2011. január 25., kedd

Csökkenő adat-, és információbiztonság

Az információbiztonsággal foglalkozó szakemberek sem gondolkodnak egységesen az adat-, és információbiztonság jelenlegi helyzetéről.  A vállalatok, intézmények nagyon sok pénzt elköltöttek és költenek folyamatosan arra, hogy megvédjék a hálózataikat, szervereiket, munkahelyi számítógépeiket. A biztonsági cégek nyilván abban motiváltak, hogy minél több biztonsági megoldást szállítsanak megrendelőiknek, a megrendelők biztonsági szakemberei pedig abban, hogy kipipálják a problémát egy-egy biztonsági eszköz megvásárlásával, intézkedések bevezetésével. Az informatikai szállítók abban a hitben adnak el eszközöket, szoftvereket, hogy azok biztonsági beállításait majd a vevő informatikusai elvégzik, míg a vevő úgy gondolja, hogy kulcsrakész rendszert kap, és a pénzéért ráadásul még biztonságos is lesz, mert arról a szállító gondoskodik. A döntéshozók mindebből pedig egy kiadás-bevételi terv és tény sort látnak a könyvelésben. A dolog működik, de rosszul, mert mindenkiben hamis biztonsági tudat alakul ki.

A helyzetet csak bonyolítja a felhasználók biztonsági tudatosságának alacsony szintje. Ők úgy gondolják, hogy a biztonságukról a rendszergazdák gondoskodnak, hiszen azért kapják a fizetésüket, meg egyébként is menjenek a fenébe, olyan beképzeltek és udvariatlanok. A vállalatok a legritkább esetben fizetnek olyan szolgáltatásokért, amiben a felhasználóik informatikai biztonsági ismereteit bővíthetnék. Nem éri meg. A felhasználó legyen csereszavatos, ha elmegy, kirúgják, könnyen lehessen pótolni. Fogyóeszköz.

A 90-es évek végén, amikor az ERIKA és ROBOTRON írógépeket egy mozdulattal PC-kre cserélték a legnagyobb problémát az jelentette, hogy a telefonvonalakra csatlakoztatott modemek segítségével a felhasználók kikerülték a vállalati hálózatot és közvetlenül kapcsolódtak az Internetre, mindenféle védelem nélkül. Az volt a hacker-ek és a vírusok aranykora. Sokan azt állítják, hogy ma ez a probléma már lejárt lemez, de ez nem igaz. Ugyan telefonos analóg modemek már tényleg ritkán üzemelnek, de a szélessávú mobilinternet elérések száma a világon meghaladta az 1 milliárdos számot. Szóval a probléma még nagyobb, mint valaha, mert ma a modemek már USB-kulcs méretűek és kontrollálatlan számban lehetnek jelen a vállalatok, intézmények dolgozóinál, vezetőinél. Gondolom, mindenkinek ismerős az a jelenség, hogy a belső hálózat lassulása, megállása esetén nyúlunk a stick-hez. A modernebb netbook-ok, tablet-ek pedig már beépítve használják a széles-sávot. Az okostelefonokról már ne is beszéljünk.
Míg a kilencvenes években kevés számítógép volt használatban, és 5-10 évig használtuk ugyanazt, egy notebook pedig 1-1,5 millió forintba került, nem nagyon jelentett problémát a digitális szemét. Ma, amikor 1-3 évente cserélünk mobilt, nyomtatót, notebookot, asztali PC-t, szervert, mindez óriási gondot okoz. A helyzetet felismerők létrehozták a secondhand informatikai piacot. Azaz, ma sok használt eszköz cserél gazdát.

Sokan most azt kérdezitek, mindez mit jelent? Mi ezzel a probléma?

A hamis biztonság-tudat oda vezet, hogy ellustul az informatikai biztonság igényessége, a törekvés nem ér célt. A felhasználók önfejűsége, a kontroll el nem tűrése és a szabályok elkerülése, kijátszása oda vezet, hogy a mobil-szélessávra kötött vállalati számítógépeink közvetlen támadások áldozata lehet az Interneten. A használt eszközök újra eladása oda vezet, hogy a rajtuk lévő adatok és információk az adathordozókról, flash memóriákról könnyű szerel visszaállíthatóak, így a tárolt adatok, információk mások számára publikussá válhatnak. Az okostelefonok megjelenésével a mobil levelezés, irodai munka válik elérhetővé "a bárhonnan". Ha eladjuk a telefont, vagy a számítógépünket, adathordozónkat az "e-bay"-en, vagy a "vaterán", akkor meg "a bárki" számára lesznek elérhetőek. Így szivárog el a világ dicsősége. Gondoljatok bele, mi mindent tároltok ezeken az eszközökön.

2011. január 23., vasárnap

Adatszivárgás, avagy a digitális inkontinencia

Rendkívül sokat olvashatunk az utóbbi időben arról, hogy bizony-bizony a vállalatok, kormányok, titkosszolgálatok és persze a magánszemélyek nagyon szenvednek egy új, modern kórságban, miszerint a szent és sérthetetlennek gondolt információik valamilyen fondorlatos módon kiszivárognak. Ki, vagy el, vagy be végül is édes mindegy, szivárognak és kész. Bár jómagam már azon fennakadok, hogy mi a különbség a vállalat, kormány, titkosszolgálat és a magánszemélyek között. Úgy tűnik, hogy ezek különböznek, de a digitális kutya ott van bekódolva, hogy nem. Minden szervezet magánszemélyek halmaza.
Nagyon érdekes  azt megfigyelni, hogy az elmúlt 20 évben milyen módon változott meg a kommunikáció és annak tartalma. A 70-es évek előtt emberek százait gyilkolták le olyan minőségű információkért, amit ma egy kormány, vállalat a saját portáljain publikál önszántából. Az adatszivárgás jelenségét vizsgálva az is szembetűnik, hogy a szervezetek magukról a felelősséget lerázva, azonnal valamelyik dolgozót, partnert vádolják meg a dolog kiszivárogtatásával. Azt még eddig senki be nem vallotta, hogy "kérem, kicsit elrontottuk és a védelmi rendszerünk nem működik jól". Nem, az nem működik jól. Sehol. Ez van.

A jelenség oka, hogy a világnak az a része, ahol 1,9 milliárd ember Internetet használ, átesett a trójai faló túloldalára. Kommunikációs kényszerben szenved, mert ha nem kommunikál, pénztől, kapcsolatoktól, információtól esik el. Tehát abban motivált, hogy minél több információt osszon meg a világgal. Így hát könnyű elképzelni, hogy a maximumon dübörgő információ-átviteli piac által diktált sebességmámorban ki-kicsúszik néhány olyan infomorzsa is, aminek nagyon bent kellene maradnia.

Az adatszivárgást ma mindenki azzal azonosítja, hogy a végfelhasználó az asztali számítógépének adatkiviteli lehetőségeit kihasználva a vállalati információt egyszerűen lemásolja CD-re, USB-kulcsra és elviszi. Tegye a szívére a kezét az, aki ha elment egy munkahelyről, nem másolta ki az általa hozzáférhető dokumentumokat, e-mail-eket. Na ugye. Persze, jó lesz az még valamire.
Ja, ha már az önkritikánál tartunk, az tegye fel a kezét, aki nem klikkelgette végig legalább egyszer a vállalati, munkahelyi fájlszerver könyvtárait, leginkább a többiek fizetési adatait akarván kicsit megismerni. Ugye ismerős? Belegondoltatok-e már abba, ha ti megtudjátok csinálni, akkor esetleg egy olyan programnak is sikerülhet, amit direkt erre írt meg valaki? Vagy esetleg egy idegennek, aki rá tud csatlakozni a hálózatra? Gondoltatok-e már arra cégvezetőként, döntéshozóként, vagy beosztottként, hogy ha adminisztrátori jogokat követeltek és kaptok a saját hordozható, vagy asztali pc-tek fölött, akkor az általatok futtatott szoftvereknek is adminisztrátori jogai lesznek? Ugye nem nagyon. Na itt van a web elhantolva. Nem beszélve arról, hogy ha az adminisztrátor jogosultságú felhasználótok jelszava a 10 éves vén szenilis palotapincsitek neve, ami ráadásul "csak" a nyakörvén, az oltási és törzskönyvében, valamint a tavalyi kutyakiállítás weboldalán és a szenilispalotapincsimvan.hu oldalakra van felírva, az "a világon a bárki számára" van publikálva. Önszántadból, direkt, de persze csodálkozol.

Gondoltál-e már arra, hogy ha egy office dokumentumot elküldesz, akkor az nem csak azt az információt hordozza, amit beleszerkesztettél, de a gépednek, a felhasználódnak a nevét is? Nem hallottál még erről? Pedig több mint 14 éve használsz számítógépet és a webes keresők mintegy 2 970 000 cikket tartalmaznak erről az egy témáról. Mondhatod, hogy ez nem a te dolgod, nem a te felelősséged, végül is ma már azt sem nagyon értjük, hogy az autónk, mobiltelefonunk hogyan működik. Miért pont ezt értenénk.

Összefoglalva, az adatszivárgás borzasztó összetett jelenség. Az a digitális közmű, ami jelenleg biztosítja a kommunikációt már rég elavultnak tekinthető, szűken 40, tágabban 200 éves technológiákra épül. De nem ez a fő baj, mert ennek ellenére rendkívül hatékony. Hanem továbbra is az, hogy mit publikálnak magukról a felhasználói. Az információ így szivárog el észrevétlenül de szándékosan.


Egy 20 perces előadásom a témában.

Az adattest, mint információ forrás

Szóval az adattest. Mindenkinek, sőt mindennek van a világon. Helye, formája, kiterjedése, színe, szaga. Neve, árbevétele, kiadása, főtevékenysége, foglakozása. E-mail címe, érdeklődési köre, családja, kutyája, autója, lakása, szokásai. Ízlése, vallása, nyelvtudása, végzettsége. Baráti és ügyfélköre, megállapodásai, partnerei, emlékei, hangulata. Számlaszáma, cégjegyzék száma, adószáma, tb-száma, személyi száma, IP címe, weboldala, webtartalma, alkalmazottai. Na jó, azt hiszem, értitek.

Mik a jellemzői az adattestnek? Azt már tisztáztuk, hogy mindenkivel vele születik, de fontos érteni, hogy senkivel nem hal vele. Életben marad, mivel lehetetlen az összes részét kitörölni az összes adatbázisból. Vicces, hogy például a facebook-on az egyik legnagyobb probléma a meghalt felhasználók profiljainak kezelése. Arról folynak az egyeztetések, hogy például a családtagok örököljék a profilokat. Kicsit perverz, nem?

A másik jellemzője az adattestnek, hogy folyamatosan hízik, bővül, növekedik, gyakorlatilag úgy, hogy erre a valós személynek minimális ráhatása van. A legnagyobb baj azonban az, hogy semmilyen közvetlen ráhatása nincs a "tulajdonosnak" arra, hogy az Ő adatait, a róla szóló információt ténylegesen ki, hogyan kezelje. Persze, mindig elfogadjuk az Általános Szerződési Feltételeket és az Adatkezelési Nyilatkozatokat, Titoktartási megállapodásokat, de nem tudjuk ellenőrizni azok betartását. Miért fogadjuk mégis el? Pénzért természetesen, vagy valamilyen szolgáltatásért, nyereményért, ígéretért cserébe. Meg persze van Személyes adatok kezeléséről szóló törvény is, meg a magántitokról is, banktitokról is. És?

A vicces az egészben az, hogy a legtöbb információ, amit mindenki takargat, véd, eltitkol, az valahol máshol, az Ő vagy Más adattestének egy másik szegletében hozzáférhető, csak erről a tulajdonos nem tud. Például egy szerződés, ami szupertitkos, az védőőrizet alatt a cég páncéljában csücsül, miközben a céggel kapcsolatban álló ügyvédi iroda számítógépein, a közjegyzők nyomtatóinak memóriájában elérhető lesz, valamint egészen bizonyosan elektronikus levélben küldték át egymásnak a történet szereplői. Persze titkosítás nélkül. Mert miért is ne. A partnereknek persze a megbízó cég annyit már nem fizet, hogy legalább olyan védelemmel és tudással kezeljék az adatait, mint a vállalaton belül. Mert hát verseny van és az olcsóbbik viszi a megbízást.

Arra aztán már senki sem gondol, hogy ha valaki be akarna lépni abba a bizonyos e-mail fiókba, akkor "csak" a jelszót kell megszereznie hozzá. De persze nem kell megszerezni, ki lehet találni. Honnan? A szereplők adatteste elárulja. Autó rendszáma, márkája, lakcím, családi utónevek, kutya, macska neve, családi vonatkozású születési dátumok vagy akár a felhasználónévvel megegyező jelszó és még folytathatnám. Triviális és rendkívül sajnálatos, de ez a helyzet. Valamint, ez "csak" a jelszó helyzet. Gondolom ez is sokaknak  ismerős.

Az adattest, mint alapvetés

Minden embert foglalkoztatja az, hogy mit gondol róla a szűkebb, vagy tágabb környezete, milyennek tartják Őt mások hogy kiderül-e a sok turpisság, hazugság, butaság, jó cselekedet vele kapcsolatban. Minden emberben benne van az az igény, hogy figyeljenek rá, hogy vegyék figyelembe a létezését. 
Azt is szoktam mondani sokszor, hogy "az emberek úgy élnek, mint akinek ez jár".
Mindez persze nem baj, de az elképesztő ego-építés közben, érdekes módon arról azért rendszerint megfeledkezünk, hogy milyen hatással van ez a környezetünkre. Gondoljatok bele abba, mennyi felesleges szót, mondatot fogalmazunk meg, gyakorlatilag felszínes kommunikáció keretein belül, elképesztő módon szennyezve ezzel a szellemi környezetünket.
Számomra rendkívül érdekes, hogy mindezzel a legkevésbé foglalkozunk, egyre csak dagasztva ezzel a rólunk kialakított vélemény-halmazt. Az is érdekes, hogy mindezt miért tesszük és hogyan. Azt gondolom, hogy a rendkívül undorító közlés kényszernek a motorja az elidegenedéstől, a magánytól való rettegés. "Nehogy már ne számítson a véleményem valakinek! Nehogy már a másik több figyelmet kapjon, mint ÉN!" A legfontosabb, hogy kiszolgálva, szórakoztatva legyünk, nem akarunk nehézségeket magunknak. Elsőnek akarjuk kilökni a gyereket az iskola előtt a kocsiból, tetszeni akarunk a munkatársainknak a munkahelyen, dicséretet és árleszállítást követelünk magunknak mindennap. Alapvető élet-szükségleteinket élet-kedvezményekre cseréltük. A mindenevő emlős fogalma megváltozott, mindent fogyasztó lettünk.  Önelégülten dőlünk hátra, ha el tudtunk intézni valami iszonyú fontosnak tartott dolgot, ha megkaptuk a hitelt, ha beírattuk a gyereket az iskolába, ha olcsóbban vásároltunk, ha névre szóló üdvözlőlapot kapunk a születésnapunkra egy légitársaságtól, vagy konzervgyártól. Szellemi önkielégítésünk csúcspontját jelenti, ha  születendő gyerekünk nevét fejből tudja a szülészorvos, vagy egyszerűen a gyógyszerész már összekészíti előre a havi gyógyszeradagunkat, vagy a pap dátumra emlékszik az összes családi keresztelőre. Mindemellett, hogy nem kívánok sem szociológiai, sem pszichológiai mélységekbe menni, meg kell mondjam nektek, ez a viselkedés szorosan összefügg az információ biztonságával.

Miért írom mindezt? Mert az információ biztonságának kérdéseit megérteni csak úgy lehet, ha megértjük az információ létezésének motivációját. Ha megértjük, hogy miért keletkezik, azt is megértjük, hogy hogyan teszi mindezt. Bármely számunkra kritikus adat és információ, tudás és bölcsesség csak úgy védhető meg, ha megértjük a létezésének okait, motiváló tényezőit.

Érdekes módon, mindenkinek van véleménye a RENDSZER-ről, ami megfigyel, kizsákmányol, befolyásol, kinyír. Elhallgatni, vagy éppen felfedni kívánjuk a RENDSZER előtt a politikai, vallási, vagy szexuális hovatartozásunkat vállalva ezzel valami teljesen virtuális inkvizíciót, vagy éppen keresztes-háborút. Mindezt tesszük azért, mert abban a hitben létezünk, hogy hatással vagyunk a RENDSZER-re. A legviccesebb az, hogy elképesztő módon megsértődünk, ha valami olyan dolog derül ki rólunk, publikálódik, jelenik meg pletykaként, amiről egészen biztosak vagyunk abban, hogy senkinek nem árultuk, mondtuk el. Arra persze nem is gondolunk, hogy elmondhatták mások is, árulkodhatott a dologról valami egészen egyszerű, értéktelennek gondolt jel, vagy annak hiánya is. Jó példa erre az adóbevallás és a vagyonosodás kérdésköre. Tudjátok, ha nem kerestem annyit, akkor miből vettem mégis meg? Ügyeskedünk, eltagadunk, elérünk, befolyásolunk. Látszólag.

Szerintem sem Európában sem az USA-ban nincs olyan ember, aki ne kapott volna már kéretlen levelet postán vagy e-mail-ben. Nincs olyan Internet felhasználó, aki ne szenvedett volna meg már egy vírus-támadással, aki ne gondolná úgy, hogy a számítógépét a hacker-ek támadják, vagy aki ne használna lopott, feltört programokat, aki ne ismerné a fájlmegosztó szolgáltatások működését. Vannak olyanok, akik annak tudatában neteznek, hogy úgyis anonim hálózatokon keresztül létesítenek kapcsolatokat, komoly tűzfaluk, antivírus rendszereik vannak, meg egyébként is, kinek számítana az ő adatuk, úgy sem érdekel senkit, nem akarja azt tőlül ellopni senki. Hát, azt kell mondjam, nem is kell ellopni.

Már megszületésünk előtt elszivárognak személyes adataink tőlünk. Nincs ráhatásunk arra, hogy az ultrahang vizsgálat során szeretett anyánk megadja nevünket, súlyunkat, nemünket, várható születési dátumunkat egy adatbázisba, hiszen ő abban motivált, hogy ezek az adatok ott létezzenek. Ezzel együtt megszületik az ADATTEST-ünk. Előbb, mint hogy mi magunk a világra jöjjünk. Azután jön a népesség nyilvántarás, az első fotó, amit apánk azonnal meg is oszt a barátaival a social network-on. "Hát nem gyönyörű ez a gyerek, ki kér, én ilyet tudok!" Anya a gyerekruha boltban kismama-kedvezménnyel vásárol, pontgyűjtő-kártyával, az jó. Oda autóval megy, amit apa hitelből vásárolt neki, az is jó. Tankolásnál is gyűjtik a pontokat, majd jók lesznek másra, valami nagyon szükségesnek látszó dologra. Útközben beugranak a gyorsétterembe, ahol a tankoláshoz használt pontgyűjtő kártyájukkal olcsóbban jutnak hozzá a szeméthez. Mindezzel olyan mértékben tönkretéve saját egészségüket, hogy szerencsés esetben valami örökölt allergiánk lesz csak, ami azt eredményezi, hogy egész életünk során költhetünk annak kezelésére. Mielőtt megszületünk, adattestünk már bekódolt költségvetéssel bíbelődik. A lakást persze hitelből újították fel, szerencsés esetben nem 25-30 éves futamidővel, mert ha igen, születésünk pillanatában már adósság állományunk is lesz. Örökölve. Aztán bölcsi, ovi, úszás, tenisz, számítógép, iskola, tábor, orvos, felvételi, vizsga, érettségi, orvos, felvételi, hitel, főiskola, diploma, munkahely, hitel, lakás, hitel, autó, biztosítás, nyugdíjpénztár, orvos, házasság, pszichológus, gyerek,  keresztelő, orvos, hitel, válás, hitel, temetés, új házasság, orvos... Ebben a folyamatban a rólunk idegen adatbázisokban elhelyezett adatmennyiség csak duzzad, nincs ráhatásunk arra,  ki mit  és hogyan tárol el. Kötelezően ki kell töltenünk a regisztrációs űrlapokat ahhoz, hogy egyátalán szóba álljanak velünk. Ehhez aztán oly mértékben szokunk hozzá, hogy már fel sem tűnik, mi az amit feltétlenül meg kell adnunk és mi az az információ, amit nem kellene, de úgy érezzük muszáj ahhoz, hogy érdekesek legyünk, hogy számítsunk valakinek. Az impulzusok, behatások számának emelkedésével fordított arányban lesz az információ értékéről, bizalmasságáról kialakult tudatosságunk. Olyan mennyiségű információt kell feldolgoznunk, kezelnünk, értelmeznünk, hogy elvész a fontossága. Nem is értelmezzük, nem tartjuk fontosnak, hisz kit érdekel?

Mindenkit, aki az információból él. A bankokat, szolgáltató cégeket, állami intézményeket, ipar vállalatokat. Miért? Mert kell nekik a pénzed. Azt akarják elérni, hogy ne tudj nélkülük létezni. Ahhoz, hogy Ők hosszú távon létezhessenek, téged is és a gyerekeidet is "csapdába" kell hogy csalják. El kell veled hitetniük, hogy az életed csak úgy teljes, ha fizetsz a szolgáltatásaikért. Mindez csak úgy fenntartható, ha ismernek téged, a szokásaidat, a szükségleteidet. A RENDSZER felépíti a profilodat és annak megfelelően viselkedik, így tud csak befolyásolni annyira, hogy nem fogsz tudni nélküle létezni. Mindezt az adattested ismeretében teszi, amit pedig te építesz, mert abban vagy motivált. Sakk-matt.
Ismerik a jövedelmedet, a személyes adataidat, az érdeklődési körödet, a munkahelyedet, a baráti kapcsolataidat. Mit eszel, mit iszol, a betegségeidet, a fizikai tartózkodási helyedet. A legszebb az egészben, hogy a RENDSZER meg tudja mondani előre, hogy hol leszel és mit fogsz csinálni ott. Az aki ezt átlátja, elképesztő dolgokra lesz képes. Például küld neked egy hamis elektronikus levelet a bankod nevében, amiben közli veled, hogy adatot kell egyeztetned, mert nem stimmel a bankszámlád. Megijedsz, hogy veszélyben a pénzed? Meg. Máris motivált vagy felhívni a levélben megadott telefonszámot, vagy meglátogatni azt a weboldalt, amit elküldtek. Felhasználónév, jelszó, egyenleg... Ismerős? Gondolom igen.

Mégvalami. Rengetegen örülnek annak, hogy a budapesti aluljárókban betiltották a dohányzást. Csodás. Mit gondoltok, az ennek ellenőrzésére kialakított kamera-rendszer dohányfüstre aktiválódik? Persze hogy nem. A nemdohányzókat ugyanúgy rögzíti.