Azonnal leszögezhetjük, hogy hírszerzés és megfigyelés mindig is volt, van és lesz. Bár az akkori hivatalos állásfoglalásokban sok esetben olvashattuk azt, hogy aki politikai szereplő, annak számára a Snowden-afférban semmi új és rendkívüli nem volt. Ám most, hogy már több mint egy év is eltelt az ügy első hullámai óta, érdemes lehet kicsit hátralépni, és újra felidézni ezzel kapcsolatban pár it-biztonsággal kapcsolatos tanulságot.
Kezdjük mindjárt egy idevágó idézettel Nógrádi Györgytől: „Egy titkosszolgálatnak alapvetően kutyakötelessége megakadályozni, hogy a hírszerzéséből emberek disszidáljanak vagy árulók legyenek. Ez a mindössze érettségivel rendelkező srác három laptopon elvitt ki tudja mennyi dokumentumot, és ez szétverte az USA-t. Olyan kárt okozott az Egyesült Államoknak, talán többet, mint a Wikileaks papírok, amit rövid távon lehetetlen lesz behozni."
Láttunk azért pár olyan furcsaságot – ami, még ha feltételezzük is, hogy a politikai szereplők sok mindenről tudhatnak, de ebből nyilvánosan semmit nem ismerhetnek el – amelyek szemmel láthatóan megbillentették a korábbi egyensúlyt és bizalmi kérdéseket vetettek fel. Az egyik ilyen például Angela Merkel telefonbeszélgetéseinek a lehallgatása. Az USA egyes számú európai baráti partneréről beszélünk… A kiszivárogtatások egy része még az egyes politikusokat is meglephette, főképp akkor, ha előtte nem nagyon foglalkoztak a titkosszolgálattal. Összességében már ez is egyfajta meglepetés, hiszen ma már elmondható, nemigen van a világon olyan jelentős gazdasági vagy politikai szervezet, amely ne lenne napi kapcsolatban saját országának titkosszolgálatával.
Ha gazdasági szálakat boncolgatunk, akkor talán az volt az egyik legérdekesebb kiszivárogtatás, amelyből megtudhattuk, hogy a mindenki megfigyeléséből adódó gazdasági hírszerzés következtében például az összes európai VISA- és egyéb bankkártyás tranzakciót is rögzítették, és az USA biztosan nem mulasztotta el, hogy kihasználja ezt az erőfölényt a gazdasági életben, például tendereken, tárgyalásokon.
Ha pedig informatikai, illetve it-biztonsági szemüvegen át nézzük, akkor a Snowden által leleplezett adatgyűjtés léptéke azért is ijesztő volt, mert mindenki számára bebizonyosodott, hogy nemcsak célzottan, egyes terroristagyanús elemek ellen irányult, hanem gyakorlatilag kivétel nélkül mindenki adatát gyűjtik. Volt aztán Snowdennek olyan praktikus tanácsa is, amelyet például könnyen megszívlelhetnének a gyártók is: „If you have to go to the command line, people aren’t going to use it. If you have to go three menus deep, people aren’t going to use it." (Ha parancssort kell használni, az emberek nem fogják megtenni. Ha három menüszint mélyre kell leásni, az emberek nem fogják megtenni.) Vagyis nem szabad túlbonyolítani a biztonsági beállításokat, ebben pedig a sokszor hanyag felhasználók mellett a szolgáltatók és a szoftverfejlesztők is ludasak.
Közben egy alternatív Nobel-díjat, a svéd „2014 Right Livelihood Awardot” is neki adományozták, és bár a hatásokat még mindig nem tudjuk teljesen felbecsülni, az azért látható, akciója alaposan felborította a korábbi status quo-t, növelve ezzel a bizonytalanságot minden oldalon. Például a szoftverekbe beépített titkos hátsóajtók leleplezése és a szoftverfejlesztők NSA-val való együttműködését bemutató kiszivárogtatott adatok a különféle tengerentúli technológiák, felhőszolgáltatások, operációs rendszerek, felhasználói programok, valamint az ottani gyártók iránt gyengítette meg jelentősen a bizalmat.
A Snowden-féle események és hatásaik miatt ma már semmi nem olyan, mint korábban volt.
Például az RSA 10 millió dollárért egy jóval gyengébb, könnyebben törhető véletlenszám-generátort tett BSAFE biztonsági eszköztárába, magyarán az NSA kérésére szándékosan gyengítettek a titkosításon. Ilyen erkölcstelen módszer korábban sokak számára teljességgel elképzelhetetlen volt.
Az biztos, hogy a számítógépre egyre inkább támaszkodó világunkban információt titokban tartani rendkívül nehéz, lásd az orosz Szövetségi Védelmi Szolgálat (FSZO, Federalnaja Szluzsba Ohranyi) visszatérését a hagyományos írógépekhez. Ma már szinte nem is hír, hogy hetente vagy naponta szenvednek el gigantikus méretű adatszivárgásokat, adatlopásokat még az olyan nagypályás szereplők is, mint az Adobe, a LinkedIn vagy a JP Morgan, – gigantikus it-biztonsági költéseik ellenére.
Ám, ahogy az it-biztonsági szakmában minden egyes, másvalakivel történt incidens tanulságát folyamatosan be kell építeni a saját védelmünkbe, úgy a Snowden-kiszivárogtatások révén reflektorfénybe került kérdésekre is választ kell találnia a szakembereknek. Ez persze egy never ending story, egy folyamatos és végtelen macska-egér harc, azonban nincs más választásunk, ha meg akarjuk védeni az adatainkat. Tudomásul kell venni, hogy a számítógépes adatvédelem kihívása nem csupán annyi, hogy technikailag csökkentjük az embereket érintő fenyegetéseket, hanem az is lényegbevágó, hogy közben nem volna szabad alapból lemondani a privát szféráról. Egyúttal a felhasználói oldalon is markánsan meg kellene jelenjen a személyes adatok hatékonyabb védelmére való igénynek, és az is fontos lenne, hogy az emberek tisztában legyenek az információbiztonság minden lehetséges aspektusával. Ellenkező esetben nehéz vagy éppenséggel lehetetlen lesz megvédeni őket.
Reméljük, az októberi Cyber Security Awareness Hónap kapcsán sok hasznos esemény, konferencia, cikk, interjú és blogposzt jelenik meg, és segít majd ebben a munkában.
Csizmazia-Darab István, it-biztonsági szakértő
a NOD32 antivírus termékek magyarországi képviselete
antivirus.blog.hu
