Mikko Hyppönen: még nincs kiberháború, de lesz!
A múlt héten zajlott Hacktivity biztonsági konferencia előtt a HWSW az F-Secure kutatási vezetőjével, Mikko Hyppönennel ült le egy rövid beszélgetésre. Az egyik legismertebb biztonsági szakértő 1991 óta dolgozik az F-Secure kötelékében, rendszeresen tart előadásokat, számos publikációt jegyez.
HWSW: A keynote előadásod a kiberháborúról szól.
Mikko Hyppönen: Nem, nem a kiberháborúról, a kiberfegyverkezési versenyről. Ez két külön dolog. Nem is igazán szeretem a kiberháború szót.
HWSW: Mi a különbség a kettő között?
Mikko Hyppönen: Jelenleg egy kiberfegyverkezési verseny közepén vagyunk, nem egy kiberháborúban.
HWSW: Ez egyfajta hidegháború a kibertérben?
Mikko Hyppönen: Pontosan. De nincs kiberháború. Amikor valaki azt mondja, kiberháború zajlik… hogy lehet kiberháború, ha nincs háború? Hogy lehet a Stuxnet háborús cselekmény, amikor az Egyesült Államok nem üzent hadat Iránnak? Ha nincs háború, ne beszéljünk háborúról. Ugyanakkor, vannak kibertámadások, zajlanak az elektronikus térben elkövetett szabotázsakciók és zajlik a kiberfegyverkezési verseny és majd lesz kiberháború is. De egyelőre nincs.
HWSW: Honnan fogjuk tudni, hogy kiberháború zajlik?
Mikko Hyppönen: Ha háború tör ki két műszakilag fejlett ország között, akkor zajlik majd hagyományos hadviselés és lesznek egymás ellen indított online támadások is. Na, az lesz a kiberháború. De ez még nem történt meg.
HWSW: És az orosz-észt konfliktus?
Mikko Hyppönen: Ott nem volt háború. Oroszország sosem üzent hadat Észtországnak. És a támadásokat sem az orosz kormányzat követte el, hanem orosz bandák. Ez bandaháború volt, nem háború.
HWSW: Az előadásod arról szó, hogyan jutottunk el idáig és van-e kivezető út.
Mikko Hyppönen: Igen. Úgy jutottunk ide, hogy a kormányzatok végre felismerték az internet jelentőségét. Amikor az internet megszületett, úgy húsz évvel ezelőtt, a kormányok, a politikusok nem törődtek vele, nem értették, nem látták meg a jelentőségét. Aztán rájöttek, mennyire fontos is ez, és mára a kormányok minden szinten érintettek a kibertérben zajló offenzív cselekményekben. A rendőrség trójai programokat és backdoorokat használ a nyomozások során, a hírszerzés egyre többször kémkedik trójaiak és backdoorok segítségével, és persze ott a katonaság is. Szóval a kormányzatok egyre jobban belefolynak ebbe.
Kimászni viszont nem lehet ebből, ez a jövő. Minden jövőbeli fegyveres konfliktusnak lesznek online elemei is. De azt is látni kell, hogy a megfigyelés, a kémkedés nem háború. Ez a hétköznapi élet része, jelenleg is biztosan vannak Budapesten kémek, pedig az ország nem áll hadban senkivel. A kémkedés jelentősége persze felértékelődik háború idején, de békében is zajlik, most is.
HWSW: Mi a módja annak, hogy a legkisebb legyen a kibertevékenység által okozott, nem katonai kár?
Mikko Hyppönen: (gondolkodik) Ez kemény dió, és már láttunk is ebből problémákat. A Stuxnet például, aminek Iránt kellett volna támadnia, elszabadult és világszerte számítógépek százezreit fertőzte meg. Nagy volt a járulékos károkozás. Szerintem előbb-utóbb a kiberhadviselésnek is megszületnek a maga szabályai, ahogy megvannak a háborúknak a szabályai ma is, például hogy tilos vegyi fegyvereket bevetni vagy templomokra támadni.
A kiberhadviselés részletes szabályainak ki kell térnie arra is, hogy lehet az informatikai hadviselés fegyvereit távolról hatástalanítani, vagy hogy a támadó kódoknak egy idő után ártalmatlanná kell válnia, hogy ne fertőzzenek örökké - a Stuxnetben egyébként volt ilyen időzítés, 2012-ben leállt. Feltehetően arra is lesz szabály, hogy a hadviselő felek ne álcázhassák magukat másoknak. A harci repülőgépekre is van felségjelzés festve, szerintem a kiberfegyverekkel is hasonló lesz a helyzet. Például minden kiberfegyvert kötelező lehet aláírni egy ismeretlen publikus kulccsal, így mindenki tudhatná, hogy egy kiberfegyverről van szó, amiről nem tudjuk, kié. És a konfliktus után az érintett fél bemutathatná a publikus kulcshoz tartozó privát kulcsot, bizonyítva, hogy az adott kód az övé.
HWSW: De miért tennék meg ezt?
Mikko Hyppönen: Mert ezt írnák elő a szabályok. Nem szeretnék ezt megtenni, mint ahogy egyes országok valószínűleg szeretnének vegyi fegyvereket bevetni, de tudjuk, hogy ez nem jó ötlet, és megegyezés született arról, hogy ez nem történhet meg. Ugyanez lehet a helyzet itt is. Még nincs ilyen megállapodás és talán nem is lesz, de valami hasonlóról tárgyalni kellene.
HWSW: Alapszabály, hogy nincs biztonság bizalom nélkül. De vajon kiben bízhat ma egy felhasználó? Azért kérdezem ezt, mert az utóbbi hónapokban eléggé megváltozott a biztonságról alkotott közhangulat, ahogy nyilvánosságra került a PRSIM-ügy például. Szóval, kiben bízhatunk? Megbízhatunk még a szoftvercégekben például?
Mikko Hyppönen: Valakiben meg kell bíznod. Nem használhatsz egy számítógépet anélkül, hogy meg ne bíznál a hardver és a szoftver gyártójában. De alaposan meg kell válogatnod, kiben bízol. Néhány éve az emberek vakon megbíztak bármelyik cégben, egyáltalán nem foglalkoztak azzal például, hogy melyik országban van egy szoftver gyártója. Ma már a PRISM-nek és a hasonló incidenseknek köszönhetően az emberek egyre többet foglalkoznak ezzel.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Sok olyan emberrel beszélek manapság, akik nem akarnak amerikai szoftver vásárolni, nem akarnak egy NATO-országtól vásárolni, beleértve Magyarországot is, nem akarnak orosz szoftvert, kínait és izraelit sem. Mi maradt? Például Svájc, Svédország, Finnország. Egész sok ázsiai ügyfél jön hozzánk olyan kérdésekkel, hogy az országunk tagja-e a NATO-nak, vagy szovjet tagköztársaság voltunk-e. Ilyen kérdéseket korábban sosem tettek fel. Ez a változás egyébként nagy lehetőség a semlegesebb országok szoftvercégei számára.
HWSW: Megbízhatunk-e még a hálózati szolgáltatókban?
Mikko Hyppönen: (gondolkodik) Igen is és nem is. Ha kommunikálni szeretnél, meg kell bíznod egy szolgáltatóban, hogy biztosítsa számodra az elérést. De nem bízhatod rájuk a titkaidat, erről magadnak kell gondoskodnod, például titkosítással. De bíznod kell abban, hogy az adatcsomagokat célba juttassák, de ezzel nem nagyon szokott probléma lenni, célba juttatják őket. Az nem biztos, hogy nem akarnak majd beléjük is nézni, de ezt magad is kezelheted. Bíznod kell magadban!
HWSW: És mi van az online szolgáltatókkal, például a felhőszolgáltatókkal?
Mikko Hyppönen: Ha felhőt használsz, vakon meg kell bízzál a szolgáltatóban. Gondosan kell kiválasztanod, melyik szolgáltatóra bízod magad, mert bemondásra el kell hinned, amit ígér. Nem tudsz megbizonyosodni arról, valóban titkosítva tárolja-e az adatokat vagy valóban törli őket, ha te törlöd őket. Charlie Miller (a Hacktivity egyik keynote előadója – a szerk.) a Twittertől van, a Twitterről pedig tudjuk, hogy valójában nem törlik az üzeneteket. Szóval, ha valami bizalmasat töltesz fel egy felhőbe, és azt később törlöd, nem tudsz bizonyosságot szerezni arról, vajon a szolgáltató is törölte. Csak bíznod kell benne, hogy ez megtörtént. Úgyhogy óvatosan válasszon mindenki szolgáltatót.
HWSW: Megbízhatunk-e a kormányokban?
Mikko Hyppönen: Semmiképp nem bízhatsz meg a külföldi kormányokban. A külföldi kormányok nem a barátaid. Ahogy azt tudjuk, az Egyesült Államok kormányának például jogi felhatalmazása van arra, hogy beleolvasson a külföldiek leveleibe. És a világ lakosságának 96 százaléka az Egyesült Államok szempontjából külföldi. Ugyanakkor a saját kormányoddal már más a helyzet. Ők is kutakodni fognak a dolgaid között, ha valami törvénybe ütközőt csinálsz, ami rendben is van. Semmi problémám a megfigyeléssel, ha alapos ok van feltételezni, hogy valaki törvénytelen dolgot követett el. De a PRISM nem erről szól, nem a gyanús emberekről, hanem olyanokról, akik teljesen ártatlanok és senki nem is feltételezi róluk az ellenkezőjét, mégis belenéznek az adataikba. Ez a gond. Egy biankó lehallgatási parancs az egész világra.
HWSW: Egyébként te kiben bízol?
Mikko Hyppönen: Csak magamban.
HWSW: A biztonsági technológiák jól fejlettek a PC-ken, vannak jó víruskeresők vagy tűzfalak például, miért nem alkalmazzák ezeket az új eszközökön, a telefonokon, tableteken, tévéken? Úgy tűnik, mintha újra belelépnénk ugyanabba a folyóba.
Mikko Hyppönen: Az új típusú eszközök biztonsága is sokkal jobb. Ha összehasonlítod például a tíz évvel ezelőtti Windowst és a mait, a különbség ég és föld. A tíz éves Windows, az XP, biztonsági szempontból egy hulladék, a 64 bites Windows 8.1 viszont igazán jó.
HWSW: Ezt a mondatot nagyközönség előtt is vállalod?
Mikko Hyppönen: (nevet) Igen, abszolút. A Microsoft az elmúlt tíz évben nagyon sokat változott biztonsági területen. De visszatérve az eredeti kérdéshez, a mobil eszközök nagyon korlátozottak, zártak, aminek az eredménye a nagyobb biztonság. Vegyük például az iPhone-t, amin még a saját szoftveredet sem futtathatod. A saját számítógépén mindenki azt futtat, amit akar, de egy iPhone-ra nem írhatok tetszés szerinti programot és nem futtathatom. Az iPhone le van korlátozva az App Store-ban levő alkalmazások futtatására, ez az oka annak, hogy még nem láttunk igazán nagy biztonsági fenyegetést iPhone-on, iPaden vagy Windows Phone-on. Az Androiddal vannak ugyan problémák ezen a téren, de még az is sokkal zártabb, mint egy PC, ezért a biztonsága is jobb. A hátrány a nagyobb zártság, egy iPhone ilyen szempontból egy Xboxhoz vagy egy PlayStationhöz hasonlít, de az embereket ez láthatóan nem zavarja igazán, nem érdekli a többségüket, hogy meg van kötve a kezük, legalábbis amíg játszhatnak az Angry Birdsszel.
HWSW: Fogunk valaha olyan támadásokat látni, ami megváltoztatja ezt a helyzetet? Szükség lesz biztonsági szoftverekre az okosórákon, tévéken, az autókban?
Mikko Hyppönen: A támadó motivációja a legfontosabb. Egy okosóránál, vagy egy hűtőbe vagy mikrosütőbe épített számítógépnél a kérdés az: miért akarna valaki egy ilyenbe betörni, mit nyerne ezzel? Egy számítógépbe betörve megszerezhető például bankkártyaszám, pénzt nyúlhatsz le online bankokból, ez világos. De ha feltöröd az órámat (Hyppönen egy Pebble okosórát hord – a szerk.), mire mész vele? Senki sem fog egy órát feltörni, vagy legalábbis nagyon kevesen, és ők is csak a hecc kedvéért.
HWSW: Az órádat valószínű könnyű feltörni, és ha hazamész vele, vagy a céghez, fel lehet használni arra, hogy más eszközökre indítsanak támadást belőle.
Mikko Hyppönen: Igen, ez már motivációs kérdés. Ha ez kivitezhető, akkor valaki meg is csinálja. De vegyünk egy másik példát, mondjuk az autókat, amikben szintén van számítógép. Miért akarna valaki betörni ez ilyenbe? Azért, hogy ellopja az autót! Ha valaki be tud törni az autó biztonsági rendszerébe, akkor el tudja lopni az autót. Ezek teljesen eltérő helyzetek. Senki sem fog betörni a mikrosütőbe, de sokan akarhatnak betörni egy autóba. Ha megértjük a támadók motivációit, sokkal jobb képünk lesz arról, mik is a valós veszélyek és jobban fel tudunk készülni a védekezésre.
HWSW: Mit gondolsz, jelenleg milyen eszközök vannak biztonságban és mik azok, amik további védelemre szorulnak?
Mikko Hyppönen: Ahol egészen komoly gond van, az gyárak automatizációja. Nagyon sok régi rendszer van használatban, amik egyáltalán nem biztonságosak. Korábban ezek biztonságát az adta, hogy nem kapcsolódtak semmilyen hálózathoz, de egyre többet csatlakoztatnak, és ma már lehet a publikus internetről elérhető gyárautomatizációs rendszereket találni. Ezek például fűtőrendszereket, szivattyúkat működtetnek – a veszély nagyon is valós. Tíz-tizenöt évbe telhet a most használatban levő rendszerek hibáinak kijavítása, és ezek mindenhol ott vannak, Magyarországon is a vegyi üzemekben, az ételfeldolgozó üzemekben, az erőművekben, ezek mind tele vannak sérülékeny rendszerekkel. Ez igen aggasztó.
HWSW: Ki akarna egy ételfeldolgozó rendszerbe betörni?
Mikko Hyppönen: Szélsőségesek, terroristák, hacktivisták, ilyenek. Ez korábban nem volt probléma, de ma egyre inkább az, és ez nagyon aggaszt engem.
HWSW: Mi más aggaszt még?
Mikko Hyppönen: (gondolkodik) Például az, hogy az emberek egyre több adatukat tárolják a felhőben, beleértve a mentéseiket is. Ez egészen új támadások számára enged utat. Vannak olyan támadások, amik letörlik vagy lezárják a rendszereket, de ezek ellen lehet védekezni és a mentésből vissza lehet állni. Ha a backup is elérhetetlen, mert a cloudban van, az igen kellemetlen.
HWSW: Rendben, de a cloudok az olcsóságuk miatt például olyanok számára is lehetővé teszik backup készítését és tárolását, akik ezt korábban nem engedhették meg maguknak.
Mikko Hyppönen: Így van. A cloudoknak vannak előnyei és hátrányai. Mi is nyújtunk cloudszolgáltatásokat az ügyfeleink számára. De alaposan át kell gondolnunk az új kockázatokat, amik akkor jelentkeznek, ha ezek az adatok elérhetetlenné válnak.