Mindig is furcsa volt, hogy nem nagyon látok diplomatákat az utcákon, csak az autóikat. Hol laknak vajon ezek az emberek? Úgy tűnik, megadódott a rejtély: a kibertérben. Még sosem láttam egyszerre ennyi diplomatát, mint a Conference on Cyberspace nevű, kiberbiztonsággal foglalkozó, először tavaly Londonban, idén pedig Budapesten megrendezett nemzetközi konferencián. Az összejövetel célja, hogy összehozza a kiberbiztonságban érdekelt feleket: az állami intézményeket, a magánszektort és a fehér kalapos, azaz a jó oldalon álló hekkereket.

A megnyitón még a politikáké volt a főszerep: az alaphangot Martonyi János külügyminiszter adta meg, aki majdnem a kerék feltalálástól kezdve mutatta be pár percbe sűrítve az internet fejlődését, a kibertér kiteljesedését, kiemelve a magyarok szerepét a folyamatban. Ezt segítették a teremben elhelyezett interaktív kijelzők, ahol a vendégek néhány angol mondatban megismerhették az informatika történetében jeleskedő magyarok munkásságát, a Magyarországon született Intel-társalapító Andrew Grove-tól az erdélyi Barabási Albert-Lászlóig.

Kisebb felzúdulást váltott ki a közönség  soraiban, hogy Orbán Viktor magyarul tartotta meg beszédét mondván, ha már Magyarországra látogattak a külföldiek, nem hagyhatják ki a magyar nyelv megismerését. Ugyan mindenki kaphatott fejhallgatót a megfelelő fordítással, sokan nem éltek a lehetőséggel, mivel feltételezték, hogy minden előadó angolul szólal majd meg. Tévedtek, bár Martonyi angol kiejtését elhallgatva lehet, hogy Orbán jól választott. Szerencsére a konferenciát jövőre a dél-koreaiak rendezik, ebben a szerepben ők is több programon felszólaltak, úgyhogy azért nem a mi hunglish kiejtésünk volt a legrosszabb.

A programokat már nem a diplomaták és a politikusok uralták, az előadásokra és a workshopokra sikeresen betört a szakma.  Programból egyébként van bőven, az előadások egyszerre több helyszínen folynak, az eligadozást segíti a konferencia mobilalkalmazás, amit a telepítések alapján nem sokan fedeztek fel maguknak.

Guy  Fawkes és plüssmaci

A volt Csodák Palotája mozitermében tartották a Gyerekek az interneten nevű workshopot. A minielőadásokat Krasznay Csaba, a HP biztonsági szakértője kezdte. A téma egészen más irányból indult, mint amire a cím alapján számítani lehetett: nem arról volt szó, hogy hogyan védhetjük a gyerekeket a kellemetlen tartalmaktól, sokkal inkább mint elkövetők kerültek a középpontba a fiatalok.

Az előadó bemutatott egy sokkoló videót a magyar Anonymous feltételezett vezetőjének házkutatásáról, ahol egymás mellett volt a polcon egy halom, az annonok jelképének számító Guy Fawkes-maszk, valamint néhány plüssmaci.

Krasznay szerint ez jól mutatja, hogy a nyugati világban is beszélhetünk gyerekkatonákról, igaz, egészen más a szerepük, mint mondjuk Afrikában, ahol konkrétan fegyvert fognak. Nyugaton szervezett bűnözői csoportok bérlik fel ezeket a fiatalokat számítógépes bűncselekmények elkövetésére, hogy aztán ők vigyék el a balhét. A statisztikák szerint nem egyedi esetről van szó, a hekkerek körében elvégzett felmérések szerint a legtöbben 10-25 évesek, első hekkelésüket pedig tizenéves korukban hajtják végre.

Pár kattintás az egész

A Buhera blog szerzőjeként ismert biztonsági szakértő, Buherátor egy rövid videón mutatta be, milyen könnyű is manapság hekkerkedni: az interneten rengeteg eszköz elérhető, nagyon sok leírás, videó mutatja be lépésről lépésre mit kell csinálni, így a nem hozzáértők, vagy a kezdő hekkerek (úgynevezett script kiddiek) valós szakmai tudás nélkül is könnyedén nekimehetnek a sérülékeny rendszereknek. Elképzelt támadásában könnyedén, pár kattintással eltérítette például a Nemzeti Média- és Hírközlési Hatóság kezdőlapját. Természetesen csak szimulációról volt szó, a valódi weboldal nem törhető fel ilyen könnyen.

Az előadók és a közönség soraiban ülő szintén szakértők megosztottak maradtak abban a kérdésben, hogy az Anonymous ilyen script kiddiekből áll, egy egyszerű márkanév, amit bárki felvehet, „néhány zseni, és egy halom idióta" csoportosulása, vagy pedig a jövő valódi veszélye, annak a virtuális szocializációnak a megnyilvánulása, amelyben ezek a fiatalok felnőnek – egyre több tudást magukra szedve, hogy aztán valódi hekkerekké váljanak. Utóbbi ellen pedig mindenképpen tenni kell valamit, érdemes ezeket a gyerekeket tanítani, terelgetni, hogy tudásukat később fehér kalapos hekkerként az információbiztonság szolgálatába állítsák.

Pécét a nappaliba

Cornelia Kutterer, a Microsoft szabályozási politikájáért felelős munkatársa szerint változóban van az, ahogy a szüleik a gyereket védik a káros tartalmaktól. Korábban a blokkolás, tiltás volt a jellemző, mára – a grafikonok alapján körülbelül attól függően, alapjaiban mennyire demokratikus egy ország – sokkal kifinomultabb szülői módszerek jellemzőek, ehhez próbál alkalmazkodni a Microsoft is az újabb operációs rendszereiben.

Inkább a tartalomszűrés felé mozdultunk el, ami nem csoda, hiszen manapság már nem lehet egész oldalakat tiltani, gondoljunk csak a Facebookra, ami alapvetően megbízható, mégis megjelenhet rajta nem kívánt dolog – persze, oda elvileg nem is lehetne 13 év alatt regisztrálni, de ezt a környezetemben senki nem tartja be. A technológiai korlátozások nem mindig célravezetőek, vannak sokkal egyszerűbb módszerek is: ha például a számítógép a gyerek szobája helyett a nappaliba kerül, a szülő könnyedén szemmel tarthatja, mi folyik a monitoron.

A beszélgetésben felmerült, hogy mégis ki és hogyan felelős a gyerekek internetes tartalomfogyasztásáért: több gyakoroló szülő megjegyezte, hogy egyszerűen nem tudnak lépést tartani a technikai fejlődéssel, saját gyerekük pillanatok alatt lekörözi őket. Igazi megoldást helyben nem találtak a problémára, Buherátor annyit tudott hozzátenni, hogy a tartalomszűrő programok megkerülése kiváló kezdőélménye a hekkerpalántáknak.

Ki fizet a biztonságért?

Nagyobb lélegzetű workshopot tartottak a konferencia keretein belül az úgynevezett kritikus infrastruktúra védelméről, melynek magyar vonatkozásaival már korábban foglalkoztunk. A rendezvényen több nemzetből egy asztalhoz ültek a kormányzat, a privát szektor és a kiberbiztonsági cégek képviselői – nagyjából ez a három terület fedi le az egyébként nem igazán definiált, de mindenképpen védendő kritikus infrastruktúrát.

Míg Magyarországról tudjuk, hogy a nemzetbiztonsági szempontból is veszélyt jelentő intézmények, hálózatok, épületek (például erőművek, gázvezetékek, állami weboldalak) nagy része állami kézben van, addig Bruce McConnell, az Amerikai Egyesült Államok Biztonsági Hivatalának (Department of Homeland Security) egyik képviselője elmondta, hogy náluk a kritikus infrastruktúra 70 százaléka magánkézben található. Ez pedig felvet egy sor kérdést: ki felelős a védelemért, mit kell védeni és mindezt ki fizeti? Nagyjából az összes előadó ezeket a kérdéseket járta körbe saját szemszögéből, a legjobban talán mégis a Homeland Security képviselője fogta meg a témát.

Ők rengeteg biztonsági figyelmeztetést és javítást küldenek ki a rendszerüzemeltetőknek, mert önmagukban egyszerűen nincs kapacitásuk a cégeknek a megfelelő védelem garantálására. Ráadásul az is nyitott kérdés, kinek kellene a költségeket állni. McConnell a rakétavédelmi rendszerhez hasonlította a témát: az biztos, hogy a való világban nem a General Electricsnek kell kiépítenie saját védelmi rendszerét, hiszen az sokkal nagyobb költség, mint amennyibe egy elszenvedett támadás kerül, sőt az sem biztos, hogy esetleg egy elpusztított gyár a kritikus infrastruktúra egész nemzetre kiható sérülése.

A baj az, hogy a digitális világban egész más arányokról van szó: az államénál jóval kisebb költségvetéssel rendelkező cégeknél, például telekommunikációs vállalatoknál üzemelhet olyan infrastruktúra, aminek a kiesése már nemzetibiztonsági kockázat, gondoljunk csak bele, milyen pánik van, amikor valamelyik itthoni mobilszolgáltató pár óráig nem üzemel. A szakemberek végül nem jutottak megnyugtató konszenzusra, de a beszélgetések folytatódnak még a pénteki napon is, amiről szintén beszámolunk majd.