Kezdjük
mindjárt egy idevágó idézettel Nógrádi
Györgytől:
„Egy titkosszolgálatnak alapvetően kutyakötelessége
megakadályozni, hogy a hírszerzéséből emberek disszidáljanak
vagy árulók legyenek. Ez a mindössze érettségivel rendelkező
srác három laptopon elvitt ki tudja mennyi dokumentumot, és ez
szétverte az USA-t. Olyan kárt okozott az Egyesült Államoknak,
talán többet, mint a Wikileaks papírok, amit rövid távon
lehetetlen lesz behozni."
Láttunk
azért pár olyan furcsaságot – ami, még ha feltételezzük is,
hogy a politikai szereplők sok mindenről tudhatnak, de ebből
nyilvánosan semmit nem ismerhetnek el – amelyek szemmel láthatóan
megbillentették a korábbi egyensúlyt és bizalmi kérdéseket
vetettek fel. Az egyik ilyen például Angela
Merkel
telefonbeszélgetéseinek a lehallgatása. Az USA egyes számú
európai baráti partneréről beszélünk… A kiszivárogtatások
egy része még az egyes politikusokat is meglephette, főképp
akkor, ha előtte nem nagyon foglalkoztak a titkosszolgálattal.
Összességében már ez is egyfajta meglepetés, hiszen ma már
elmondható, nemigen van a világon olyan jelentős gazdasági vagy
politikai szervezet, amely ne lenne napi kapcsolatban saját
országának titkosszolgálatával.
Ha
gazdasági szálakat boncolgatunk, akkor talán az volt az egyik
legérdekesebb kiszivárogtatás, amelyből megtudhattuk, hogy a
mindenki megfigyeléséből adódó gazdasági hírszerzés
következtében például az összes európai VISA- és egyéb
bankkártyás tranzakciót is rögzítették, és az USA biztosan nem
mulasztotta el, hogy kihasználja ezt az erőfölényt a gazdasági
életben, például tendereken, tárgyalásokon.
Ha
pedig informatikai, illetve it-biztonsági szemüvegen át nézzük,
akkor a Snowden által leleplezett adatgyűjtés léptéke azért is
ijesztő volt, mert mindenki számára bebizonyosodott, hogy nemcsak
célzottan, egyes terroristagyanús elemek ellen irányult, hanem
gyakorlatilag kivétel nélkül mindenki adatát gyűjtik. Volt aztán
Snowdennek olyan praktikus tanácsa is, amelyet például könnyen
megszívlelhetnének a gyártók is: „If you have to go to the
command line, people aren’t going to use it. If you have to go
three menus deep, people aren’t going to use it." (Ha
parancssort kell használni, az emberek nem fogják megtenni. Ha
három menüszint mélyre kell leásni, az emberek nem fogják
megtenni.) Vagyis nem szabad túlbonyolítani a biztonsági
beállításokat, ebben pedig a sokszor hanyag felhasználók mellett
a szolgáltatók és a szoftverfejlesztők is ludasak.
Közben
egy alternatív Nobel-díjat, a svéd „2014 Right Livelihood
Awardot”
is neki adományozták, és bár a hatásokat még mindig nem tudjuk
teljesen felbecsülni, az azért látható, akciója alaposan
felborította a korábbi status quo-t, növelve ezzel a
bizonytalanságot minden oldalon. Például a szoftverekbe beépített
titkos hátsóajtók leleplezése és a szoftverfejlesztők NSA-val
való együttműködését bemutató kiszivárogtatott adatok a
különféle tengerentúli technológiák, felhőszolgáltatások,
operációs rendszerek, felhasználói programok, valamint az ottani
gyártók iránt gyengítette meg jelentősen a bizalmat.
A
Snowden-féle események és
hatásaik
miatt
ma
már
semmi nem olyan, mint korábban volt.
Például
az RSA 10 millió dollárért egy jóval gyengébb, könnyebben
törhető véletlenszám-generátort tett BSAFE biztonsági
eszköztárába, magyarán az NSA kérésére szándékosan
gyengítettek a titkosításon. Ilyen erkölcstelen módszer korábban
sokak számára teljességgel elképzelhetetlen volt.
Az
biztos, hogy a számítógépre egyre inkább támaszkodó
világunkban információt titokban tartani rendkívül nehéz, lásd
az orosz Szövetségi Védelmi Szolgálat (FSZO, Federalnaja Szluzsba
Ohranyi) visszatérését a hagyományos írógépekhez. Ma már
szinte nem is hír, hogy hetente vagy naponta szenvednek el
gigantikus méretű adatszivárgásokat, adatlopásokat még az olyan
nagypályás szereplők is, mint az Adobe, a LinkedIn vagy a JP
Morgan, – gigantikus
it-biztonsági
költéseik
ellenére.
Ám,
ahogy az it-biztonsági
szakmában minden egyes, másvalakivel történt incidens tanulságát
folyamatosan be kell építeni a saját védelmünkbe, úgy a
Snowden-kiszivárogtatások révén reflektorfénybe került
kérdésekre is választ kell találnia a szakembereknek. Ez persze
egy never ending story, egy folyamatos és végtelen macska-egér
harc, azonban nincs más választásunk, ha meg akarjuk védeni az
adatainkat. Tudomásul kell venni, hogy a számítógépes
adatvédelem kihívása nem csupán annyi, hogy technikailag
csökkentjük az embereket érintő fenyegetéseket, hanem az is
lényegbevágó, hogy közben nem volna szabad alapból lemondani a
privát szféráról. Egyúttal a felhasználói oldalon is markánsan
meg kellene jelenjen a személyes adatok hatékonyabb védelmére
való igénynek, és az is fontos lenne, hogy az emberek tisztában
legyenek az információbiztonság minden lehetséges aspektusával.
Ellenkező esetben nehéz vagy éppenséggel lehetetlen lesz
megvédeni őket.
Reméljük,
az októberi Cyber Security Awareness Hónap kapcsán sok hasznos
esemény, konferencia, cikk, interjú és blogposzt jelenik meg, és
segít majd ebben a munkában.
Csizmazia-Darab
István,
it-biztonsági
szakértő
a
NOD32 antivírus termékek magyarországi képviselete
antivirus.blog.hu