kínában írják, hanem ahol a gyártók beágyazott szoftverek fejlesztéséért felelős divízióik, kutatóközpontjaik vannak, az pedig tipikusan nem a Távol-keleti régió, na meg nem is Afrika, hanem a fejlett régiók országai. Nem meglepő, hogy plusz, biztonságos működést fokozó szabványoknak való kötelező megfeleltetés szükségszerűen a gyártási költség növekedését okozná. A fejlett országokban dolgozó programozókat tovább kellene képezni, a tesztelés mostani formája is változna, a piaci igényeket időben ki kellene szolgálni, holott informatikus így sincs elég.

Hogy mennyire kiszámítható módon okozna drágulást, és milyen hatással lenne a gazdaságra? Totálisan kiszámíthatatlan. Ugyanis míg a már hálózatra kötött Röntgen-gép, a pozitron-emissziós tomográf, a fMRI-masina, az orvosi ultrahang vagy az intenzív osztályon használt EKG nem tömegtermék, az otthoni hálózati eszközök és okoseszközök kőkeményen tömegtermékek meredeken növekvő piaccal, így teljesen más gazdasági szabályszerűségek érvényesek rájuk.

Tehát a bizonytalanság, amit nem lehetne kiszámítani, egyrészt, hogy a szabványok kötelezővé tételével a termék mennyivel kerülne többe, másrészt ennek milyen és mekkora lenne a piacra kifejtett hatása, harmadrészt, hogy a drágulás hogyan változtatná meg azt, hogy összességében a mindent mozgató információt mennyire gyorsan éri el a végfelhasználók tömege.

Az utolsó némi egyértelműsítést igényel. Tételezzük fel, hogy csak az otthoni, persze wifis routerek ára hirtelen az ötszörösére emelkedik. So what? Legalább tartósabb, lehetne mondani. De gondoljuk át még egyszer. Nem csak arról van szó, hogy a végfelhasználó ötször annyiért tudja megvenni a routert otthonra, hanem a különböző akadémiai kutatóintézetekben, ahol jó sokra van szükség, a mostanitól több forrást kellene elkülöníteni. A legkülönbözőbb helyeken döntenének úgy, hogy inkább nem fedik le wifivel azt, amit nem feltétlenül kell.

A netszolgáltatók által biztosított kábelmodemek, amik wifi routerek is egyben, megdrágulnának, nekik is komolyan feladná a leckét, hogy miből gazdálkodják ki a különbséget. És a végére hagytuk a legrosszabbat: éppen a legszegényebb társadalmi rétegek szembesülnének vele, hogy volt net, nincs net. Szegényebb régiókban az internet penetrációja sok-sok évvel ezelőtti szintre esne vissza akár.

Ugye-ugye, “csak” egyetlen tömegtermék darabára változott, amitől az összes wifivel működő eszköz működése függ, éppen ezért tömegekre lenne hatással.

Iszonyú komplex kérdés, hogy melyik a komolyabb kockázat: ha továbbra sem kötelezőek a secure codinget előíró szabványok, így viszont maradva az elosztott túlterheléses támadás példájánál, botnetbe kötve komoly kártokat tud rendszeresen okozni a szervezett bűnözés.

Vagy az a komolyabb kockázat, ha szabványok kötelezővé válásával a tömegtermékek ára emelkedik, ami olyan mechanizmusokat indukál, aminek eredménye végülis az, hogy az információs társadalomban az információk elérése sokkal drágább lesz. Mondjuk jövedelemarányosan annyira drága, mint amennyibe a 90-es években került egy ADSL-előfizetés.

A kiberbűnözés elleni fellépésnek hatékony eszköze lenne, ha nem használhatnák támadási eszközként maholnap már az okoskávéfőzőt, mint neten lógó eszközt is, mivel az megfelel az új, kötelező működésbeli biztonságosságot előíró szabványoknak.

Amíg kötelezően előírt szabályozás nincs, minél felkészültebb, az aktuális büdzséből minél biztonságosabb hálózatok kialakítására képes szakértőkre van szükség. Kapcsolódó tanfolyamok pedig rendszeresen indulnak a Netacademiánál is.

képek: Wikipedia, CSOOnline