W W W. I T - S E C U R I T Y. H U I I. É V F O LYA M 7. S Z Á M 2 0 0 5. S Z E P T E M B E R 2 0. IT-SECURIT Y SPECIAL A Z INFORMATIK AI BIZTONSÁG NAPJA A Z I T - B U S I N E S S M E L L É K L E T E 12. OLDAL A világhálón nincsenek határok Mindenre felhasználják 28. OLDAL Céges csevegés Vállalati gyorsüzenők Fehérgallérosok nyomában 41. OLDAL Bonyolultat, egyszerűen Mindennapi kriptográfia Kiberbûnözés, számítógépes bûnözés, hi-tech bûnözés nyomozás, felderítés, bizonyíték 14. oldal
IT-SECURITY 2005. SZEPTEMBER 20. V E Z É R C I K K A SORREND: VETÉS, ARATÁS Legtöbben csak akkor szereltetik fel a lakásriasztót, amikor már betörtek hozzájuk. Az ember csak akkor döbben rá, hogy milyen törékeny dolog a biztonság, amikor elönti a spamáradat, vagy éppen megcsapolják a bankkártyáját. Egy-egy szerverfeltörés vagy kártyacsalás hírét jól felkapja a média, de legalább ilyenkor foglalkozik a biztonság kérdéseivel. Nos, szeptember utolsó hetében nem kell semmi botrányos dolognak történnie ahhoz, hogy az információbiztonság garantáltan a középpontba kerüljön. Merthogy az a hét lesz az informatikai biztonság nagyhete, lokális és nemzetközi szinten egyaránt. Az Informatikai Biztonság Napja címû konferencia más okból is kivételes rendezvénynek számít. Mert az összefogás a lényege. Illetve majdnem. Vannak ugyanis néhányan a biztonság felkent szállítói közül, akik rájöttek: ezen a területen is hirdetni kell az igét és növelni a piaci tortát. Vagyis a nagy összeborulás hátterében nem az önzetlenség áll, hanem a jól felfogott üzleti érdek: csak egy nagyobb tortából tudnak egyre nagyobb szeleteket kihasítani maguknak. Bevallom, épp ezért nem értem, hogy miért nem sorakozik fel valamennyi meghatározó IT-biztonsági szállító a kezdeményezés mögé. Hisz máskor, más témákban oly gyakran hangoztatják az összefogás szükségességét. Aki nem emeli jelenlétével az esemény rangját, óhatatlanul lemarad valamirõl. Leginkább azokról az ügyfelekrõl, akik az õ potenciális ügyfelei is lehetnének. A felhasználók is veszítenek: nem találkozhatnak a távol maradók megoldásaival. Az IT-SECURITY mindenesetre ott lesz a kiadvánnyal a konferencián. Mind a hazain, mind a nemzetközin. Sziebig Andrea fôszerkesztõ 3
IT-SECURITY 2005. SZEPTEMBER 20. T A R T A L O M T E R M É K H Í R E K C Í M L A P O N E S Z K Ö Z T Á R K O M M U N I K Á C I Ó 6 Ellen-elixír 7 Incidenstõl szabályzatig 8 Hibajelentés: sajnálatos bõség 10 Kémprogramok mindenhol 10 Egy csomagban 10 Lyukak a tûzfalon 11 Terjednek a webkártyák 11 Ellopott személyiségek 11 Rekordméretû növekedés 11 Kreatív féreg Fehérgallérosok nyomában 20 Egy projekt tanulságai Nemcsak az atomhulladék-probléma 22 Fizetni a neten Látatlanban üzletet kötni nem könnyû 24 Ellentmondásosak a követelmények Szigorúbb szabályok kellenének 26 Támadások aktív eszközökkel A WEP-használók gondjai 28 Céges csevegés Vállalati üzenõrendszerek kockázatai 30 Fejet a homokba? Hurrikán előtt és után M E N E D Z S M E N T M E G K É R D E Z T Ü K 12 A világhálón nincsenek határok Garamvölgyi László rendõrezredes, rendõrségi fõtanácsos, szóvivõ A számítógépes bûnözés akkor is létezõ valóság, ha gyakran az elkövetõ kiléte is titokban marad, sõt néha még maguk az áldozatok sem sejtik, hogy célpontokká váltak. A méretek és az okozott károk tekintetében csak becslésekre szorítkozhatunk. Az elkövetõk nincsenek lépéselõnyben, mert a bûnüldözõ szerveknek is vannak képzett szakembereik és más okos eszközeik. 14. oldal 25 Ki és hogyan lehet igazságügyi szakértő? Hosszú egyeztetés után elkészült a törvény IT-SECURITY SPECIAL AZ INFORMATIKAI BIZTONSÁG NAPJA 32 Erõsíteni a tudatosságot! 35 Mi kell a biztonsághoz? 36 A nyugodtabb jövõért E S E M É N Y N A P T Á R 39 Szeptemberi rendezvények 40 Oktatás, tanfolyamok Budapesten 40 Minõsítések: CBCP Egy négyszintû rendszer fõ tanúsítványa 41 Bonyolultat, egyszerûen Mindennapi kriptográfia 42 Mit olvas a szakértõ? Nyomtatott információk 5
T E R M É K H Í R E K 2005. SZEPTEMBER 20. SPAMTARTALMAK IT-SECURITY Ellen-elixír Júniusi és augusztusi spamstatisztikák. Két év leforgása alatt alaposan átalakult a világhálón keringő kéretlen levelek összetétele. Miközben lényegesen csökkent a pornográf tartalmú spamek aránya, az egészségügyi és pénzügyi leveleké megkétszereződött, és dömpingszerűen jelentek meg, majd tűntek el felkapott spamtémák. Nem véletlen a pornográf spamek számának csökkenése, hiszen már a legalapvetőbb spamszűrők is képesek kiszűrni a szexuális témájú képeket, a hiteles levélnek álcázott egészségügyi levélszemetet viszont nehezebb észlelni. Jellemző a kéretlen levelek forgalmára, hogy bizonyos témák egy-két hónapig jelen vannak, aztán szinte nyomtalanul eltűnnek. Májusban a kutyatartással kapcsolatos spamek jelentek meg tömegesen, júniusban pedig a szivart és egyiptomi lepedőt kínáló levélszemét szaporodott, de előkelő helyet szereztek a Clearswift-féle Spam Indexen a másolt ékszereket, órákat és ruhákat ajánló spamek is. 2005 augusztus (százalék) Szerencsejáték (0,2) Pornográfia (4,8) Egyéb (5,49) Csalás (1,9) Spamhez kapcsolódó (0,3) Közvetlen termékajánlat (13,99) Pénzügy (31,17) Egészségügy, gyógyszeripar (41,36) (Forrás: Clearswift) Augusztusban a Magyarországon is bemutatott Batman: Kezdődik! és A fantasztikus négyes című filmek hatására világszerte elárasztotta az elektronikus postafiókokat az emberek titkos vágyainak beteljesítését ígérő levélszemét. A spamküldők hosszabb életet, tökéletes testet, emberfeletti képességeket ígérve ajánlgattak varázsérméket. Ha varázselixírekhez nem is, rosszindulatú kódokhoz, kémprogramokhoz könnyen hozzájuthatnak a kéretlen levelek hiszékeny olvasói mutatott rá Fórján Tamás, a 2F 2000 Kft. műszaki igazgatója. Ismét volt új slágertéma: augusztusban a szerencsejátékokat ajánló reklámlevelek száma nőtt ugrásszerűen. Ez az iparág igencsak jövedelmezőnek számít: az online játékokat kínáló PartyGaming cég és a hozzá hasonló vállalkozások saját állításuk szerint naponta 1,4 millió dollárt keresnek szolgáltatásaikkal. Ám az ártatlanabbnak tűnő levelekkel szemben sem árt az óvatosság: a vírusok és kémprogramok gyakran használnak spamet a terjedéshez. Kelenhegyi Péter
IT-SECURITY 2005. SZEPTEMBER 20. T E R M É K H Í R E K Incidenstől szabályzatig Megbízható informatikai rendszerek üzemeltetőinek sem árt felkészülniük a rendszer működési biztonságát megingatni képes incidensekre. Nagyobb szervezeteknél naponta néhány száztól néhány ezerig terjedhet az incidensek például vírustámadások, belső adatlopási kísérletek száma. Mégis alig akad olyan szervezet, ahol az eseményeket központilag, szigorú eljárásrend szerint kezelnék. Jobbára csak egy-egy részrendszer jelzéseit kísérik figyelemmel, és a jelzések feldolgozása, a szükséges reakció is esetleges, így könnyen előfordulhat, hogy a kivédettnek hitt kockázatok egy része továbbra is fennáll számolt be tapasztalatairól a Kürt Rt. A cég vizsgálatai kimutatták, hogy a biztonsági rendszert üzemeltetők gyakran komoly behatolási kísérletekre sem reagálnak. Ezen a gyakorlaton segít változtatni a Kürt Security Awareness Test (SAT) szolgáltatása, amellyel feltérképezhető a biztonsági rendszerek ingerküszöbe, Gyakran teljes jogosultságot kell adni a felhasználóknak IRATMENEDZSER A működési, üzemeltetési szabályzatok zökkenőmentes bevezetése, működtetése érdekében dolgozta ki a Kürt a DocMan dokumentum-kezelő szoftvert. Ennek menedzsmentfunkciói révén tetszőlegesen alakítható a dokumentumok életciklusa és különböző feladatok, felelősségek és határidők rendelhetők a munkafolyamatokhoz, így minimálisra csökkenti az emberi tényező hibalehetőségét. vagyis az, hogy milyen támadási szint vagy incidens vált ki intézkedést a kezelőkből. Készenléti vizsgálat Első lépésként a cég szakemberei egy adott forgatókönyv szerint próbára teszik a védelmi vonalakat; a forgatókönyvet egy lezárt borítékban átadják a megrendelőnek, hogy később össze lehessen vetni a tesztpróbálkozásokat a biztonsági rendszer naplóállományaival. A szakemberek az eredmények alapján tesznek javaslatot a további teendőkre. Tapasztalataik szerint a módosítások után célszerű megismételt vizsgálattal ellenőrizni a változtatásokat, ugyanis a megelőző és összegző vizsgálatok eredményeinek összehasonlításával egyértelműen mérhető a biztonsági szint emelkedése. Elektronikus páncélszekrény Biztonsági statisztikák szerint az adatlopási kísérletek, támadások zöme belülről indul; eszközeik a hajlékonylemez-, cd-, dvd-meghajtók, az usb, infravörös, bluetooth vagy hálózati csatlakozók. Ezekkel egy-egy őrizetlenül hagyott számítógépről pillanatok alatt hatalmas adatmennyiséget másolhatnak le a sértődött vagy haszonleső alkalmazottak. Esélyeiket növeli, hogy a felhasználóknak gyakran teljes hozzáférési jogosultságot kell adni a vállalati információk egy meghatározott körére, ha ez a munkájuk elvégzéséhez szükséges, az operációs rendszerek jogosultságkezelése pedig az arra nem jogosultak számára is lehetővé teszi az információmásolást. A Kürt-féle elektronikus páncélszekrény, a DataDefender használatával azonban bármely felhasználói munkaállomáson megakadályozható az illetéktelen adathozzáférés. A kliens szerver felépítésű, központilag adminisztrálható és menedzselhető DataDefender mindenféle adatmozgást felügyel a munkaállomás kimeneti csatlakozóin. Az adminisztrátor központi kezelőfelületen állíthatja be, mely felhasználóknak vagy csoportoknak milyen jogosultságot engedélyez. Kelenhegyi Péter
T E R M É K H Í R E K 2005. SZEPTEMBER 20. IT-SECURITY Hibajelentés: sajnálatos bõség A bõség zavarával küszködünk, és elsõsorban nem amiatt, hogy ezúttal csaknem háromhavi hibajelentéssel jelentkezünk. Kellemetlen érdekesség, hogy belefutottunk az elsõ olyan hibába, amely a Secunia skáláján a legveszélyesebb szoftverhibáknak jár. Az ilyen lyukakból eredõ károk bekövetkezéséhez a felhasználó részérõl semmiféle interakcióra sincs szükség, mindössze annyit kell tennie, hogy látogatja a megfelelõ honlapot. Az Internet Explorer szóban forgó hibájánál probléma volt még, hogy az ismertetése után egy ideig nem lehetett hozzájutni a konkrét hibát javító explicit javításhoz. Csökkentett funkcionalitással Egy csaknem kéthetes intervallumban csak olyan workaround létezett, amelynek révén csökkent a Windows rendszerek funkcionalitása. A Microsoftnál maradva fontos megjegyeznünk, hogy a WindowsUpdate és a Microsoft Update rendszerés biztonsági frissítéseit július végétõl már csak az egyébként gyorsan és zökkenõmentesen lezajló eredetiségvizsgálat kedvezõ eredménye után tölthetjük le. Ez már igaz az augusztus közepén menetrendszerûen megjelent javításokra is, amelyek közül a biztonsági vonatkozásúakat a táblázatunkban is felsoroljuk. A lista összeállításánál továbbra is a Secunia.com figyelõszolgálatának a jelentéseire támaszkodunk. A Mozilla-fejlesztõbrigád termékeinek esetében egy helyütt kénytelenek vagyunk eltérni ettõl a sémától. E sorok írásakor ugyanis valamilyen okból az egyébként igen alapos Secunia oldalain még nincs utalás a már csaknem két hónapja létezõ új (Firefox és Thunderbird 1.06, illetve Mozilla Suite 1.7.11) kiadásokra. A felsorolt termékekre mostanában egyébként is rájár a rúd lásd a legújabban felfedezett ékezetes doménnév-kezelési hibát. Barátságosabban Érdekesség, hogy amennyiben a Windows Genuine Advantage programjának keretei között letölthetõ programokat például a Microsoft AntiSpyware-t szeretnénk a Microsoftról letölteni, akkor már nemcsak ActiveX-vezérlõs ellenõrzésre van lehetõség az eredetiségvizsgálathoz, így az Internet Explorertõl eltérõ böngészõt is lehet használni. A Microsoft weboldalai az utóbbi idõben egyébként barátságosabban viselkednek más böngészõkkel. Kelemen László FELFEDEZETT HIBÁK ÉS JAVÍTÁSAIK Szoftver Secuniaazonosító Osztályzat (1 5)* Leírás Javítás módja és elérhetősége Böngészők Internet Explorer 5.01, 5.5 és 6.x 16480 4 Internet Explorer 5.01, 5.5 és 6.x 16373 4 Internet Explorer 5.01, 5.5 és 6.x 15891 5 (!!!) A Microsoft Visual Studio 2002, Microsoft Access 2002, Microsoft Office XP szoftverekkel települő msdds.dll COM-objektumnak a felsorolt böngészőkből történő hívásakor jelentkező hiba veszélyezteti a rendszert. Az Internet Explorer három problémája CSS-támadásokat tesz lehetővé, illetve veszélybe sodorhatja a rendszert. A Microsoft Java Virtuális gép javaprxy.dll COM objektumának hibáját kihasználva egy rosszindulatú behatoló felhasználói beavatkozás nélkül is tetszés szerinti kódot futtathat a számítógépen. Az ActiveX-vezérlők használatát a megbízható webhelyekre kell korlátozni. További megoldási lehetőségek találhatók a http://www. microsoft.com/technet/security/advisory/906267.mspx, illetve a http://support.microsoft.com/kb/906267 oldalakon. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16373/ címen szereplő listából. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/15891/ címen szereplő listából. Internet Explorer 6.x és 5.x for Mac, Opera 7.x, 8.x, Safari 1.x, 2.x, icab 2.x, Camino 0.x, Mozilla Suite 1.7.x és Firefox 0.x, 1.x 15491, 15492, 15488, 15474, 15477, 15489 2 A böngészőkben a JavaScript párbeszédablakok akkor is megbízható eredetűnek tűnhetnek, ha valójában nem azok, mivel nem látszik a kiindulási helyük. A javítások megjelenéséig ne látogassunk megbízhatatlan weboldalakat! Mozilla Suite 1.7.x, Firefox 1.x, Netscape 7.x és 8.x 16764, 16766, 16767 4 Az ékezetes doménnevek kezelési hibája puffertúlcsordulási hiba okozása révén veszélyeztetheti a rendszert, és rosszindulatú kód futtatását teheti lehetővé. Az about:config URL megadásával vagy a prefs.js konfigurációs állomány közvetlen szerkesztésével FALSE-ra kell állítani a network.enableidn paraméter értékét. 8
IT-SECURITY 2005. SZEPTEMBER 20. T E R M É K H Í R E K FELFEDEZETT HIBÁK ÉS JAVÍTÁSAIK (FOLYTATÁS) Szoftver Böngészők (folytatás) Mozilla Suite 1.7.x, Firefox 1.x, Thunderbird 1.x, Netscape 8.x Windows Secuniaazonosító Osztályzat (1 5)* x 4 Microsoft Windows 2000, 2003 és XP 16372 3 Microsoft Windows 98, Millennium, 2000, 2003 és XP 16354 3 Microsoft Windows 2000, 2003 és XP 16071 3 Microsoft Windows 2000, 2003 és XP 16368 2 Microsoft Windows 2003 és XP+SP2 16356 3 Leírás A felsorolt termékek stabilitási és biztonsági problémái miatt javasolt áttérni minden operációs rendszer alatt a Mozilla Suite 1.7.11, a Firefox 1.06 és a Thunderbird 1.06 verziószámú változatokra, illetve a 8.03.3- as Netscape-re. Az operációs rendszerek plug and play szolgáltatásának hibája puffertúlcsorduláshoz és jogosulatlan privilégiumok megszerzéséhez vezethet. A TAPI (telefonos alkalmazások programozói felülete) szolgáltatás hibája jogosulatlan privilégiumok megszerzéséhez és a rendszer veszélyeztetéséhez vezethet. A Távoli Asztal Elérés szolgáltatás hibája DoS-támadásokhoz, illetve rendszerösszeomláshoz vezethet. A Kerberos-mag két hibája miatt DoS-támadásokat lehet előidézni, szenzitív információkhoz lehet hozzájutni, távolról le lehet állítani egy domain controllert, illetve el lehet maszkolni a rosszindulatú támadó azonosságát. A nyomtatásokat sorbaállító rendszer pufferkezelési hibája DoS-támadásokhoz vezethet. Mac OS X 16449 4 Az operációs rendszer többszörös biztonsági hibája. Adobe Adobe Acrobat 5.x, 6.x, 7.x és Adobe Reader 5.x, 6.x, 7.x 16466, 15827 Adobe Acrobat Reader 5.0 Linux/Unix 15934 4 Linux 3 A szoftverek (Mac OS X is!) különféle változatainak problémái többszörös biztonsági kockázatot jelentenek. UnixAppOpenFilePerform puffertúlcsordulási hiba: Linux, Unix és Solaris alatt speciálisan kezelt pdf-dokumentummal előidézhető a puffer túlcsordulása, majd a rosszindulatú behatoló tetszés szerinti kódot futtathat a számítógépen. Debian amd64 16413 4 Többszörös (biztonsági) javítás. Linux Kernel 2.6.x 16406 3 SuSE Linux-disztribúciók 16535 4 * 5 = nagyon fontos Az XDR-tömbök kezelési hibája DoS-támadásokhoz vezethet. Többszörös biztonsági javítás a SuSE Linux-mag egyes változataihoz a hibákat több Secunia-cikkely sorolja fel, összefoglalásukat az http://secunia.com/ advisories/16535/ oldal tartalmazza. Javítás módja és elérhetősége A legújabb változatok letöltése a http://www.mozilla.org címről elérhető letöltő oldalakról és a http://www.netscape. com-ról. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16372/ címen szereplő listából. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16354/ címen szereplő listából. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16071/ címen szereplő listából. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16368/ címen szereplő listából. A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16356/ címen szereplő listából. Az operációs rendszer megfelelő változatához kiadott legújabb (2005-007) javítás letöltése. Javítások letöltése a http://www.adobe.com/support/ downloads/ címről. Linux, Solaris frissítés Adober Reader 7-re; IBM-AIX és HP-UX frissítés Adobe Acrobat Reader 5.0.1-re. A javítások letöltése a http://secunia.com/advisories/ 16413/ címen szereplő listából. Frissíteni kell a kernel 2.6.13-rc1-es változatára a http:// kernel.org/ címről. A javítások letöltése YaST Online Update-ről vagy a Su- SE ftp-helyről. 9
T E R M É K H Í R E K 2005. SZEPTEMBER 20. IT-SECURITY Kémprogramok mindenhol Tíz vállalati PC-bõl nyolc spyware-rel fertõzött. Egy csomagban Bár a vállalatoknál kezdik megérteni, hogy a kémprogramok milyen komoly veszélyt jelentenek az üzleti folyamatokra, egyelõre vajmi keveset tesznek az ellenük való védekezés érdekében. A Webroot adatai szerint a kémprogramokat terjesztõ webhelyek száma meghaladja a 300 ezret. Tevékenységük eredményeképpen a vállalati PC-k merevlemezén átlagosan nem kevesebb, mint 27 programkártevõ található, és a számítógépek 80 százaléka legalább egy rosszindulatú programmal kémprogrammal, adware-rel vagy trójai falóval fertõzött. Ráadásul a beszedett digitális kórokozók egyre veszélyesebbek. Nem csupán olyan ártalmatlannak tûnõ tevékenységeket végeznek, mint a hirdetések terjesztése, de kiveszik a részüket például a komoly bûncselekménynek tekinthetõ személyiséglopásból is méghozzá sok esetben a vállalaton belülrõl. Kifinomultabb eszközök A Webroot felmérésébõl kiderül az is, hogy a különösen rosszindulatú spyware-ek száma a második negyedévben a Napjaink összetett fenyegetései ellen már nem lehet csupán egyetlen programmal védekezni. www.f-secure.hu Afelhasználók többnyire különféle gyártók biztonsági termékeit használják, s ezek együttmûködése nem a leghatékonyabb, ráadásul külön-külön kell telepíteni õket. Az F-Secure az Anti-Virus Client Security 6.0- val egyetlen csomagban kínálja a kis- és közepes méretû vállalatok asztali PC-inek és noteszgépeinek biztonságos üzemeltetéséhez szükséges valamennyi alkalmazást: vírus- és kémprogram-ellenes szoftvert, aktív tûzfalat, behatolásfigyelõt és alkalmazáskezelõt. A valós idejû vírusõr nem csupán a merevlemez és a memória tartalmát figyeli, hanem kiszûri a levélben érkezõ kártevõket is. A digitális aláírással hitelesített vírusadatbázist a programcsomag naponta frissíti. Különlegesség a tûzfalas védelmet kiegészítõ behatolásfigyelés, ami korábban a nagyvállalatoknál alkalmazott biztonsági megoldásokra volt jellemzõ. Antispyware-program nélkül nem lehetünk biztonságban www.webroot.com A szolgáltatás folyamatosan vizsgálja a bejövõ internetes forgalmat, és megakadályozza a kártékony kódot tartalmazó adatcsomagok bejutását a hálózatba. A programcsomaghoz tartozó F-Secure Policy Manager kezelõmodul segítségével a rendszergazda egyetlen géprõl telepítheti és felügyelheti a szoftvert. Lehetõség van a programfelület rögzítésére is, hogy a munkavállalók ne tudják kikapcsolni a biztonsági funkciókat. Tovább növeli a védekezés hatékonyságát a hálózati karanténmodul; ennek révén az olyan számítógépekrõl, amelyeken nincs frissítve az adatbázis, vagy nincs tûzfal, kizárólag a frissítéshez szükséges webhelyek látogathatók meg. kétszeresére nõtt. A kémprogramok fejlesztõi egyre kifinomultabb módszereket használnak a kártevõk elrejtésére és hatékonyságának növelésére. A kódot az operációs rendszer mûködéséhez szükséges dll állományokba ágyazzák, vagy saját eljárással titkosítják. Egyes kémprogramok megváltoztatják a Windows exe állományaihoz tartozó rendszerleíróadatbázis-bejegyzése- ket, becsapva az operációs rendszert, amely így azt hiszi, hogy mûködéséhez szükséges a spyware futtatása. Ez a technika egyúttal a kártevõ eltávolítását is megnehezíti. Többet kevéssel A rosszindulatú kódok terjesztõi arra is rájöttek, jobban járnak, ha több gépet fertõznek meg kevés kártevõvel, mint kevés gépet sok kémprogrammal. Az utóbbi esetben ugyanis a számítógép különösen kezd viselkedni, számottevõen lelassul, vagy gyakran lefagy, ami cselekvésre antispyware-program telepítésére ösztönzi a felhasználókat, ez pedig nem érdekük a bûnözõknek. Mészáros Csaba LYUKAK A TÛZFALON Fontosnak minõsített javítás tölthetõ le a Microsoft webhelyérõl a Windows XP beépített tûzfalához. A most felfedezett hiányosság következtében úgy maradhatnak nyitva egyes portok, hogy errõl a felhasználó mit sem sejt. A hiba lehetõvé teszi olyan bejegyzések elhelyezését a Windows rendszerleíró adatbázisában, amelyek révén a rosszindulatú támadók használhatják a sebezhetõ rendszer erõforrásait. www.microsoft.hu 10
IT-SECURITY 2005. SZEPTEMBER 20. T E R M É K H Í R E K Terjednek a webkártyák A kártyacsalástól félõ netes vásárlók megbízható megoldásokat igényelnek. Komolyan akadályozhatja a webes kereskedelem további növekedését az a sajnálatos tény, hogy egyre riasztóbb méretû több milliónyi bankkártyát érintõ csalásokról jelennek meg hírek a sajtóban. A megszeppent vevõk egy része elpártol a webáruházaktól, pedig létezik már egy minden tekintetben megbízható megoldás, a kizárólag internetes vásárlásokra használható, úgynevezett webkártya. Ezen mindig csupán akkora pénzösszeget helyez el tulajdonosa közvetlenül a vásárlás elõtt, amenynyit éppen el akar költeni. A T-Mobile, a Gazdasági Kutató Rt. és a Sun Microsystems a nyár folyamán végzett közös felmérése szerint hazánkban 2005. március végén hozzávetõlegesen 53 ezer webkártya volt használatban. www.tmobile.hu Megállapítható ugyanakkor, hogy a webkártyák száma még mindig elenyészõ a lakosság számához, illetve a használatban lévõ bankkártyák menynyiségéhez képest. Mészáros Csaba REKORDMÉRETÛ NÖVEKEDÉS A legutóbbi pénzügyi negyedévre vonatkozó jelentés szerint a Symantec 700 millió dolláros bevételt ért el, ami 26 százalékkal haladja meg az elõzõ év azonos negyedévének 557 millió dolláros bevételét. A külföldrõl származóak az összes bevétel 51 százalékát tették ki, és a múlt év azonos negyedévéhez képest 27 százalékkal növekedtek. Az amerikai kontinensen (azaz az Egyesült Államokban, Latin-Amerikában és Kanadában) 25 százalékos volt a növekedés; az összes bevétel 55 százaléka innen származott. Az európai, a közel-keleti és az afrikai területrõl származott az összes bevétel 31 százaléka, itt 28 százalékos volt a növekedés. A Csendesóceán ázsiai területe és Japán 22 százalékos növekedéssel az összes bevétel 14 százalékát adta. www.symantec.hu Webkártyával biztonságosan vásárolhatunk az interneten Ellopott személyiségek Terjed a mások adataival való visszaélés. Hackerek hatoltak be két amerikai egyetem számítógépes hálózatába. Az egyik áldozatnál, a kaliforniai Sonoma Állami Egyetemen 61 709 jelenlegi és már végzett hallgató nevéhez és társadalombiztosítási számához jutottak a behatolók. Nagyobb sikerrel jártak a dallasi székhelyû Észak Texasi Egyetemen, ahol kevesebb közel 39 ezer személy adataihoz fértek hozzá, azonban az ellopott információk közé címek, telefonszámok és több mint 500 hitelkártya adatai is bekerültek. Az adatlopásokról pontos nyilvántartást vezetõ Privacy Rights Clearinghouse által közzétett információk szerint az utóbbi fél évben több mint ötvenmillió (!) amerikai állampolgár adatai kerültek illetéktelen kezekbe. Kreatív féreg Onnan jönnek, ahonnan a legkevésbé számítunk rájuk. Vajon ki gondolná, hogy az újonnan vásárolt mp3-lejátszó számítógépünkre csatlakoztatása komoly biztonsági kockázatokkal jár? Márpedig a Creative cég Zen Neeon névre hallgató hordozható zenedobozánál pontosan ez történt. www.creative.com A gyártó most ismerte el, hogy a nyár folyamán egy 4000 darabos japán szállítmány olyan szolgáltatást tartalmazott, amelyre egyetlen vásárló sem vágyott. A meglepetés a jó öreg Wullik.b nevû féreg volt, amely 2003-ban jelent meg elõször Még egy mp3-lejátszó esetében sem árt az óvatosság az e-mailekben. Szerencsére a Neeon állományrendszerébe beépült féreg csak akkor fertõzte meg a lejátszóhoz csatlakoztatott PC-t, ha a felhasználó átböngészte az állománylistát, és a fertõzött állományra kattintott. Az 5 gigabájtos merevlemezzel ellátott Zen Neeonok szállítását mindaddig felfüggesztette a Creative, amíg le nem zárult az a vizsgálat, amely azt igyekszik feltárni, hogy miként történhetett meg a fertõzés. 11
M E G K É R D E Z T Ü K 2005. SZEPTEMBER 20. IT-SECURITY Garamvölgyi László rendőrezredes, rendőrségi főtanácsos, szóvivő A világhálón nincsenek határok FOTÓ: IT-SECURITY Amit bűnös tevékenységre fel lehet használni, azt fel is használják vallja a rendőrség szóvivője. Nincs ez másként az internettel sem. Persze a pandúrok az új technológiai frontokon is felveszik a küzdelmet a rablókkal. Mióta és mekkora erőkkel dolgozik a magyar internetrendőrség? Fontos hangsúlyozni, hogy valójában nem valamiféle rendőrségről van szó a rendőrségen belül, hanem egy internetfigyelő csoportról. Hatósági jogosítványokat nemrégen idén július 1-jével kapott ez az egység; csak azóta folytathatnak önállóan nyomozást. Korábban csak megfigyelést végeztek, s átadták az észlelt ügyeket az illetékes nyomozó szervnek. Most már kintről is jönnek hozzánk tanulni Tudni kell, hogy az államigazgatási szervek közül elsőként, még 1999-ben a rendőrségnek lett honlapja. Az új interaktív csatorna megnyílásával elkezdtek befolyni a jelzések tartalomszolgáltatóktól, polgároktól és intézményektől egyaránt. Így 2000 januárjában önszorgalomból négy kolléga akkor még a kommunikációs igazgatóságon belül elkezdte figyelni a bejelentett tartalmakat. Ha bűncselekmény-gyanús elemeket találtunk, továbbküldtük a címet a területileg illetékes rendőrkapitányságnak, hogy ők vizsgálják ki az ügyet. Ez volt a mai internetfigyelő csoport őse. Most a Nemzeti Nyomozó Iroda keretében működik ez az egység, amelynek apparátusát hivatalosan 2002 elejével hívták életre. Egytől egyig számítástechnikában jártas, jogot végzett fiatal szakemberek dolgoznak itt. Egy régebbi közlemény szerint az internetfigyelő csoport munkájának kiemelt témái a gyermekpornográfia, a szélsőséges politikai nézetek terjesztése, a szellemi alkotások védelme elleni tevékenység, a tiltott termékek, anyagok kábítószer, robbanóanyagok, hamis okmányok kereskedelme és a hálózat biztonságát sértő tartalmak. Változott-e a helyzet azóta? Ma is ugyanezek a súlyponti témák. Ezek mellett persze mindig jelen vannak a napi, aktuális ügyek. A csernobili katasztrófa évfordulójának táján például a szlovákiai atomerőmű hibájával, atomkatasztrófával fenyegető köre-mail indult útnak. Sikerült is elfogni a tettest. Milyen eszközökkel és technikával dolgoznak? Ennek egyetlen részlete sem publikus. Ez egyébként a világon mindenhol így van. Az esetekről is csak akkor számolunk be nyilvánosan, ha olyan természetűek nem akarunk ötleteket adni, folyó ügyekről pedig már csak a nyomozás érdekében sem beszélhetünk. Annyit azonban elmondhatok: a kilencvenes évek elején mi jártunk külföldre tanulni most már kintről is jönnek hozzánk. Magyarországon minden technológiai haladás s ezzel együtt a velük kapcsolatos bűnözés is kicsit később következik be, mint a fejlett világban. Ennek megvan az az előnye, hogy időben megismerhetjük a külföldi tapasztalatokat, és már felkészültebben fogadhatjuk az új jelenségeket. Vonatkozik ez nemcsak a rendőrségre, hanem a szolgáltatókra, a pénzintézetekre is, amelyek szintén eleve a legkorszerűbb eszközöket szerelhetik fel, hogy védekezzenek a potenciális támadások ellen. Igaz bankkártyacsalásban, nekünk sikerült exportálnunk valamilyen módszert. Nemzetközi összehasonlításban hogy áll a magyar csapat? Hollandiában, Németországban, Nagy-Britanniában már 2000 előtt is figyelte a rendőrség az internetet. A külföldi hasonló testületek jóval nagyobb létszámmal dolgoznak nemcsak abszolút értelemben, hanem az ország méretéhez képest is. Hollandiában például húsz főt alkalmaznak erre a fel- FOTÓ: IT-SECURITY 12
IT-SECURITY 2005. SZEPTEMBER 20. M E G K É R D E Z T Ü K adatra. Ugyanakkor úgy gondolom, időben reagálunk az új kihívásokra, legfeljebb máshol nagyobb erőket tudnak erre biztosítani. És az eredmények tekintetében? Kiválóan dolgozik a hazai csapat, csupán a létszám a szűk keresztmetszet. Ráadásul a nagyobb külföldi testületek eredményei nem egyszer csalókák. Hollandiában látszólag jobb a felderítés, csakhogy ők összesen három-négy cselekménykategóriára összpontosítanak így természetes, hogy könnyebb szép eredményeket felmutatni. Általános igazság: minden országban más a jogrend, eltérőek a súlypontok, ezért nehéz az összehasonlítás. Csak két példát említenék. Az ezredforduló idején Hollandiában a könnyű kábítószerekkel nem nagyon foglalkoztak (azóta más a helyzet). Németországban a történelmi előzmények után érthetően különösen nagy figyelmet szentelnek a közösség elleni cselekményeknek, a neonáci jelenségeknek. Kábítószer, uszítás Úgy tűnik, hogy szemben a hackerbravúrkodással az internetes bűncselekmények valamilyen tartalomhoz kötődnek, legyen az kábítószert, tiltott politikai mondanivalót vagy gyermekpornográfiát ajánló weblap, üzenet vagy e-mail. Igen, csakhogy ezek már elég cizellált formában jelennek meg. Valóban külön kell választanunk a számítógépes csalás fogalmát az interneten megvalósított bűncselekményétől. Persze a törvény az előbbit a klasszikus hackertámadást is szigorúan bünteti. Ennek lényege: valaki belép egy adatbázisba, és azon változtatásokat hajt végre. Emlékezzünk csak a pár évvel ezelőtti Elender-ügyre! Ennél az interneten megvalósított bűncselekmények köre jóval tágabb. Amilyen bűncselekményfajta egyáltalán létezik, az éppúgy elkövethető az interneten, ahogy a valós életben. Az egyetlen kivétel talán a súlyos testi sértés. Fogtunk el például olyan személyt, aki nyíltan hirdette magáról a neten, hogy 80 ezer forintért egyetemi diplomát árul. Tipikus helyzet a világhálóhoz kötődő jogsértések esetében: az internet eszköze a cselekménynek, de a történet a valós világban végződik, hiszen az árusnak át kell adnia az okiratot a vevőnek. Megjegyzem, az adott eset valamennyi szereplőjét bünteti a törvény: nemcsak azt, aki az interneten hirdetett, hanem azt is, aki megvette és felhasználja, illetve azt is, aki előállította a hamis okiratot. Végül is a fizikai világ Btk.-ja érvényes a virtuális világra is. Pontosan. Legyen szó pedofil képek terjesztéséről, illegális szoftver letöltéséről vagy okirat-hamisításról, ezekben az ügyekben azért lehet eljárást indítani, mert a cselekmények szerepelnek a Btk.-ban ebből a szempontból teljesen közömbös, hogy az interneten követték el őket. Harminc esztendeje van internet az Egyesült Államokban, s szinte évente terjesztenek elő a világháló szabályozására irányuló törvényjavaslatokat. Ezeket azonban mindig lesöprik az asztalról. Nem véletlenül: az internetet nem lehet és nem is szükséges külön törvénnyel szabályozni. Magyarországon nincs is ilyen törekvés: a meglévő jogszabályokat kell alkalmazni. FOTÓ: IT-SECURITY Az internet az eszköz, de a történet a valós világban végződik Uniós tagságunkkal leomlóban vannak a hagyományos országhatárok, de gondolom, ezzel együtt az is vonzza a világhálóra a bűnözőket, hogy könnyű rajta átlépni egyik országból a másikba. Természetesen. Egy eset a közelmúltból: Olaszországban valaki pornográf sorozatot jelentetett meg egy hétéves kislányról. Az olasz rendőrség ezt észlelte, de azt is, hogy 13 másik országban is letöltötték a képeket, ezért értesítették az Europolt, s azon keresztül bennünket. A magyar Btk. szerint ez a tiltott pornográf termékkel való visszaélés bűncselekményét meríti ki aki ilyet a gépén tart, azt szabadságvesztéssel sújtja a törvény. Tizenhárom ország rendőrségének egy időben kellett akciót indítania, nehogy értesíthessék egymást az elkövetők. Magyarországon is találtunk az ügyben négy gyanúsítottat. Alig pár éve élünk együtt a világhálóval, máris valóságos iparággá vált rajta a bűnözés. Ez még csak a kezdet? Az internet-használók többsége becsületes. De a világhálón is vannak és lesznek rossz szándékú emberek. Ma egyszerűen nem látjuk azokat a távlatokat, amelyeket kriminalisztikai szempontból az internet megnyitott. Nem tudjuk, milyen elkövetési magatartások fordulhatnak elő a jövőben. Egy mobiltelefonnal és egy műholdas összeköttetéssel már ma bárkit bárhol el lehet érni. A vezetéknélküli hálózati technológia kifutása szinte beláthatatlan. Magyarországon már évek óta 400-450 ezer bűncselekmény válik ismertté. Ez viszont csak a jéghegy csúcsa. Vannak kriminológusok, akik az ismertté vált esetek háromszorosára, vannak, akik a tizenkétszeresére teszik a bűncselekmények tényleges számát. Az internetnél azonban még ilyen bizonytalan becslési kísérletek sincsenek. Sok esetet be sem jelentenek. A bankok gyakran inkább csöndben kártalanítják online bűncselekmény áldozatává lett ügyfeleiket, nehogy a biztonságukról alkotott kép csorbát szenvedjen. Abból tehát, hogy hány internetes bűneset jut a hatóság tudomására, egyáltalán nem lehet következtetni a teljes cselekményszámra. Nem valószínű, hogy bármilyen szorzó akár csak közelítené a valóságot. Ezért mondom azt: a virtuális bűnözés nemcsak a magyar rendőrség, hanem a világ minden bűnüldöző szerve számára a harmadik évezred legnagyobb kihívása. Mikolás Zoltán 13
C Í M L A P O N 2005. SZEPTEMBER 20. IT-SECURITY Fehérgallérosok nyomában A régi vágású rabló pisztollyal jár rabolni, a modern banditának laptopja van, és még csak be sem teszi a lábát a bankba. Noha van némi túlzás ebben az állításban, a számítógépes bûnözés ma már létezõ valóság. A méretek és az okozott károk tekintetében csak becslésekre szorítkozhatunk, viszont jó hír, hogy a bûnüldözõ szerveknek is vannak számítógépeik, további okos eszközeik és képzett szakembereik. Atörvénykezési és információtechnikai szakértõk között teljes az összhang abban a tekintetben, hogy a számítástechnikai eszközöket érintõ kriminológiai esetek száma meredeken emelkedik. Abban is egyetértenek, hogy az elkövetõk egyre kifinomultabb eszközöket használnak áldozataik ellen. Egy tavalyi felmérésben megkérdezett 422 vállalat közül 384, azaz 91 százalékuk ellen követtek el valamilyen támadást IT-eszközökkel, és ebbõl a kérdezett cégeknek 377 millió dollárnyi káruk származott. A szakértõk szerint világméretben a károk összértéke valószínûleg a milliárdos nagyságrendben lehet, persze dollárban. Globális becslések alapján az összes esetnek csak mintegy 12 százaléka kerül nyilvánosságra vagy nyomozati szakaszba. A bankoknak például nem érdekük, hogy mindenki tudomást szerezzen, mondjuk, egy meghackelt fizetõrendszerrõl, mert másnap az összes ügyfél megszüntetné a számláját. Azok az általában enyhébb esetek, amelyeket nem követ feljelentés vagy tényleges rendõrségi nyomozás, megmaradnak a számítógépes incidensek szintjén. A mindennapi munka során a rendszeradminisztrátorok gyakran találkoznak ilyen incidensekkel. Többféle csoportosítás A számítógépes nyomozati kérdések értékelése elõtt célszerû röviden kategorizálni a kriminológiai eseteket. A kiberbûnözés tárgykörében eredetileg három nagy csoportot különböztettek meg; ez a felosztás még ma is jól használható a gyakorlatban. Az IT-eszköz a bûnelkövetés eszköze; ez a számítógéppel segített bûnözés Computer Assisted Crime (CAC), ide tartozik az ipari kémkedés, a gyermekpornográfia terjesztése, a bankkártyacsalás, a szoftverkalózkodás és a személyiségi jog ellen irányuló cselekmények. A cselekmények célpontjai a számítógépek számítógépeket érintõ bûnözés, Computer Related Crime (CRC), itt sorolják fel a jelszólopást és a levélbombákat; Az elõzõ kettõ közötti szükségszerû átfedések: betörés zárt számítógépes hálózatokba, számítógépes csalás, DoStámadások, PBS- (telefon-) hálózatok elleni cselekmények. Az Európai Unió a kiberbûnözéssel kapcsolatos dokumentumaiban más kiindulási alapról négy tiszta számítógépes típust különböztet meg aszerint, hogy azok milyen mértékben és jelleggel érintik számítógépes adatok vagy rendszerek megbízhatóságát, integritását, illetve elérhetõségét: illegális hozzáférés számítógépes rendszer részének vagy egészének jogtalan elérése ; illegális eltérítés technikai értelemben a számítógépes rendszerek között zajló adatforgalom szándékos eltérítése és saját célokra történõ felhasználása ; adatok manipulálása digitális adatok megfigyelése, rongálása, törlése, jogosulatlanokhoz történõ eljuttatása, megváltoztatása vagy a normális adatáramlás akadályozása/késleltetése ; beavatkozás rendszerekbe beavatkozás számítógépes rendszer mûködésébe megfigyeléssel, hamis beviteli vagy átviteli adatokkal, rongálással, törléssel, illetve a mûködés megváltoztatása vagy megakadályozása/lassítása. Az EU-s klasszifikáció szerint vannak még más nem digitális, hagyományos bûncselekmények, úgymint: olyanok, amelyeknél a bûncselekmény elkövetéséhez a számítógép megléte közvetlenül fontos (elektronikus lopás, csalás, adathamisítás stb.) és olyanok, amelyeknél a számítógép vagy -rendszer az intellektuális tartalommal kapcsolatos bûnelkövetés eszközeként esetenként közvetetten szerepel (gyermekpornográfia terjesztése, vallási gyûlöletkeltés stb.) Modus operandi szerint nem létezik hivatalos felosztás, mindazonáltal három csoport körvonalazható: olyan közvetlen eléréssel megvalósított bûncselekmények, ahol az elkövetõ magához a célszámítógéphez vagy célrendszerhez fér hozzá jogosultan vagy jogosulatlanul; az elkövetõ közvetetten/távolról éri el 14
IT-SECURITY 2005. SZEPTEMBER 20. C Í M L A P O N sor új szakma is keletkezett, amelyek közül kétségtelenül a számítógépes nyomozóé az egyik legérdekesebb már csak azért is, mert a szakma szó egy kicsit banálisnak hangzik, hiszen néha mûvészetnek, máskor vegytiszta magastudománynak tartják. A számítógépes nyomozónak a tradicionális kriminológiai tudás mellett kiterjedt szoftveres és hardveres ismeretekkel kell rendelkeznie, emellett értenie kell a helyi és nemritkán a nemzetközi joghoz is. A számítógépes nyomozati munka során a leggyakrabban adathordozókat legyenek azok helyiek vagy hálózatos tárolóeszközök vizsgálnak át meglévõ vagy már törölt adatok kinyerésének céljából (elektronikus felderítés). Ezek az adatok lehetnek például szövegszerkesztõ-állományokban, e-mailekben, adatbázisokban, digitális képekben vagy bemutatókban. Noha a számítógépes nyomozati munka meglehetõsen érdekes és nagyon megbecsült tevékenység IT-biztonsági és rendõrségi/törvénykezési körökben, tudnunk kell, hogy mindig jóval több az információ, mint amennyinek az elemzésére idõ lenne. A tényleges képzettség mellett ezért annak megítéléséhez is sok tapasztalat és érzék vagy ösztön kell, hogy mit érdemes megvizsgálni, és mikor kell abbahagyni a kutakodást. Emellett szükség van jókora adag türelemre is. A munka során a hangsúly a számítógépes adatokon, az adatok megszerzésén és bizonyítékként történõ felhasználásán van. Ehhez viszont azonosítani kell a bizonyítékként felhasználható információt; el kell dönteni, hogy hogyan lehet bizonyítékként felhasználni; az adatokat ténylegesen ki kell nyerni és elemezni kell õket; nem utolsósorban gondoskodni kell arról, hogy a bizonyíték jogi eljárásban felhasználható legyen. Kihúzzam vagy kikapcsoljam? az információs rendszereket számítógépes vagy távközlési hálózat segítségével; az elõzõ két módszer ötvözése például amikor az elkövetõ a célrendszer közvetlen manipulálásával teszi lehetõvé a távoli elérést. Szakma, tudomány, mûvészet A digitális korszakkal nemcsak az újfajta bûnözés köszöntött be, hanem egy Légy résen! A kiscserkész jelszó fokozottan érvényes a számítógépes nyomozásban. Az alapos munkához igen körültekintõen kell eljárni. Ismerni kell a vizsgált hálózatot, tisztában kell lenni a hardveres elemekkel és az operációs rendszerrel. El kell igazodni a szoftveres környezetben és az állományok rendszerében, miközben szem elõtt kell tartani azokat a jogi korlátokat, amelyek mentén tevékenykedni lehet. Az érdemi munka megkezdése elõtt a felsoroltakkal kapcsolatban minden lehetséges körülményt figyelembe kell venni, és részletes vizsgálati tervet kell lefektetni. Egy rendszer vizsgálatakor arra is figyelni kell, hogy az tartalmazhat oda nem való szoftveres vagy hardveres elemeket. Észre kell venni az adatforgalom eltérítésére és megfigyelésére kémkedésre szolgáló (hálózati és kommunikációs) eszközöket; 15
C Í M L A P O N 2005. SZEPTEMBER 20. IT-SECURITY a bebillentyûzött adatok és fõként a jelszavak ellopására alkalmas key-loggereket és key-catchereket (összefoglalva billentyûnaplózókat); az adatok jogosulatlan másolására alkalmas eszközöket (optikai és mágneses háttértárakat, USB-eszközöket és más portokra FireWire, infraport csatlakoztatható berendezéseket). A különbözõ operációs rendszerek ismerete elsõsorban az állományrendszer és az adattárolás módja és így az orientációs lehetõségek ismerete miatt fontos. Ugyanakkor ismerni kell azokat a lehetõségeket, amelyeket az operációs rendszerek alapkiépítésben is tartalmaznak (például rendszernaplók), és a nyomozati munkát segíthetik. Mindent bizonyítani kell A számítógépes bizonyítékok keresése során két dologra keresünk igazolást: az adott gép egy bizonyos bûncselekmény eszköze volt, vagy egy bûncselekmény egy adott számítógép ellen irányult. Négy alapvetõ bizonyítékféleség van. A valós (tárgyi) bizonyíték kézzelfogható, megérinthetõ, közvetlenül vizsgálható, bíróság elõtt bemutatható objektum. A megcáfolhatatlan bizonyíték perdöntõ jelleggel igazol valamilyen gyanút. A valós bizonyíték(ok) megléte az esetek döntõ részében elengedhetetlen valaminek az igazolásához. Néhány példa: kézírásos feljegyzések, adattároló eszközök és média, kommunikációs eszközök. A dokumentum jellegû bizonyítékoknál elektronikus napló-, szöveges, kép-, adatbázis- stb. állományok elsõsorban azok forrását, hitelességét és begyûjtésük helyes módját kell igazolni. Ha lehet, mindig az eredeti dokumentum kell, nem a másolat ez a legjobb bizonyítékszabály. A tanúvallomásnak a számítógépes bizonyításban alárendelt szerepe van. A demonstratív bizonyítékoknak ebben a tárgykörben ugyancsak kevés a jelentõségük, de más bizonyítékféleségek illusztrálása és megmagyarázása révén segítik a technikailag kevésbé járatosak számára a megértést. Az elektronikus bizonyítékok esetében kiemelten fontos azok kezelése, ugyanis fennáll a lehetõsége annak, hogy minden egyes elérésnél vagy lekérdezésnél változás áll be az állagukban vagy a tartalmukban. Védekezni kell a fizikai hatásokra statikus kisülés, direkt fizikai hatás, áramellátási probléma bekövetkezõ károsodások ellen. Ki kell védeni a felülírás lehetõségét, gondoskodni kell NÉHÁNY FOGALOM Kiberbûnözés, számítógépes bûnözés, hi-tech bûnözés. Olyan bûntény, amelyben eszközként vagy célként valamilyen IT-eszköz vagy ITrendszer (is) érintett. A kiber- elõtagot sokan hangsúlyosan az internet segítségével ( a kibertérben ) megvalósított bûncselekmények jelölésére használják. Nem minden szerzõnél jelentkezik élesen ez a distinkció, érvelésük szerint egyrészt a kibertér eredetileg nem az internet jelölésére szolgált, másrészt a kibernetika sem kizárólag az internet tudománya például az EU-s dokumentumok sem ezt a terminológiát alkalmazzák. Számítástechnikai nyomozás. A nyomozati munka kiterjesztése számítástechnikai rendszerekre; számítógépek és számítástechnikai eszközök kriminológiai vizsgálata és elemzése. Magában foglalja a megfelelõ adatok azonosítását, rögzítését, kinyerését, dokumentációját és értelmezését abból a célból, hogy azok kriminológiai és törvényszéki bizonyítékként használhatók legyenek. Elektronikus felderítés. Az a folyamat, amelyben elektronikus eszközöket és dokumentumokat keresnek, gyûjtenek be, néznek át és készítenek elõ törvénykezési vagy kormányzati eljárásokhoz. Számítógépes bizonyíték. Olyan hardver, szoftver vagy adat, amely igazolásul szolgál a következõ kérdések valamelyikére: ki, mikor, hol, miért és hogyan követett el bûncselekményt, vagy okozott biztonsági incidenst. az adatok integritásának ellenõrizhetõségérõl, és olyan eszközöket kell használni a kezelés során, amelyek igazoltan csak olvasási elérésre alkalmasak. A kezelés másik sarkalatos pontja a dokumentáció. Ennek legfõbb eszközei a videokamera vagy fényképezõgép, illetve a papír és toll. A következõket pontosan rögzíteni kell: A vizsgálat helye és ideje. A tevékenység jellege (kezdeti bizonyítékgyûjtés, bizonyíték helyének megváltoztatása, bizonyíték eltávolítása valamilyen más eszközbõl vagy számítógépbõl, illetve esetleges visszahelyezése). A tevékenységet végzõ személyek. A számítógéppel kapcsolatos legfontosabb adatok (típus, sorozatszám, hely, meghajtók BIOS-beállításai stb.). Tárolóeszköz részletes paraméterei és beállításai. Részletezni kell az eljárás menetét. A késõbbi törvényi eljáráshoz igazolni kell még, hogy a bizonyíték beszerzése törvényes úton történt, valamint azt, hogy az állagában és tartalmában nem következett be változás. Az utóbbi persze nem minden esetben teljesíthetõ maradéktalanul, ezért a ne hagyj nyomot! ökölszabály úgy módosul, hogy a lehetõ legkevesebb nyomot hagyd!. Ennek lehetséges eszközei: a vizsgált bizonyítékot lehetõleg csak olvasásra nyissuk meg, és ha lehet, ekkor is inkább csak azért, hogy másolatot készítsünk róla a további elemzéshez. Lehetõség van még szoftveres vagy még inkább hardveres írásblokkolók használatára (például PDBlock, ACARD Write Block Kit, DriveLock, FastBloc, NoWrite, UltraKit, UltraBlock). Mindent be kell gyûjteni A bizonyíték az igazság kiderítésének eszköze. Enélkül csupán véleményünk lehet, de ez elég messze állhat az igazságtól. Alapesetben mindent be kellene gyûjteni, de a valóságban csak az adott esethez kapcsolódó anyag megszerzésére van lehetõség. Körültekintõ kezdeti vizsgálódás után azonosítani kell azokat a bizonyítékokat, amelyekre ténylegesen szükség van. Minden vizsgálat kiindulási pontja valamilyen hardver, ezen belül is elsõsorban a tároló- és a kommunikációs eszközök és az adathordozók. Utóbbiakon szándékosan archivált és átmeneti állományok is találhatók, illetve olyan speciális eszközökkel megtekinthetõ törölt anyagok, amelyeknek a jelentõségét nem szabad lebecsülni. Hasonlóan fontosak lehetnek a különféle írásos dokumentumok. Persze a fecnikre feljegyzett azonosítók, jelszavak, URL-ek, IP- és e-mail-címek, telefonszámok, kontaktok, állomány- és könyvtárnevek eredetét és hitelességét minden esetben igazolni kell. A bizonyítékokat az azonosítás után elõ kell készíteni a további vizsgálatra. A számítógépes nyomozás egyik klasszikus kérdése, hogy kihúzzam vagy kikapcsoljam? szélsõséges esetben: cseréljek-e 16
IT-SECURITY 2005. SZEPTEMBER 20. C Í M L A P O N benne elemet? (hiszen ezzel megváltozik a bizonyíték eredeti állapota). A tápellátás hirtelen drasztikus megszüntetése minden írási folyamatot azonnal leállít, de ezzel adatállományok sõt adott esetben az operációs rendszer is károsodhatnak. Ha a normál rendszerleállást választjuk, akkor a kikapcsolás elõtti folyamat megváltoztathatja a naplóállományokat és adatállományokat, így adott esetben magukat a bizonyítékokat is. A harmadik lehetõség, hogy hagyjuk futni a rendszert. Számos olyan vizsgálóeszköz létezik, amellyel relatíve kis beavatkozás árán élõben lehet vizsgálni egy mûködõ számítógépet. Ehhez persze az is kell, hogy megfelelõ jogosultságaink legyenek a vizsgálóeszköz telepítéséhez. Ha nincs is megfelelõ adminisztrátori hozzáférésünk, akkor is vihetünk magunkkal például USB-memórián olyan nyomrögzítõ szoftvert, amelynek a futtatásához nem feltétlenül kell rendszergazdai jogosultság. A nyomrögzítõ szoftverrel kapcsolatban természetesen igazolni kell, hogy biztonságos, és nem veszélyeztette a vizsgálat során a bizonyíték épségét. Az integritás igazolására különféle ellenõrzõ paramétereket (például az SFVverifier nevû szoftverrel SFV-t, MD5SUM nevûvel MD5-öt stb.) lehet és kell képezni. Összefoglalva a következõ lépéseket javasolják: A gyanús adathordozót csak olvasásra nyissuk meg (ha lehet, használjunk valamilyen írásblokkoló eljárást). http://www.certified-computer-examiner.com Certified Computer Examiner (CCE) http://www.htcn.org/changes.htm Certified Computer Crime Investigator (CCCI) http://www.iacis.com/html/training.htm Computer Forensic Computer Examiner (CFCE) http://www.iisfa.org/certification/certification.asp Certified Information Forensics Investigator (CIFI) http://www.asisonline.org/certification/pci/pciabout.xml Professional Certified Investigator (PCI) http://www.forensix.org/links Computer Forensics, Cybercrime and Steganography Resources http://www.dcfl.gov/ Department of Defense Cyber Crime Center http://www.cybercrime.gov/fedcode.htm Department of Justice Computer Crime and Intellectual Property Section http://www.ectaskforce.org/ Electronic Crimes Task Force http://www.emergency.com/fbi-nccs.htm FBI National Computer Crime Squad http://www.ojp.usdoj.gov/nij/sciencetech/welcome.html National Institute of Justice http://www.nw3c.org/ National White Collar Crime Center http://www.cftt.nist.gov/ NIST Computer Forensics Tool Testing Program Azonosítani kell a bizonyítékként felhasználható információt Készítsünk ellenõrzõ paramétert. Bitrõl bitre másoljuk át az adatokat. Zárjuk el biztonságos helyre az adathordozót. Hiteles másolat A kezelés fontos mozzanata az adatok, pontosabban lehetõleg a teljes adatterületek tartalmának kinyerése, kimásolása röviden tükrözése. Egy számítógép esetében a következõ sorrendet célszerû követni már ha ez lehetséges: regiszterek és cache; routing-tábla, ARP-cache, processztáblázat, rendszermag-statisztikák; memória; ideiglenes állományok; lemezek; azok a távoli napló- és monitorozó adatok, amelyek az adott esetben relvánsak lehetnek; fizikai konfiguráció és hálózati topológia; archivált adatok külsõ médián. Noha érzésre ezekhez használhatnánk az operációs rendszer eszközeit is, mégis szerencsésebb speciális programokkal dolgozni, mert például a DOS xcopy parancsa is gyönyörûen felülírhat adatokat. Kezdjük azzal a bonyolultabb esettel, amikor egy mûködõ, nem újraindítható géprõl kell adatokat nyerni. Természetesen ehhez léteznek általában USB-portról vagy hálózatról futtatható készletek, ilyenek például a Netcat vagy speciális változata, a Cryptcat. Ezek gyakorlatilag nullára csökkentik az adatok megváltozásának veszélyét. Mûködõ rendszereknél fontos lehet a hálózati információk megszerzése. A Windows esetében az ARP-cache-t igen gyorsan kell vizsgálni, mert tízpercenként frissül/törlõdik. A traceroute vagy Windowsnál a tracert paranccsal megtekinthetjük a hálózatos adatforgalom legfontosabb jellemzõit. Persze vigyázni kell, mert a parancs sajnos aktív (pingel), és a megpingelt számítógép is tudomást szerez a kutakodásról. A Netstat parancs az adatfrissülés miatt csak korlátozott ideig használható, viszont pingelés nélkül tájékoztat az aktív kapcsolatokról. A kikapcsolt rendszer adattartalmának tükrözésére alkalmas saját másolóeszközök elõkészítésénél a legfontosabb talán az IT-értelemben vett sterilitás. A szanitizációnak nevezett eljárás során mindent aktív és rejtett fájlokat, törölt állományokat, FAT-táblákat, szektorazonosítókat stb. el kell távolítani teljes felülírással a tükrözendõ adatokat tároló médiáról. A helyes törlés menetét kü- 17
C Í M L A P O N 2005. SZEPTEMBER 20. IT-SECURITY lönféle ipari/biztonsági szabványok írják le. A szoftveres lehetõségek Maresware Declassify, OnTrack DataEraser, XWays WinHex) mellett ehhez különféle célhardverek például Image MASSter Wipe MASSter-can is léteznek. Ezután következik a teljes adatfelület szoftveres, de inkább hardveres tükrözése. Ha minden kötél szakad, használható valamilyen egyszerûbb Ghost program is, de csak nagy körültekintéssel. Mindenképpen fontos tudnunk, hogy a kriminológiai tükrözés nem azonos a biztonságimásolat-készítéssel! A törvényszéki értelemben korrektnek tekinthetõ lemezmásoláshoz speciális célhardvert (például Forensic SF-5000) vagy célszoftvert (WinHex) kell használni. Megengedett az adatok garantáltan TÖRTÉNELEM: A SÖTÉT OLDAL A huszadik század hetvenes éveiben és a nyolcvanas évek elején történtek elõször olyan incidensek, amelyek alapján amerikai szakértõk figyelmeztettek rá, hogy számolni kell majd a számítógépes bûnelkövetéssel. 1972. Az Egyesült Államok Nemzetbiztonsági Hivatalából Dan Edwards megalkotta a trójai program kifejezést. A veszély még nem valós, de kísérleti jelleggel sikerült meghackelni a haditengerészet Univac 1108- as monstrumát, majd nem sokkal késõbb a légierõ addig biztonságosnak hitt Multics operációs rendszert futtató gépeit. 1982. A Xeroxnál elkezdtek kísérletezni az elsõ féregmechanizmussal mûködõ elektronikus kártevõkkel. 1983. Fred Cohen, a Dél-Kaliforniai Egyetem hallgatója elkészíti az elsõ kísérleti vírust. Ugyanebben az évben fülelte le az FBI a 414-ek nevû bitbetyár bandát; amelynek tagjai egy Apple II+ számítógéppel és egy modemmel sorra látogatták a kormányzati hivatalok titkos adatbázisait. 1986. Lecsap az elsõ valós vírus, a pakisztáni Brain. 1988. Robert Tappan Morris útjára indítja az elsõ olyan kártevõt, amely miatt nyomozást rendeltek el a hatóságok, mert 6000 számítógép megfertõzésével százmillió dolláros nagyságrendû kár keletkezett. Ezután már teljesen mindennaposakká váltak a kellemetlen események. visszaállítható tömörítése, de ezekhez a már említett ellenõrzõ paramétereket is el kell készíteni. Figyelni kell arra, hogy a technikailag jártasabb bûnelkövetõk a háttértárak hardveresen védett területein (HPA) is helyezhetnek el adatokat a BIOS és az operációs rendszer kikerülésével. Speciális esetet jelentenek a kéziszámítógépek, de még ezeknek a memóriája is bitazonosan kimásolható például a SaveFS programmal. Türelemjáték A számítógépes nyomozati munka legtöbb idõt felemésztõ lépése a bizonyítékok vizsgálata és elemzése. Mindenekelõtt azt kell tudni, hogy hol kell keresni az információt. Azon túlmenõen, hogy bizonyos állományok kézenfekvõ helyeken lehetnek, másokat pedig az elkövetõk szándékosan megpróbálnak elrejteni, mindenképpen orientációs alapot jelent a vizsgált eset jellege. Kalóz-CD-k sokszorosítása esetén például hangállományokat keresünk, e-mailes csalás gyanújánál az elektronikus levelezésre koncentrálunk, bankkártyacsalásnál viszont táblázatokra és adatfájlokra figyelünk intenzívebben. Mindenképpen fontos annak ismerete, hogy egy adott rendszerkörnyezetben bizonyos fajta állományoknak vannak jellegzetes, alapkiépítésben beállított tárolási helyeik. Amennyiben a vizsgálódás során észrevesszük, hogy ezek a paraméterek megváltoztak, célszerû a rejtett, a nem standard helyeken levõ és a törölt adatokat is átvizsgálni, de elõször általában a könnyen elérhetõ fájlokkal kell kezdeni. A vizsgálathoz eszközök kellenek. A jó nyomozóprogramok lehetõvé teszik például a rejtett adatok és adatterületek vizsgálatát csakúgy, mint a böngészés során tárolt ideiglenes fájlokét (cookie-k és a böngészõ gyorsítótára) vagy éppen az elektronikus levelezését. A nézegetõprogramokkal (viewers) adott szempont szerint vizuálisan lehet viszonylag gyorsan átböngészni egy állománykészletet vagy könyvtárat fõleg képek, de az esetek egy részében a szöveges és az adatállományok esetében is. A kiterjesztésvizsgálók (az extension checkers) gyorsan és hatékonyan felismerik a tárolóeszközön levõ adott jellegû fájlokat, de ezen túlmenõen annak eldöntésére is képesek, hogy az állományok kiterjesztése megfelel-e a fejlécükben tárolt tulajdonság-paramétereknek. A törölt állományokat visszaállítók (unerase tools) sajnos nem mindig mindenhatóak, de a régi operációs rendszerek esetében és frissen kiürített Windows-lomtár állományainál jó a hatásfokuk. SZÁMÍTÓGÉPES NYOMOZÓESZKÖZÖK Lemeztükrözés és hitelesítés: ByteBack, dd, DriveSpy, EnCase, Forensic Replicator, FTK Imager, Norton Ghost, ProDiscover, SafeBack, SMART, WinHex. Nyomozó és felderítõcsomagok: EnCase, Forensic Toolkit (FTK), Maresware, Paraben Forensic Tools, The Coroner s Toolkit (TCT), The Sleuth Kit (TSK), Autopsy Forensic Browser, ProDiscover, Vpgpn Forensic Software, X-Ways Forensics. Vegyes tudású eszközök: DiskJockey File Viewer, DriveSpy, dtsearch, Quick View Plus File Viewer, Text Search Plus, ThumbsPlus File Viewer. Hardveres eszközök: Forensic Recovery of Evidence Device, Vogon Forensic Hardware. Teljes tudású nyomozókészletek: Ultimate Toolkit (UTK), Maresware, X-Ways Forensics, Forensicware Solution. Jelszótörõk: Jack the Ripper, Crack, LASEC, L0phtcrack (LC4). Titkosítást visszafejtõk: PKZip Cracker, Zip Crack, UNArj, UNRar, UNAce, Word Unprotect, WP Crack. A keresõeszközök változatos szempontok szerint képesek keresni adott állományok között vagy állományoktól függetlenül a teljes lemezen. A felsoroltak használata esetén is azzal a ténnyel szembesülünk, hogy iszonyatos mennyiségû találati eredményt és átnézendõ adatot kapunk, akárhogyan is próbáljuk leszûkíteni a feltételrendszert. Ebben az esetben segíthetnek az operációs rendszer és a programok naplóállományai, illetve az azok értelmezését segítõ naplóelemzõk. Ha az összes adat bizonyítékként használható, akkor akként is kell kezelni õket, de a bemutatáshoz célszerû reprezentatív mintákat választani közülük. Az esetek egy részében az is probléma lehet, hogy a sok-sok találat között sincs meg a keresett információ; ilyenkor ne- 18
IT-SECURITY 2005. SZEPTEMBER 20. C Í M L A P O N A jelszavak visszafejtése türelemjáték künk magunknak kell fizikailag átnéznünk az adathordozót persze erre az esetre is léteznek programok. Jelszavak és titkos adatok Az elkövetõk az esetek többségében megpróbálják lehetetlenné tenni, hogy mások is betekintést nyerjenek a tevékenységükbe. A két fõ lehetõség a hozzáférés korlátozása és az adatok titkosítása. A hozzáférés-korlátozás általában azonosítók és jelszavak segítségével történik. A jelszavak tekintetében három lehetõségünk van: ki- vagy meg lehet õket találni; ki lehet õket következtetni, végül a jelszavakat ki lehet kerülni vagy fel lehet törni. A legegyszerûbb esetben valamilyen trükkel magától az elkövetõtõl is meg lehet tudni a jelszót. Az incidens helyének átvizsgálása során meg lehet találni azokat a feljegyzéseket, amelyekre esetleg felírták a nehezebben megjegyezhetõ azonosítókat. A második lehetõségnél: a technikai értelemben nem jó jelszavakat az elkövetõnek vagy családtagjainak a személyes adataiból ki lehet következtetni. Támpontként fontos még tudnunk, hogy az emberek általában hajlamosak rá, hogy többféle azonosításhoz is ugyanazt a jelszót használják, így egynek az ismeretében szerencsésen próbálkozhatunk az illetõ több jelszóval védett hozzáférésénél is. Az eddigiek kimenetele meglehetõsen kétséges, ezért gyakran a legtechnikaibb eljárás egyben a leginkább célravezetõ is. A jelszavak feltörése leggyakrabban próbálgatásos alapon, karaktersorozatok generálásával zajlik. Mivel az operációs rendszerek ismert helyeken tárolják a titkosított jelszavakat, ezért nem magán a hozzáférésen kell próbálkozni, hanem a tárolt jelszavak állományában kell a hasonlításokat elvégezni, így a folyamat jelentõsen felgyorsul. A jelszótörõ programok dolgozhatnak nyers erõvel ekkor véletlenszerû karaktersorozatokat generálnak ; a leggyakoribb jelszavakat tartalmazó szótárból; a kettõ kombinációjával. A titkosítás speciális esete a szteganográfia, amikor az eredeti dokumentumot egy nagyobb dokumentumba vagy állományba például egy képfájlba mondjuk a SecurEngine program segítségével ágyazzák. A mindennapi gyakorlatban leggyakrabban az ismert tömörítõ- és dokumentumkezelõ programok jelszóval történõ használatával találkozunk. Ezek visszafejtéséhez viszonylag könnyen elérhetõ eszközök állnak a rendelkezésünkre, amelyek nagyjából a jelszótörõ programoknál leírt módon mûködnek. Természetesen ehhez újabb türelemjáték szükséges: azonosítani kell a titkosított adatokat, és ehhez nem mindig nyújt támpontot az állományok elnevezése. Fontos a csomagolás Még a nyomozati szakba nem kerülõ incidenseknél is fontos a leletek dokumentálása. Egy jó beszámolónak a következõket kell tartalmaznia: a vizsgált számítógép(ek) részletes leírását; az operációs rendszer és a telepített szoftverek listáját; a vizsgált állományokat és könyvtárakat; a vizsgálathoz használt eszközöket; a vizsgált gép használatával kapcsolatos házirendet; a vizsgált elektronikus leveleket és csatolmányaikat; a vizsgált elektronikus dokumentumokat; a vizsgált rendszerállományokat és egyéb (például törölt) adatokat; azoknak az alkalmazottaknak az adatait, akik adminisztrátorként felelõsek az adott számítógépért. Minden esetben indoklással és idõpontokkal együtt rögzíteni kell a leírtakkal kapcsolatos tevékenységeket. Az összegyûjtött, megfelelõen kezelt, átvizsgált és dokumentált bizonyítékokat olyan formában kell bemutatni, hogy azok a hallgatóságot is meggyõzzék. A prezentáció tartalma meglehetõsen egyszerû négy szabályra épül: 1. Mondd el, mit csináltál! 2. Mondd el, hogy miért csináltad! 3. Mondd el, hogyan csináltad! 4. Mondd el, mit találtál! A logikai vázlatot a következõ sarkalatos pontok köré célszerû csoportosítani: a vizsgálati hely; a bizonyítékgyûjtés menete; TÖRTÉNELEM: A JÓ OLDAL 1984. Az FBI-nál útjára indítják a Magnetic Media Programot a projekt nevét késõbb Computer Analysis and Response Team -re (CART) módosítják. 1993. Megtartják az elsõ számítógépes bizonyítékokkal foglalkozó nemzetközi konferenciát. 1995. Megalakul az IOCE, azaz a Számítógépes Bizonyítékok Nemzetközi Szervezete. 1997. Decemberben a G8-ak kommünikét bocsátanak ki, melynek jelmondata: olyan jogi és számítógépes képzettséggel bíró szakembergárdát kell kiképezni, akiknek elsõdleges feladata a hi-tech bûnözés visszaszorítása. 1998. Márciusban a G8-ak felkérik az IOCE-t, hogy fektesse le a digitális bizonyítékok kezelésének és értékelésének nemzetközi alapelveit. Ugyanebben az évben az Interpol megrendezi az elsõ számítógépes bizonyítékokkal foglalkozó szimpóziumot. 1999. Az FBI CART-programjának esetszáma eléri a kétezret, a megvizsgált adatok mennyisége meghaladja a 17 terabájtot. 2000. Létrehozzák az FBI elsõ regionális számítógépes bizonyítékokkal foglalkozó laboratóriumát. 2003. A CART esetszáma eléri a 6500-at, az adatmenynyiség meghaladja a 782 terabájtot. a bizonyítékok kezelése és tárolása; az adatok elemzése; a külsõ körülmények elemzése; leletek. Kelemen László 19
E S Z K Ö Z T Á R 2005. SZEPTEMBER 20. IT-SECURITY Egy projekt tanulságai Pakson az elektronikus (levél) hulladékkal is meg kell birkózni. APaksi Atomerőmű levelezőrendszere mintegy kétezer vállalati elektronikus postafiók külső és belső elektronikuslevél-forgalmát bonyolítja egy központi szerver segítségével. A dolgozók egy része kizárólag belső levelezésre használja a rendszert, mások így leveleznek a külvilággal is. A szervert és magát az e-mail-rendszert már kezdetektől védték különféle programokkal, illetve bizonyos korlátozásokat is életbe léptettek a biztonság növelése érdekében, például már az indulás után fokozottan ellenőrizték azokat a csatolmányokat, amelyek futtatható állományokat tartalmaztak és ez a védelem elég hatékony volt a levelekben terjedő rosszindulatú állományok ellen; sikerült is elejét venni az ilyen típusú fertőzéseknek. A FIZIKAI BIZTONSÁG NEM VOLT VESZÉLYBEN Fontos leszögezni, hogy az atomerőmű levelezőrendszerének a cikkben leírt problémája egy pillanatra sem okozott fizikai fenyegetettséget, a nukleáris működéstől pedig olyan mértékben független a levelezőrendszer, hogy ilyen veszélyeztetettség szóba sem jöhetett. Az erőmű működése egyébként is jóval az internet magyarországi elterjedése előtt kezdődött. Az e-mail a korábbiakhoz képest egy olyan a munka hatékonyságát növelő lehetőséget jelentett, amelyben a gondok csak az információáramlásban, a produktivitásban és a munkavégzés kényelmének zavaraiban mutatkoztak meg. Eleinte minden simán ment Mint azt a Szentgyörgyi Zsolttal, az informatikai főosztály vezetőjével és Bogáncs Tamás számítástechnikai osztályvezetővel folytatott beszélgetésből megtudtuk, a hálózat túlterhelésének elkerülése érdekében már régebben is érvényben volt és most is alkalmazzák a levélméret-korlátozást; a küldemények maximális mérete négy megabájt lehet. Ezzel az internetes forgalom sávszélességét is megfelelő szinten lehetett tartani, és az elektronikus küldemények is időben el tudták érni a célállomást. Az atomerőműben természetesen már a kezdetektől nagy súlyt fektettek a felvilágosításra. Rendszeresen felhívták a dolgozók figyelmét a helyes levelezés mikéntjére, a listás és lánclevelezésből fakadó bonyodalmakra, illetve a vállalati e-mail-címek megadásának és a különféle weboldalakon történő regisztrációnak a biztonsági kockázataira. A kéretlen levelek számának eleinte még lassú, de egyenletes és egyre gyorsuló növekedése miatt viszonylag hamar kénytelenek voltak egy spamszűrőt illeszteni a rendszerhez. A nagyjából négy-öt éve munkába állított program egy tartalom, pontosabban szó alapú szűrő volt. Eleinte minden simán ment; a programhoz járt egy gyárilag feltöltött, a levélszemétben tipikusan előforduló szavakat tartalmazó adatbázis, amelyet a helyi rendszergazdák szabadon bővíthettek. A szavak mellé megfelelő szabályokkal súlypontozást lehetett rendelni, és így meg lehetett határozni, hogy az azokat tartalmazó kifejezéseket és szófordulatokat a nyelvi vagy tartalmi környezet függvényében miként kell értékelni. A szűrőrendszer emellett ellenőrizte a beérkező levelek forrását is, és bizonyos feladóktól származó küldeményeket egy ugyancsak szerkeszthető és bővíthető adatbázis a feketelista segítségével eleve képes volt kéretlen levélként felismerni. Az első szigorítások A fentiekben vázolt védelem körülbelül két-három évig elég hatékonyan működött és képes volt megakadályozni a komolyabb spamáradatot. Nagyjából másfél-egy esztendeje azonban kérlelhetetlenül elkezdett növekedni a levélszemét mennyisége. Megjelentek a jól ismert, immár klasszikusnak nevezhető, kéretlen gyógyszer-, szexuális segédeszköz- és egyéb reklámok. Egy idő után már a dolgozók is elkezdtek miattuk elégedetlenkedni, hiszen a beérkező haszontalan e-mailek aránya a védelmi rendszerek ellenére is elérte a nyolcvan százalékot. Ez azt eredményezte, hogy a postafiókban komoly odafigyeléssel kellett bogarászni a napi normális tevékenységhez kapcsolódó levelek után. A spamek kézi keresgélése, kijelölgetése és eltávolítása érezhetően kezdett a produktivitás rovására menni. Következett a meglévő szűrőrendszer paramétereinek állítgatása, az egyre szigorúbb szabályok életbe léptetése. A rendszergazdák folyamatosan és egyre intenzívebben bővítették a feketelistákat. A hatékonyabb védelem érdekében létrehoztak egy központi levélgyűjtőt, és megkérték a felhasználókat, hogy a szigorúbb ellenőrzés mellett is becsúszó kéretlen leveleket oda továbbítsák. A rendszergazdák állandóan ellenőrizték ezt a PROAKTÍVAN A Minor Rendszerház Rt. mint a Symantec Enterprise Solution partnere proaktívan vesz részt a hazai piac építésében és a Symantec termékek népszerűsítésében. A Minor a központosított vírusvédelem szállítását követően tett javaslatot a Paksi Atomerőműnek a kéretlen és vírusos levelek hatékonyabb szűrésére. A tesztet követően a megvalósításhoz a paksi szakemberek a Symantec és Minor segítségével kezdtek neki. levélhalmazt, és a tartalom alapján egyre újabb és újabb törvényszerűségeket kerestek, hogy hatékonyabb szűrőszabályokat tudjanak beállítani. Újabb nehézségek A szigorításokkal és a szabályok számának gyarapodásával törvényszerűen jelentkezett az újabb probléma: a hamis találatok számának növekedése. A fals pozitivitás miatt a munka szempontjából értékes tartalmakat hordozó e-mailek is fennakadtak az ellenőrző rendszeren. Olyan is előfordult, hogy a fontos levelekről a dolgozók csak hetek múlva szereztek tudomást a küldő partnertől. A helyzet javításának érdekében a szűrőrendszer minősítési eredményeit és kritériumait, illetve a különféle szempontok miatt kézbesíthetetlen kifelé és befelé irányuló leveleket megfelelő csoportosítással és megtekintési jogosultságokkal közzétették a vállalat intranet- 20