Social Engeenering Reloaded

Schneck Zsolt

Igazából 2014 májusában mutatták be itthon, de valójában 2012-ben már elkészült az a rendkívül érdekes és feszült televíziós sorozat, amely azt az utópiát mutatja be, amikor a Földön megszűnik a villamosenergia-szolgáltatás, mintha csak valaki egy óriási EMP-szerkezeten megnyomta volna a piros gombot. A repülőgépek lezuhannak az égből, a kommunikáció teljesen leáll, és úgy általában kitör a világon a káosz. Az egységbe tömörült lázadók célja, hogy megdöntsék Monroe tábornok hatalmát, és visszaállítsák a rendet. Igazán nem akarok nagy riadalmat kelteni, de ha nem is ilyen drasztikusan lépéssel, azért elég jól haladunk egy komolyabb energiaválság felé.

◼︎ Revolution

Ez azon túl, hogy a mindennapi életünkben is gondokat okoz, az üzleti életben is új kihívásokat jelent. Nincs ez másképp azoknál a cégeknél sem, amelyek a munkájukhoz bármilyen IT-környezet használnak. Azaz nagyságrendileg érint mindenkit. Az nyilván senkit sem lep meg, hogy az üzemeltetett IT-infrastruktúra áramot fogyaszt. Ezidáig másodlagos tényező volt, hogy mennyit, hiszen relatíve olcsón jutottunk elektromos áramhoz, ezért a rendszerek tervezési szakaszában többnyire századrangú kérdés volt, hogy egy munkaállomás vagy szerver mennyi energiát fogyaszt. A múlt idő indokolt. Az volt. Eddig a pillanatig. Tudomásul kell vennünk, hogy az energia nem folyik már csak úgy a „csapból”, és az, hogy a tulajdonunkban lévő infrastruktúra mennyi áramot fogyaszt, már egyáltalán nem századrangú, de még csak nem is másodlagos kérdés.

Mi lehet a megoldás?

Rövid és középtávon két lehetőséget látok, amelyeket mi számos ügyfelünknél már elindítottunk:
– az eszközök konszolidációja, nagyon leegyszerűsítve a virtualizáció – akár szerver, akár alkalmazás szinten,
– felhőszolgáltatások bevezetése és üzemeltetése.

Az első megoldás nem túl bonyolult, elég egyértelmű. Ha sikerül úgy meg- vagy áttervezni a rendszerünket, hogy például három szerverből egyet csináljunk, már nyert ügyünk van. Hiszen nemcsak a közvetlen fogyasztást, hanem a hűtési költségeket is egy csapásra csökkentettük. Nem egy bonyolult matek.

De lássuk, mi a helyzet a felhővel! Miért lenne olcsóbb, ha onnan veszünk igénybe szolgáltatásokat? Alapigazság, hogy a felhő is valakinek a számítógépe. Az áram pedig nekik sem lett olcsóbb.

Nos, ez valóban így van. Nem lett az, de egyrészt a felhőszolgáltatóknak már a kezdetektől elemi érdekük, hogy az adott hardveren maximális kapacitáskihasználtsággal szolgáltassanak, másrészt pedig a „felhőipar” már nagyon régen elkötelezte magát a megújuló energiaforrások, elsősorban a napenergia felhasználása mellett – ezúton kívánok jó reggelt ez ügyben a világ többi részének. Persze financiális okokból, de azért a környezetvédelmi érték és az ebből adódó pr sem elhanyagolandó.

„Zöldbe borítjuk” a rendszerterveket

A Google 2017-ben már megfogalmazta, hogy 2030-ra az összes adatközpontját megújuló energiával fogja hajtani, azaz önellátó rendszerekben gondolkodnak. Ez csak a németországi beruházásaik tekintetében egymilliárd eurónyi beruházást jelent a tiszta energiába. Vagy említhetném a Microsoft Natick projektjét, ahol gyakorlatilag a rendszer hűtési energiáját spórolták meg a víz alá süllyesztéssel. Egyszóval ezek a cégek gazdaságosabbá tették a működésüket, és bár nem ez volt a cél, végső soron felkészültek erre a mostani válságra.

Egyszóval érdemes elővenni a rendszerterveket, és megvizsgálni a rendelkezésre álló lehetőségeket, mert ahol eddig felkértek minket szakértőként, szinte mindenhol tudunk tanácsot adni, és segíteni az optimalizációs folyamatok kialakításában. Az én tanácsom, hogy nem érdemes a végsőkig kivárni, hanem úgymond előre kell menekülni, és érdemes már most átvilágítani a rendszereket ezen szempontok alapján is.

Egy híres ember mondta egyszer: „nem félek a számítógépektől, a hiányuktól félek!” Asimovnak igaza volt. Legalábbis részben. Azzal, hogy a mindennapi életünkbe ilyen mértékben beépült az informatika, másik sebességi fokozatba kapcsolt a fejlődés. Csakhogy a fejlődés ütemével együtt ugrásszerűen megnőtt a potenciális veszélyforrások száma is. Az internetes támadások mára szinte szokványossá váltak, és az ember szinte fel sem kapja a fejét, ha valahol megjelenik egy minden eddiginél újabb zsarolóvírus variáns. Ebben a felgyorsult világban pedig lubickolnak a megtévesztést szinte művészi szintre emelő social engeenerek.

A legtöbb felhasználó azzal áltatja magát, hogy miért pont engem szemelnének ki, hiszen én kis pont vagyok a gépezetben. Kinek kellenének az én adataim? A hackereknek természetesen nem a családi fotóink kellenek. Ők minden esetben a használható információmorzsákat igyekeznek felkutatni. Bár előfordul, hogy közvetlenül a felhasználótól igyekeznek pénzt szerezni, a motivációt többnyire mégis inkább a különböző valós hozzáférések, jogosultságok vagy jelszavak megszerzése jelenti. Ahogy az előző cikkben már kiveséztük, ha az embert támadjuk egyenes az út az adatokhoz. Nem kell semmiféle védelmi rendszert megkerülni, egyszerűen „csak” a megfelelő helyen, a megfelelő időben, a megfelelő dolgokat kell mondani. Persze ez csak látszatra ilyen egyszerű, de gondoljunk bele. A biztonsági szakemberek számára éppen elég kihívást jelent, hogy illetéktelenek ne juthassanak be mondjuk a céges hálózatba, karbantartsák a vírus és határvédelmi eszközöket, rendben legyenek a belépőkártyák, kiszűrjék a shadow IT-t, és még sorolhatnánk. Egyáltalán nem biztos, hogy marad energiájuk arra, hogy esetleges kompromittálódott felhasználói fiókot kiszűrjenek. Amit önként adtunk rá egy meggyőzésre szakosodott embernek.

Természetesen mindent lehet fokozni. Amennyiben nem IT, hanem humán alapú támadásokról beszélünk általánosan elmondható, hogy a támadás középpontjában minden esetben az emberi tényező közvetlen befolyásolása áll. Itt egyébként elvonatkoztathatunk attól, hogy a kiszemelt áldozat használ bármilyen IT eszközt vagy sem. Hiszen ilyenkor bizony az egyszeri megtévesztőnek bizony oda kell ballagnia a helyszínre, és szemtől-szemben kell állnia a potenciális áldozatokkal. Ekkor nem lesz szükség mindenféle informatikai hókuszpókuszra, annál inkább a meggyőzés képességére, és kötél idegekre. De bármilyen képzett és higgadt is a „hacker” természetesen itt a legnagyobb a lebukás veszélye. Emlékezzünk csak a Sneakers – itthon Komputerkémek – címmel futott 1992-ben készült kiváló alkotásra. Vajon hány biztonsági szolgálaton menne át itthon Robert Redford lufikkal és tortával? Valószínűleg elég sok helyen. Most tudom azt gondolják, ugyan nálunk ez elképzelhetetlen. Ilyenkor azt szoktam javasolni, hogy talán érdemes lenne mégis megpróbálni. Az ilyen támadások, előzetes megfigyelést és felkészülést igényelnek, de nem kell hozzá feketeöves IT szakembernek lenni. Ha sarkítani szeretnék, bárki által kivitelezhető. Csak úgy, mint néhány klasszikus technika mondjuk a Piggybacking ahol a támadó ráveszi valamelyik kollégát, hogy engedje be a belépőkártyájával az épületbe, mert ő otthon hagyta a kártyáját, vagy esetleg ő az új kolléga és még nincs meg a megfelelő jogosultsága. Szintén hatékony módszer lehet a Tailgating, amikor egy előzetes vizsgálat után megfigyelik a beléptetés rendjét, és egy rendezvény keretei között különösebb ellenőrzés nélkül hatolnak be az épületbe. Márpedig ha már bent vagyunk az épületben azon túl, hogy bármit telepíthet a támadó a számítógépekre, közvetlenül hozzáférhet az eszközökhöz, megrongálhatja őket, belső információkhoz is könnyebben juthat, sőt szélsőséges esetben oda is ülhet valamelyik konzol elé. Rémisztően hangzik. Nem igaz? Mégis akkor mit tehetünk, hogy megelőzzük az ilyen típusú támadásokat? A kitett helyeken mindenképpen érdemes keresni egy olyan partnert, aki időnként megkeresi a biztonsági réseket a „humán interfészeken”, azaz fontos a biztonsági szolgálat éberségének tesztelése. A biztonsági személyzet képzése ezzel párhuzamosan elengedhetetlenül szükséges, ha elejét akarjuk venni az ilyen típusú támadásoknak. Tudniuk kell, hogyan kell kiszűrni a gyanús egyéneket, és mi az, ami elárulja a támadót. Kizárni teljesen semmiképp nem tudjuk, vannak mert vannak kegyetlen profik. De azt gondolom, hogy hiába gépiesedett el a világ, még mindig az emberek mennek át többségében Alan Turing klasszikus tesztjén. Hiába védjük meg a Matrix felől az informatikai rendszereinket, ha a két említett, és egy sor egyéb, humán alapú technika ellen képtelenek vagyunk. Mert a valóság sivatagában szerencsére – vagy sajnos, ezt döntse el a kedves olvasó -, még mindig többségben vannak a hús-vér emberek.