bardóczi ákos @post.r

Szándékosan nem azt az elcsépelt kérdést adtam címként a posztnak, hogy "Hogyan legyél hekker?" vagy hasonló, több szempontból is, például azért, mert nem kevésbé jól sikerült írás született korábban a témában. Mivel én is rendszeresen megkapom ezt a kérdés, pontosabban azt, hogy hogyan érdemes elkezdeni foglalkozni informatikai biztonsággal, ezért itt vázlatosan összefoglalom az álláspontom.

Az első és legfontosabb, hogy ha van kifejezés, ami eléggé utálok, az maga a "hekker". Emlékszem, még sok-sok évvel ezelőtt a Hacktivity-n volt egy sehova sem vezető kerekasztal-beszélgetés azzal kapcsolatban, hogy valójában ki hekker, ki nem hekker, a kívülállók számára hogyan lehetne megváltoztatni a hekkerekről kialakított negatív képet, ami szerint a hekker a tudásával visszaélő, törvényeket megszegő szararc.

Véleményem szerint teljesen értelmetlen azon dolgozni, hogy a hekker kifejezést a magyar nyelvben megpróbáljuk újraértelmezni ugyanis – itt jön a lényeg – etimológiai szempontból az amerikai angol hacker kifejezésből származik ugyan, de szerinte semmi köze ahhoz, a magyar nyelvben mióta létezik, mindig is pejoratív volt. Jól jegyezzük meg: a magyar nyelvben soha az életben nem volt semmiféle pozitív jelentéstartalma a hekker kifejezésnek, egyszerűen kulturális okokból, például amiatt, ahogyan a számítógépes bűnözéssel kapcsolatos híreket interpretálta a sajtó még a 90-es években. Ez nem jó vagy rossz, egyszerűen ez van, kész. Ezzel szembemenni körülbelül olyan értelmetlen, mint kitalálni, hogy holnaptól a feketére használjuk a fehér kifejezést és fordítva. Ami már teljesen más kérdés, hogy az ebből származtatott kifejezések már természetesen nem mind pejoratívak, például az etikus hekker, amelyik fedi az eredeti angolban ethical hacker kifejezés jelentését és olyan IT biztonsági jómunkásembert jelöl, aki egy megbízásnak megfelelően, de alapvetően ugyanazokat az eszközöket használva, mint egy támadó, felméri egy-egy IT rendszer sérülékenységét.

A fogalomról tehát ennyit. De mégis, mit lehet mondani annak, aki érdeklődne az IT biztonsági témák iránt, foglalkozna vele, de nem tudja, hogy hogyan vágjon neki? Több vélemény szerint nincs igazán jó válasz, mert ha valaki eléggé involvált, kíváncsi, akkor már magától úgyis elkezdett bütykölni valamit, legyen az akár szoftver, akár hardver, akár maga az emberi magatartás, én rokon területnek tekintem a haladó keresési és információkinyerési technikák művészetét is, de lehetne még folytatni a sort.

Én ezzel a véleménnyel nem értek egyet. Lehet valaki kitűnő szoftverfejlesztő, akit érdekelne a biztonság, de nem igazán tudja, hogy hogyan fusson neki. Erre azt tudom mondani, hogy az IT security olyan, mint a programozás: nem lehet könyvből megtanulni, normálisan viszont könyv, mégpedig jó sok könyv nélkül szintén nem.

Vannak olyan etikus hekker képzést kínáló helyek Magyarországon is, amik hajmeresztő összegekért kínálnak oktatást úgy, hogy állításuk szerint az ő képzésükhöz nem szükséges előzetes programozási tudás. Mese habbal, ilyen a világon nincs! Ha nem is kell vérprofi programozónak lenni, de mindenképp legalább alapszintű, de bombabiztos programozási ismeretek szükségesek ahhoz, hogy valaki hozzá tudjon szagolni a témához, ami plusz jó, ha már adott egy bizonyos hacker mentality ez viszont kialakulhat menet közben is.

Néhány évvel ezelőtt a "hogyan kezdjem?" kérdésre még Erickson Hacking – The Art of Exploitation művét ajánlottam, ami nagyon penge módon, a szoftverek elemi működéséből kiindulva veszi sorra azokat a témákat, amiknek a megértése és megismerése után már bőven tud mit kezdeni a megszerzett tudással az érdeklődő, majd továbbhaladni.

Úgy fogalmaztam, hogy néhány évvel ezelőtt. Az előbb említett könyv az alacsony, gépi szintű műveletek ismeretére koncetrál, legalábbis abból indul ki, ezért mindenképp gyorsabban tud látványos eredményeket elérni az, aki a már sokkal inkább emberközelibb, a szkript-nyelvek világában létező biztonsági problémákkal kezd foglalkozni. Ezek pedig szorosan kapcsolódnak a webalkalmazások biztonságához. Szinte mindegy, hogy valaki a Hacking Exposed sorozat Web Applications [Scambray, Liu, Sima] egy újabb kiadását használja vagy a Stuttard-Pinto szerzőpáros The Web Application Hacker’s Handbook könyvét, mindkettő alapos áttekintést ad a webalkalmazások tipikus sebezhetőségeivel kapcsolatban.

Hogy kiből lehet hekker vagy inkább nevezzük úgy: rokon területen szakértő? Bármilyen misztikusnak tűnik is, ez is ugyanúgy megtanulható, mint bármi más, csak éppenséggel érdeklődés, idő és tehetség kérdése.

Ha pedig valaki szeretne kívülállóként szeretne betekintést nyerni abba, hogy hogyan gondolkoznak, dolgoznak az etikus hekkerek, kutatók, érdemes ellátogatnia olyan szakmai rendezvényekre, mint amilyen a Hacktivity, ahol idén is két szekcióban párhuzamosan mennek majd az előadások,  szóba kerül majd többek közt a kártékony programok analízisének mikéntje, IP-kamerák hekkelése vagy éppen, hogy hogyan segíthetik az evolúciós algoritmusok a jelszavak kitalálására irányuló támadásokat. Ezen kívül két workshopban, kisebb csoportokban van lehetőség ismerkedni olyan témákkal, mint amilyen az andoridos eszközök sebezhetőségének tesztelése vagy éppenséggel a vezeték nélküli hálózatok hekkelése. Az előadásokra és a workshopokra egyaránt igaz, hogy akkor is lehet tanulni belőlük, ha a vendég nem érti minden részletében azt, amiről szó van.

Amolyan össznépi tévhit a híres magyar leleményesség. Ami leginkább olyan, mint a magyar foci, a kiemelkedően erős közoktatás és hasonlók: valamikor volt talán egy pillanatig, azóta semmi jele, de az emléket dédelgeti a nép azóta is. Bezzzeg a.. Na kik? Nem, most az indiaiak. Most nem foglalkozom a olyan népcsoportokkal, akiknél többek közt a populáció átlag IQ-ja is magasabb meg van egy rakás paraméter, ami kell a leleményességhez.

Szóval: van ez a régi, lassan már csak papírnehezéknek alkalmas Blackberrym, de azért nem ártana, ha legalább egy vállalható telefon lenne, amelyik konkrétan fel is tudja venni a beszélgetéseket, elvben van rá app, nem? Na most ha az iPhone-osok vagy Windwos Phone-osok szétnéznek az alkalmazásboltban, egészen pontosan 0, azaz nulla darab olyan appot fognak találni, ami a telefonbeszélgetéseket rögzíti. Egyszerűen nem vállalja be a MS és az Apple az esetleges azzal kapcsolatos cirkusz, ami abból adódhat, hogy egy államban nem a törvénynek megfelelően használják az alkalmazást [pl. Magyarországon előre közölni kell a beszélgetőpartnerrel, ha a hívást rögzítik]. Az Android alkalmazásboltjai persze rogyásig vannak az ilyenekkel, de azt ugye bottal sem piszkálnám. Persze, persze, vannak központosított távmenedzsment szoftverek iOS-re és Windows Phone-ra is, amik lehetővé teszik a beszélgetés rögzítését, ezek nyilván a céges környezetre vannak szabva, egy magánszemély nem fog csillió' forintot fizetni csak azért, hogy a beszélgetéseit rögzíteni tudja.

Na de a Blackberry! Ha az alkalmazásboltról van szó, ha nem is akkora pöcegödör, mint a többi, azért itt is van szemét bőségesen: rendszerint a hívásrögzítő appoknak egy freemium változata, amelyik például  korlátozza a maximálisan felvehető beszélgetés hosszát és persze meg lehet venni néhány garasért a korlátozásoktól mentes teljes változatot.

Szembetűnő, hogy sokszor egy adott célra kitalált alkalmazás neve nagyon hasonló, a leírás akár  teljesen azonos is lehet, a review-k közt pedig a felhasználók egy része óva inti a letöltéstől a többieket scam-et kiáltva, megint másik része pedig kitűnő alkalmazásnak tartja, nem világos persze, hogy mennyi review valódi, több viszonyítási alap pedig nem nagyon van. Nos, ezeknél az alkalmazásoknál nem ritkán az a helyzet, hogy valamelyik zugcég, amelyiknek fejlesztő cégként még csak saját webhelye sincs, supportról nem is beszélve, feljeszt például beszélgetések rögzítésére egy alkalmazást, amelyik átmegy ugyan a Blackberry azon tesztjein, ami kell az alkalmazásboltban lévő feltöltéshez, de az alkalmazás minősége összességében nagyon silány. Főleg ezeknél az alkalmazásoknál, ha közben fut céges távmenedzsment alkalmazás is a szedres mobilon, a hülye felhasználó nem fogja érteni, hogy az ő saját hangrögzítője emiatt miért nem működik, holott az azért a jobb appoknál le van írva.
Amikor már vállalhatatlan a renoméja egy-egy ilyen alkalmazásnak, akkor a zugcég fogja magát, regisztrál teljesen más fejlesztői néven, aztán tolja fel gyakorlatilag ugyanazt az alkalmazást, ahogy írtam, sokszor még az app leírása is azonos, jobb esetben az app feljavított változata készül el, aztán a felhasználó ismét fizet érte.

Nincs mese, előfordulhat, hogy egy beszélgetést rögzíteni kell, amit meg lehet oldani persze telefontól függetlenül barkács módszerrel is, de egy stabilabb megoldás hosszú távon több hivatásban elengedhetetlen. Több munkakörben előfordulhat, hogy bejövő hívás érkezik egy olyan mobilra, amelyik rögzíteni ugyan nem tud, a hívó fél miatt mégis fel kellene venni a csevejt, ekkor egyszerűen a hívás átirányítható olyam mobilra, amelyik meg tudja rögzíteni és le van a gond. Konkrét példával: tételezzük fel, Mr. Csúnyabácsi hív a +36701234567 számomon, amit látok is a kijelzőn, viszont az iPhone-ommal használom a számot, akkor be van állítva egy olyan feltételes átirányítás például arra az esetre, ha nem veszem fel 15 másodpercig, ekkor átirányítódik a +36301234567 –es számomra, amit viszont a Blackberryvel használok vagy még kifinomultabb eszköz van a végére drótozva és azon a beszélgetés tökéletes rögzítésére alkalmas eszközzel fogadom a hívást.

Már maga a téma is nyomasztó, szóval nem fogok elmélkedni ezen, de megvan a bizarr bája, hogy évek óta minden mobilban van fotózási és videókészítési lehetőség, valahogy mégsem lihegik túl, hogy a felhasználó ne használja olyan módon, hogy azzal törvényt sértsen, ami szinte sosem valósul meg, hiszen például Magyarországon eleve csak arról készíthető kép vagy videó alapesetben, aki határozottan beleegyzett, akármekkora nonszensz is, egyébként törvénybe ütközik.  Márpedig ez a gyakoribb, mégsem állt elő soha senki azzal a gondolattal, hogy tilcsákbeakamerásmobilt. Bezzeg a hangfelvétel, hűűű, na annak aztán akkora a társadalmi veszélyessége, hogy na, azt már nem! Érti ezt valaki?

Visszatérve az eredeti témához, a BerryOS 7-et nem fejlesztik tovább, ergo új alkalmazás sem jelent meg rá már ezer éve, egy olyan fejlesztő cégtől pedig, amelyiknek még webhelye sincs, nem várható el, hogy a Blackberry 10-es oprendszerére is tegye elérhetővé az appot anélkül, hogy ismét meg kellene venni azt. Ami meg nekem perpillanat van, azt az appot 2012-ben (!!) frissítették utoljára, viszont pazarul működik.

Ezek a fejlesztő cégek persze indiai fejlesztőkhöz köthetők, ahogy az néhány laza klikkeléssel megállapítható.