Szerző: Bizó Dániel

2006. március 10. 12:54

Tanácsok Kevin Mitnicktől, az emberek feltörőjétől

[Reuters] A világ egyik, ha nem legismertebb számítógépes bűnözője Kevin Mitnick, akit az FBI-nak három év üldözés után sikerült csak lekapcsolnia még a kilencvenes éve közepén, miközben számtalan nagyvállalat, köztük a Sun Microsystems vagy a Motorola rendszereibe is betört. Mitnick 5 évnyi börtön után azóta könyvet írt, és a világot járja, és előadásokon beszél arról, hogyan lehet a hozzá hasonló alakok ellen védekezni.

HIRDETÉS

[Reuters] A világ egyik, ha nem legismertebb számítógépes bűnözője Kevin Mitnick, akit az FBI-nak három év üldözés után sikerült csak lekapcsolnia még a kilencvenes éve közepén, miközben számtalan nagyvállalat, köztük a Sun Microsystems vagy a Motorola rendszereibe is betört. Mitnick 5 évnyi börtön után azóta könyvet írt, és a világot járja, és előadásokon beszél arról, hogyan lehet a hozzá hasonló alakok ellen védekezni.

Rablóból pandúr

Mitnicket bár sokan tisztelik is tudása miatt, valójában nem a rossz célra használt hacker-képességei azok, melyek sikeresség és ismertté tették. A ma 42 éves férfi az emberek "feltörését" fejlesztette tökélyre, az ún. social engineeringet. A számítógépes rendszerek közvetlen megtámadása helyett az alkalmazottak vette célba, képzetlenségüket, gyanútlanságukat kihasználva. Telefonon, faxon, e-mailen próbált a bejutáshoz szükséges adatokat megszerezni, jelszavakat, felhasználóneveket kicsikarni.

Ehhez nem kell mást tenni, mint magabiztosnak és a vállalat egyik alkalmazottjának tűnni. Lehetnek a védelmi rendszerek kifinomultak, a "Hackerek az emberi tűzfalban találják meg a rést" -- mondta Mitnick egy információbiztonsági konferencián, Dél-Afrikában. "Mi a legnagyobb rés? A sebezhetetlenség illúziója".

Mitnick most azzal keres pénzt, amiért az FBI valaha az egyik legkeresettebb emberként üldözte, és éveket töltött hűvösön: vállalatokhoz tör be, hogy rámutasson a védelem gyenge pontjaira. Ezt persze megrendelésre, jogilag rendezett formában teszi immár, egy biztonságtechnikai cég tanácsadójaként.

A crackerből hackerré finomult férfi szerint a vállalatok alábecsülik, hogy a bűnözők milyen könnye szereznek meg személyes adatokat, vagy hogy milyen mélyen elemzik a célpont alkalmazottait ahhoz, hogy megismerjék őket, és a közelükbe kerüljenek. Ennek bizonyítására a megjelenteknek prezentálta George Bush amerikai elnök társadalombiztosítási, és vezetői engedélyének számait.

A vállalatoknak tehát fel kell hívnia az alkalmazottak figyelmét a személyes kapcsolatokon keresztül támadókra, egyszerű, átlátható biztonságpolitikát kell alkalmazniuk a legkorszerűbb technikák mellett. Tökéletes védelem nincs, de ez megemeli a lécet. "Ez nem arról szól, hogy paranoiásnak kell lenni, hanem rendkívül körültekintőnek és ébernek".

Az ember a leggyengébb lácnszem

Mitnick szavait megerősíti az IBM által közzétett "Global Business Security Index Report for 2005" című jelentése. David Mackey, a riport szerkesztője elmondta, hogy a 2003-as és 2004-es éveket jellemző és nagy publicitást kapott tömeges támadásokkal szemben tavaly már a kísérletek jellemzően célzottabbak és rejtőzködőbbek voltak. Ezek sokkal kisebb kiterjedésűek, ugyanakkor koncentráltak, és hatalmas károkat képesek egy-egy szervezetnek okozni.

Mackey elárulta, hogy 2005-ben az IBM hetente több olyan ártó szándékú e-mailt fogott el, amelyet kifejezetten egy-egy szervezetre vagy ügyfélre hoztak létre, míg ez 2004-ben egyáltalán nem volt általános. Ezek a támadások jellemzően kormányzati, katonai szervezeteket vagy nagyvállalatokat vettek célba.

A kutatás továbbá kihangsúlyozza: a védelmi eljárások és eszközök fejlődése egyre inkább az alkalmazottakat teszi vonzó célponttá, hiszen az embereket legtöbbször könnyebb "feltörni", mint szoftvereket. A hiányos ismeretek, biztonságpolitikai képzetlenség mellett a lefizethető vagy elégedetlen, haragos alkalmazottak jelentik a legnagyobb veszélyt. Ez pedig hatalmas felelősséget helyez a humánerőforrás-menedzsmentre is, amelynek a szűrésbe, az emberek kezelésébe vállalatbiztonsági szempontokat is be kellene építenie.

Június 23-án a modern fejlesztői környezetek biztonságával foglalkozó ingyenes meetup lesz. Kiderül hogyan kell a biztonságot a cég kultúra részéve tenni, hogyan lehet skálázni mindezt a deploy sebességével együtt, és lesz szó a Docker és Kubernetes biztonságáról is.

a címlapról

Hirdetés

Találkozzunk, idén is lesz SYSADMINDAY!

2021. június 20. 00:24

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Hosszú hónapok bezártsága után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal, szakmázzunk, és sörözzünk együtt.