„Tiltom azt, ami rossz” – Makay Kálmánnal beszélgettünk

2018. május 23.

Adatbiztonsággal több platformon is lehet és érdemes foglalkozni. Lehet nagyvállalatok berkeiben, lehet átlag felhasználói szinten, lehet Y és Z generáció fejjel gondolkodva, és természetesen maga az IT security is kiemelt közeg. Makay Kálmán az említett csoportok mindegyikét segíti, építi szakmai tanácsaival. A Symantec-nél nagyvállalatok védelmével foglalkozik, a Digitális Immunerősítő Program (DIP) tagjaként – és nem mellesleg apaként – a fiatalok, a laikusok biztonságát támogatja, emellett saját cégén, a Mysec-en keresztül rendszeresen szervez olyan eseményeket, melyek kifejezetten az IT security szakma tagjait gyűjtik egy térbe és időbe. Megkérdeztük tőle, honnan indult, hová tart, s hogy mi mindent lehet tenni az online biztonságért…

DIP: NAPJAINKBAN A SYMANTEC-NÉL PROSEC KONZULENSI FELADATOKAT LÁTSZ EL, EMELLETT EGYENGETED CÉGED, A MYSEC ÚTJÁT, EZÁLTAL PEDIG A SZAKMÁÉT IS. HOGYAN, MIKOR CSÖPPENTÉL AZ ADATBIZTONSÁG VILÁGÁBA?

MK: Teljesen más irányból indultam el, hiszen nem informatikát tanultam, hanem elektronikát, irányítástechnikát, mechanikát, gyártósorok vezérlését. Emellett rengeteget játszottam a számítógépemen és ahogy teljesítettem a pályákat, elkezdett érdekelni, hogyan tudok csalni benne. Elkezdtem trükközni, hogyan tudom átírni a lementett fájlokat, melyek tartalmazzák, hány aranyam van, hol tartok, mi hol van a pályán. Ez egészen odáig fajult, hogy már akkor módosítottam a memóriát, a fájlokat, amikor még futott a játék. Suli után először egy műszer szervízben helyezkedtem el, de ott is az érdekelt, hogyan működik a számítógép. Aztán áttértem banki rendszerek üzemeltetésére, junior szakemberként helyezkedtem el az IT security területén. A Symantec előtt a Wizzair-nél dolgoztam, ahol az üzemeltetésért feleltem, de megkaptam egy bankkártya adatvédelemmel kapcsolatos projektet is. Szóval mindig billegtem az üzemeltetés és az IT security között. Ha épp üzemeltetéssel foglalkoztam, akkor pótoltam az IT security űrt a Mysec-kel, amely eredetileg közösségi felületnek, hírportálnak indult, majd átalakult rendezvényekké. Össze akartuk hozni ugyanis a szakmát a fizikai valóságban is és elkezdtünk beszélgetős esteket szervezni. Tavaly megrendeztük az első konferenciát is.

DIP: MIÉRT KEZDTÉL EL FOGLALKOZNI A MAGÁNEMBEREK VÉDELMÉVEL?

MK: Egyrészt személyes érdeklődés miatt, másrészt mert eleve érdekes a Digitális Immunerősítő Program. A 14 éves lányom két lábon járó példa, mindenben érintett, amiben csak lehetséges: videóblogol, aktív közösségi életet él, és itt az első távszerelem is. A 20 éves fiam pedig teljes mértékben kütyümániás. Ezért feltettem a kezemet, hogy szeretnék részt venni a programban, szeretném kamatoztatni a saját tapasztalataimat.

DIP: HOGYAN PRÓBÁLSZ SEGÍTENI A GYEREKEIDNEK? HOGYAN TEREMTED MEG A BIZTONSÁGUKAT?

MK: Egy időben telepítettem egy family alkalmazást, amivel kontrollálni lehetett a tevékenységüket, de rájöttem, hogy nincs értelme a tiltásnak. Nem is lehet tiltani, megtalálják az utat a felfedezéshez. Egyik napról a másikra születnek start up-ok, ötletek, amiket elkezdenek hájpolni és használni. Nem vagyok minta apuka, de ismerkedek az általuk használt programokkal, beregisztrálok én is ezekbe a rendszerekbe, de inkább hagyom őket tapasztalni. Ha pedig látok valami kilengést, közbelépek és megindokolom, miért veszélyes. A bizalom pedig megvan, pont azért, mert nem ülünk rá a nyakára. Ha problémát észlel, oda fog jönni megbeszélni.

Egyszer például a kislányom feltett egy alkalmazást – amivel mindenki játszott az osztályban –, de nagyon sok jogosultságot kért. Később kiderült, hogy olyan dolgokat módosított a háttérben, amivel lehetővé tette tevékenységének figyelését bizonyos területeken. Akkor jöttem erre rá, amikor a lányom odajött hozzám, hogy nem működik a net a telefonján, és ez rendszeresen megismétlődik. Ekkor kezdtem el nyomozni, hála a tapasztalataimnak kiderült mi történik a háttérben. Vagy egy másik példa: valaki elkezdett a kislányom nevében üzeneteket írni egy barátjának. Kiderült, hogy a kislányom bejelentkezett Sykpe-ra az egyik ismerőse tabletjéről, de nem jelentkezett ki, és elkezdett írogatni a nevében. De korábban hiába mondtam volna, hogy figyeljen erre. A hibákból tanulunk.

A rossz tapasztalatok egy része emberi tulajdonságokból fakad, a másik oldalon pedig ott az adathalászat, a kártevők sokasága, melyek ellen megoldást jelentenek a védő szoftverek. Tehát nem tiltok, hanem tiltom azt, ami rossz.

DIP: MINDKETTŐRE SZÜKSÉG VAN: TUDATOSSÁGRA ÉS BIZTONSÁGI BEÁLLÍTÁSOKRA IS?

MK: Ez nehéz kérdés. Nagyon éles a különbség az otthoni és a céges felhasználás között. A cégeknél dolgoznak technikai, biztonsági csapatok, melyek tudják, hogyan kell jól, az aktuális trendeknek megfelelően beállítani a termékeket, biztosítják a védelmi szoftvereket, rendszereket és adott a folyamatos üzemeltetés is. Az eseménynapló megmutatja, mi történt az infrastruktúrában és tudnak hozzá alkalmazkodni, például új termékekkel.

Egy otthoni gépet sokkal nehezebb megvédeni, mert nem biztos, hogy a szülők, gyerekek értenek hozzá, nem biztos, hogy követik a trendeket, így jóval inkább ki vannak téve a veszélynek. Folyamatosan biztosítani kell a frissítést is, erről gyakran elfeledkeznek az otthoni felhasználók. Illetve jó, ha a gyártó távolról is tudja módosítani, frissíteni az új beállításokat, megvédve ezzel a számítógépet. Tehát a gyártó felelőssége, tudatossága is, hogy megóvjon a kártevőktől.

DIP: MIT TEHET AKKOR EGY LAIKUS?

MK: Ha egy szülő, vagy gyermek szeretné megvédeni a telefonját, nem biztos, hogy tudja, milyen terméket, applikációt használjon. Itt jön be a marketing szerepe, de nem feltétlenül az a legjobb, amit erősebben tolnak a piacon. A beruházás pillanatában nehéz felismerni, melyik az ideális termék, ezért inkább legyen az ember közelében egy jó szakember, aki tud dönteni, aki képes tesztelni a hatékonyságot. Hogy ki a jó szakértő? Ha valaki jó word-ben vagy passziánszban, attól még nem lesz jó szakértő. Ez talán ott kezdődik, hogy fel kell tudnia építeni egy hálózatot, például vendéghálózattal.

DIP: EMELLETT LEGYÜNK TUDATOSAK, ÓVATOSAK…

MK: Legyen tudatos és képzett az ember! Ma már tudni kell, mi az, hogy IP cím, antivírus, WiFi, WPA2. Alapképzésekkel lehet ezen segíteni, vagy például a DIP javaslataival.

Néha persze a profikat is megtévesztik. A minap rendeltem az eBay-ről egy kínai beszállítótól, és egyszercsak jött egy levél, hogy feladták ugyan a postát, de visszament, mert megsérült a csomag. És mivel nincs raktáron, egy hetet kellene várnom az új elküldésére. Elkezdtem gondolkodni, kombinálni, hiszen a PayPal-nak van egy biztonsági időszaka, amin belül még vissza tudom kérni a pénzt. Úgyhogy megírtam nekik, hogy küldjék vissza a pénzt, megrendelem máshonnan a terméket. Ráadásul az adatlapjukon az szerepelt, hogy 10-nél több található a raktárjukban. Szóval több téren is furcsállottam a szitut. Egyáltalán mi az, hogy a posta visszaküldte? De lehet, hogy az eladó kivár és a vevő már vissza sem tudja kérni a pénzt. Egy ismerősömnek például feltörték a Google Account-ját, és valamilyen úton-módon leemeltek 45 e Ft-ot a számlájáról. Ha nagyon profin csinálnak valamit, bárkit meg lehet téveszteni.

DIP: TEHÁT SEGÍTHET, HA ISMERJÜK AZ AKTUÁLIS MÓDSZEREKET, HISZEN KÖRÜLTEKINTŐVÉ TESZNEK. BÁR GONDOLOM A TECHNIKÁK IS MEGÚJULNAK IDŐRŐL IDŐRE…

MK: Régen az a levél hódított, miszerint megörököltél több százezer Eurót, csak ki kell „szabadítani” a pénzt az adott országból. Sokan bedőltek ennek. Aztán elindultak magyar nyelvű phishing (adathalász) levelek is – például a számlabefizetés –, melyek kifejezetten a magánembereket célozzák meg és pénzt csalnak ki tőlük. Ma már kereskednek is az ilyen levelekkel, megvásárolhatók template-ek és gyönyörűen, saját nyelven küldhetők az email-ek, saját címlistára, de – feltört – nagyvállalati rendszereken keresztül. Tehát a cégek felelőssége is, hogy ne legyenek részesei ilyen típusú károkozásnak.

A phishing mellett nagy veszélyt jelent a webshopping, itt is megy az ügyeskedés, például a határidők elhúzásával. Ha online rendelsz valamit, vagy megkapod, vagy nem. Komoly feketepiaca van a bankkártya adat kereskedelemnek is, 1-3 dollárért vásárolhatók bankkártya adatok, valahol pedig még garancia is érzékelteti a minimum összeget, amit el tudsz róla költeni.

DIP: TE MIRE FIGYELSZ RENDELÉSNÉL?

MK: Fel vagyok készülve a lehető legrosszabbra. Mindig benne van a pakliban, hogy nem érkezik meg az áru, hogy hibás, vagy egy hónap múlva romlik el, amikor már semmit sem tudok kezdeni a garanciájával. Ezért igyekszem olyan helyről rendelni, ami megbízható.

Nagyobb értékű rendelésnél érdemes alaposan körbejárni az oldalt, a céget. Figyelem a valós feedback-eket, hogy https-sel kezdődik-e az oldal, biztonságos-e a rendszer (például van-e titkosító tanúsítvány), van-e valódi tulajdonosa, feltüntették-e a cég adószámát, nevét, vagy csak egy 30 naponta generált ingyenes felülethez van „szerencsénk”. Sőt, megnézem Street View-val is a céget, és ha egy disznóól szerepel a képen, nem kötök velük szerződést. Érdemes rápillantani az általános felhasználási feltételekre is, template-e vagy sem. Ha speciális helyről rendelek, még a domain-t is ellenőrzöm. Persze 2-5 ezer forintos vásárlás esetén nem vizsgálok meg ennyit mindent, mert sok időt igényel.

Megtapasztaltam, hogy komolyabb elektronikai cikket egyáltalán nem szabad Kínából rendelni, mert nem biztos, hogy egy év múlva is működni fog, a garancia pedig eleve ugrott, mert nem lehet visszaküldeni. Illetve a CE jelöléssel is trükköznek, ami eredetileg az EU minősítő jelzése, viszont ők Chinese Exportnak hívják, és nagyon hasonlít a két logó. Szóval két dolgot is jelenthet a jelzés.

Az okostelefonokkal, okos eszközökkel az a legnagyobb baj, hogy vagy már gyártói szinten, vagy a kereskedelmi láncolatban rákerülhetnek olyan alkalmazások, melyek adatot szivárogtatnak, és rendszeresen felhívnak például befektetési ajánlatokkal. Nagyon fontos, hogy megbízható legyen a hálózatra kötött termék.  Egy AliExpress-ről rendelt áru nem biztos, hogy átesik minőségellenőrzésen. Az okos eszközök a legkritikusabbak. És most nem csak arra gondolok, hogy nem gyullad ki a töltő, hanem arra, hogy milyen alkalmazás fut a háttérben. Megveszed, felteszed a hálózatodra, majd elkezd hazatelefonálni, lehet, hogy feltérképezi a belső rendszereidet. Vagy van rajta egy botnet alkalmazás, és a rendszeredből küld ki spam-eket, vagy támadásokat indít más rendszerek ellen. Ráadásul nem biztos, hogy feltűnik a turpisság.

DIP: MIT TANÁCSOLSZ, HOL VÁSÁROLJUNK OKOSESZKÖZT?

MK: Mindenképpen Magyarországon, és neves, márkás, Európában ismert termékeket ajánlatos venni, melyeknek Európában van képviseletük. Itt is előfordulhat szürke import, de ezek a legbiztonságosabbak.

DIP: HOGYAN FEJLESZTED MAGAD?

MK: Egyrészt a Symantec által. Itt nem csak a termékről kell tudni ugyanis beszélni, hanem a trendeket is figyelni kell. Viszont a háttérben nagyon sok segítséget kapunk, a Symantec-nek elég nagy rálátása van a nagyvilágra, házon belül megnézhető, lekérdezhető, mi zajlik. Szó szerint. Meg tudom neked mutatni térképen, milyen támadások zajlanak e pillanatban mondjuk Békéscsabán. Szépen kirajzolódnak a trendek. Abból is sokat tanulok, hogy az ügyfelek milyen problémákba szaladnak bele, emellett a Mysec által is fejlődöm. Működik egy felületünk, amit direkt legyengítettem, szándékosan feltörhető, ezen figyelem, hogyan támadják, hogyan törik fel folyamatosan. És persze otthon is vizsgálom a hálózati eszközöket, a végpontokat.

DIP: HOGY LÁTOD A JÖVŐT?

MK: Miután ezzel foglalkozom, nagyon pesszimista vagyok. Nagyon kevés a jó szakember, ez a legrosszabb. Attól, hogy valaki tud antivírust telepíteni, még nem szakember. Alapvető lenne a végpontvédelem, a sandbox, a tűzfal, az IPS, a SPAM szűrő, a proxy, a gateway, vagy az IPS eszközök ismerete.

Ha a fiatalok nem kapják meg a megfelelő tudást az egyetemen/főiskolán, úgy kerülnek ki, hogy inkább csak az elmélethez értenek. Aztán ha elhelyezkednek egy cégnél, még mindig sok tényezőtől függ a fejlődés: milyen minőségű képzést kapnak a továbbiakban, milyen az ügyfélkör és az IT security területe, mennyire nyitott a cég, mennyire veszik fel a fonalat a nagyvilággal. Ezért is tartom fontosnak a Mysec szakmai közösségét és hogy minél több ember ismerkedjen össze, hiszen így több helyről is tudnak kérdezni, korrelálhatnak, irányt jelölhetnek ki.

Sok szakma jött létre az IT biztonság területén és így lesz ez a jövőben is. Egy pályakezdő még nem tudja, melyik irányba induljon: a vállalat biztonságáért vezetői szinten feleljen, vagy inkább logokkal foglalkozzon, nézze és elemezze a naplókat, vagy azt akarja felügyelni, hogy az újonnan létrehozott dolgok rendben vannak-e? Lehet, hogy valakit érdekel a téma, de rossz helyen helyezkedik el, vagy nem tudja, mik a lehetőségek és nem tud orientálódni, nincs szakmai rálátása.

DIP: MEGOLDÁST JELENTHETNEK A GYAKORNOKI PROGRAMOK?

MK: Jóval több kell a gyakornoki programoknál. Fontos, hogy kipróbálhassa magát a fiatal, hogy ráérezhessen, melyik az ő területe. Az IT területen belül nagyon széles a szakma, és nem biztos, hogy lát olyan területet, amiben sokkal ügyesebb lehetne. Ráadásul a biztonsági terület annyira speciális és felelősségteljes, hogy nem engedhetők be gyakornokok. Először szemléletet kell tanulni, utána ülhetnek be a székbe. Bizonyos cégek indítanak ugyan gyakornoki programot, de számítanak arra, hogy náluk helyezkedik el a gyakornok, épp a munkaerőhiány miatt. Vagy azt mondják, hogy gyere hozzánk dolgozni, aztán felfejlesztik és az is lehet, hogy olyan fizetést és ugródeszkát kap, hogy a főiskolát már be sem fejezi.

Jó alap a tanulás, de sok minden függ attól, milyen céghez mész, milyen szemléletet kapsz. Más egy bányászattal foglalkozó cégnél dolgozni és más egy légitársaságnál. Más, ha 30-40 ember egész nap Excel táblázatokkal foglalkozik, dokumentálva a kitermelt anyagot, és más egy légitársaságnál, ahol fontos az üzembiztonság és a rendszer IT biztonsága.

(Fotó: Makay Kálmán)