Zárva tartom az összes ajtómat, mégpedig a bizalmatlanság jegyében. Az utcai kaput, a ház bejáratát, mindet. Besurranó tolvajok mindig voltak, és újabban a trükkös tolvajok felbukkanásával is számolni kell. Értékeimet, titkaimat védve használok eszközöket, amiknek révén biztonságban tudhatom fontosabb tárgyaimat, adataimat. Ezek a védelmek addig hatásosak, amíg nem elszánt, hozzáértő szakemberek kezdenek el foglalkozni megkerülésükkel, hogy a mögöttük lévő dolgokat megszerezhessék.

Egyszer mindenkit elér a csapás, és elveszíti lakáskulcsát. Így jártam én is, annyival gazdagítva az esetben rejlő lehetőségeket, hogy a kulcscsomómat vesztettem el. Rajta voltak a kapu-, bejárati ajtó- és autókulcsok, riasztó- és kapunyitó távirányítók. Ha lúd, legyen kövér. Ezeken kívül megvolt minden, csak éppen nem fértem hozzá semmihez. A kirekesztettség elkeserítő érzésétől egy zárnyitásra szakosodott vállalkozó segítségével szabadultam. Ő az a "betörő", aki a tulajdonos engedélyével - sőt, kérésére - hatol be az illetéktelenek elő elzárt területre. Ha kell, akkor kulturáltan pepecselve roncsolásmentesen, máskor viszont durván, erőszakosan fúr, vág, feszít. Ahogy az ügyfél kívánja. Így láthattam testközelből, hogy mekkora ellenállást fejt ki egy hagyományos zárszerkezet a hozzáértővel szemben. Gyakorlatilag zajtalanul, károkozás nélkül, nagyjából egy percen belül végzett, és azért tartott ilyen sokáig, mert közben elő kellett vennie a szerszámkészletét.

Napsugarak hatása százszorszépekre című korábbi írásomban már említettem azokat a tényezőket, amik világunk fejlődésével újabb támadási felületként keserítik a korszerű ember mindennapjait. Az internetre csatlakozó számítógép egy újabb kaput nyit a világra, és szándékosan nem kijáratnak nevezem a lehetőséget, mert ez kétirányú kapcsolat. Ezen bizony jöhetnek befelé, és jönnek is. A szorgalmasan végzett munka utáni megérdemelt pihenést sokan hobbijukra szánják. Gilisztákat szednek össze eső után, titkos receptjükre esküdve gyártják a speciális csalianyagot (vanília puddingra jönnek a halak!), aztán leülnek a vízpartra, és horgásznak. Ártalmatlan időtöltés, ha a halak érdekeit nem vizsgálom.
A természettől elidegenedett nagyvárosi polgárnak nem igazán vonzó lehetőség ez, mert nem működik távirányítóval. Egyre újabb eszközök, új lehetőségek, frissen kifejlesztett technológiák. Korábban ismeretlen hobbiknak hódolhatnak a szabadidejüket kellemesen eltölteni kívánó városlakók. Horgászat vagy terepasztal építés helyett sokkal izgalmasabb az interneten keresztül mások gépeit "piszkálgatni", aztán a klubban elmesélni, hogy ki milyen hőstettet hajtott végre, milyen adatokat lopott el. Egy jól sikerült hobbiból kinőheti magát komoly üzleti tevékenység is, így nyit fodrászszalont a korábban GYES-en lévő anyuka, aki eleinte csak azért vágta szomszédasszonyok és barátnők haját, hogy jobban teljen az idő. Férfi kivitelben pedig nagyjából hasonlóképpen válik hacker abból a gimnazistából, aki eleinte suli után, majd később főállásban ért annyira a programozáshoz, a TCP/IP protokollhoz és a hálózati szolgáltatások sebezhetőségeihez, hogy ez a tevékenysége tisztes jövedelmet biztosít.

Történt egyszer, hogy egy közepes méretű vállalkozás hálózatba kapcsolt számítógépeinek rendszerében kellett rendet tennem, és mi sem volt természetesebb annál, minthogy felméréssel kezdtem. A hálózati kábeleket követve egy szekrény tetején bukkantam rá egy számítógépre emlékeztető, monitor és billentyűzet nélküli szerkezetre. Első ránézésre így csak annyit deríthettem ki róla, hogy zúg, be van kapcsolva, és fogyasztja az áramot. A rendszergazda megszökött, és a legtájékozottabb dolgozó sem ismerte a titokzatos gép funkcióját, ellenben előkotorta a telefonszámát annak, aki emlékezete szerint odatette. Megcsörgettem a számot, amit elég gyorsan fel is vettek, és egy lihegő hang mutatkozott be. Ismertettem a helyzetet, ő emlékezett a gépre, és a kérésemre, hogy találkozzuk, beszéljük meg, így válaszolt:
- Most nagyszünet van, amibe nem fér bele, de suli után megyek.

Komolyan kell venni az iskolás korú számítógép gurukat. Nem azokra gondolok, akik vég nélkül játszanak, és csapatba tömörülve, haverjaikkal hajtják uralmuk alá virtuális birodalmukban a náluk bénábban játszó alattvalóikat. Azok válhatnak számottevő szakmai tényezővé, akik nem elégednek meg a felhasználói szintű ismeretekkel, hanem a gép működési elve, a háttérben futó programok, az operációs rendszer szolgáltatásai sem hagyják nyugodni őket. Innen egyenes út vezet a programozás felé, amire ha egy érdeklődő gyermek rákap, akkor nincs megállás. Miért hatékony egy iskolás korú guru? Azért, mert az érettségiig semmi gondja. Van hol laknia, kap enni, kimossák a gatyáit - a szülei gondját viselik. Magára csukja az ajtót, és teljes erőből nekieshet a tudományoknak. Igaz, hogy közben könnyen elhidegülhet a családjától, ismerőseitől, de semmi nem menti meg attól, hogy a kisujjában több tudás legyen, mint egy családos, kényszervállalkozó informatikus fejében. Ráadásul itt van az a tényező, ami roppant vonzóvá teszi a programozást. Nincs még egy olyan szakterület a számítógépes tudományokon kívül, amire érvényes: aki érti a dolgát, az királynak érezheti magát, mert az utasításait szolgai hűséggel hajtják végre a gépek.

Egy szélsőségesen speciális szakterület a számítógépes tudományok között a hacker tevékenység, aminek léteznek etikus művelői, de lehet állni a sötét oldalán is. Megnyugtatok mindenkit, akinek összeszorul a gyomra a hacker szót számítógéppel összefüggésben hallva-olvasva, hogy nem kell jobban tartani a jelenségtől, mint például a kólibaktériumtól. Ez jelen van mindenhol. Földben, vízben, élőlényekben - az emberben is. Nem okoz gondot addig, amíg megmarad a tápcsatorna alsóbb szakaszaiban, de amint szájon át kerül az emberbe, már veszélyessé válik. Az ételek kellő mértékű hevítésével, forralással, tisztasággal, körömkefével lehet ellene védekezni. Ugyanilyen egyszerű a védekezés hackerek ellen. Ne látogass cirill betűs weboldalakat, ne kattintgass ész nélkül cicis nénikre (lányok chippendale fiúkra), és ne nyisd meg kéretlen elektronikus levelek mellékleteit puszta kíváncsiságból. Az ilyen leveleket olvasatlanul töröld! A "tartsd szárazon a puskaport" helyett ma már inkább a "tartsd frissen a vírusadatbázisodat" intelmet kövesd, és ne sajnáld a pénzt vírusirtó programra.^[1]
Ahogy kulcsokat az ajtókhoz, úgy jelszavakat és azonosítókat kell őrizned számítógépes ügyeid intézéséhez. Emlékeztet a kulcsok utáni kotorászásra az, ahogy a belépésnél kérik ezeket az adatokat, én meg próbálom felidézni, hogy mi is volt, hogy is volt. Ahány webes szolgáltatás, annyi jelszó, mert nem tanácsos egyforma jelszavakat használni mindenhol.

Létezik az a fajta csalás, hogy vonzó szolgáltatást kínálnak ingyen, ahol a regisztrációnál kérik megadni az e-mail címedet, és be kell írnod a szolgáltatás majdani igénybevételéhez szükséges jelszót is. Az üzemeltetők arra számítanak, hogy a mamlasz érdeklődők egy része nem bonyolítja túl a dolgot, és itt is ugyanazt a jelszót fogja megadni, mint amit a postafiókjához használ. Nem kell magyaráznom, hogy ennek mi a veszélye.

Gyötrelmes az élet, amin a számtalan számítógépesített szolgáltatáshoz rendelt belépési adatok megjegyzésének állandósult kényszere sem segít. Ellenkezőleg, szaporítja a gondokat. Aztán egyszer valaki megvilágosodott, és bedobta a köztudatba az effajta gondokon enyhítő PasswordManager fogalmat, majd egyre-másra jelentek meg ilyen funkciót biztosító, a jelszavakat az ügyfél helyett nyilvántartó, és különböző szolgáltatásokhoz automatikus beléptetést intéző programok. Nem véletlenül tartom kulcsra zárva az ajtókat itthon. Rögtön arra gondoltam, hogy ez a valaha kitalált legnagyobb dobás arra, hogy gyanútlan és lusta emberekből a kényelem ígéretével csalják ki azonosítóikat és jelszavaikat.
Cloud. Ez az egyik legújabb divatirányzat az internetes világban. Ha valamit jól el akarok adni, akkor nem kerülhetem meg, hogy a nevében ez a szó szerepeljen. Különben nem az enyémet veszik meg enélkül, hanem a másik terméket ezzel. E divatnak megfelelően a jelszavak nyilvántartását végző programoknak is szükségszerűen keletkeztek "cloud" változatai, ami a gyakorlatban annyit tesz, hogy a program hatáskörében tárolt adatok nem a saját géped valamely tárolóeszközén foglalnak helyet, hanem azon kívül, valahol a világban. Valahol ott, ahonnan 2014 hírhedten botrányos ügyében hackerek megszerezték többek között a pucér Jennifer Lawrence nem nyilvánosságnak szánt, felhő-szolgáltatásban tárolt képeit.

Ilyen előzmények után olvasom Betörtek a LastPass hálózatába cím alatt az aggasztó hírt: email címek, jelszóemlékeztetők és egyéb érzékeny adatok kerültek ki a jelszavakat őrző vállalkozás rendszeréből. Az üzemeltető közleményben nyugtatja meg ügyfeleit, amihez az elmúlt egy napban közel ezren fűztek valamilyen megjegyzést. Eszerint nem érdektelen a téma, sokan használják a szolgáltatást.
Egy ősi trükk alkalmazásával a hasonló kínok elkerülhetők. Jelszavakat fejben, adatokat helyben kell tárolni. Amit elviszel magaddal otthonról (laptop, pendrive, külső HDD), azt titkosítsd. ^[2] Ha elveszítenéd, akkor csak a vas miatt bosszankodsz, az adataidon nem fog csámcsogni senki. Az otthoni, szintén titkosított adathordozóidon bátran tárolhatod a frissen tartott jelszógyűjteményről készített nyilvántartást, hogy a ritkán használtakat elővehesd, ha feledésbe merülnének. Ezeket a titkosított tárterületeket pedig olyan jelszóval ^[3] védd, amit soha nem felejtesz el - leírni, hangosan kimondani, és idegen gépen beírni nem szabad. ^[4] Rég volt már, amikor az ajánlások szerint 8 karakternél hosszabb jelszó elegendő biztonságot nyújthatott. Azóta a processzormagok száma nőtt, a GPU nem grafikus célú programozása elterjedt, rendszerbe álltak a distributed- grid- és parallel computing technológiák. Mára olyan durva számítási teljesítmény állhat rendelkezésre, amivel rövidebb (8-10 karakteres) jelszavak törése a legegyszerűbb "brute force" módszerrel is belátható idő alatt sikeres lehet, a kifinomultabb, szótárból is dolgozó algoritmusok pedig ennél is hatékonyabbak. Ne használj amerikai (USA) gyártmányú titkosítást, mert az ottani törvények értelmében a gyártó köteles kerülőutat biztosítani a hatóságoknak.

Minden tanács haszontalan, ha nem a gépet, a rajtuk futó programokat, hanem az embert hekkelik meg. Ez ellen nem segít sem titkosító program, sem lézersorompó. Számítógépes rendszerek ellen elkövetett szabotázscselekmények utólagos elemzésekor a legtöbb esetben az emberi tényező mutatható ki leggyengébb láncszemként, aminek legjobb példája a bankkártyára írt PIN kód. Az emberi agy igazán remek konstrukció, de nem mentes működési zavaroktól. Ezeket kihasználva egy hozzáértő nevetségesen egyszerű módszerekkel szerezhet meg bármit, amit különben jól kidolgozott rendszer véd. A hacker nem feltétlenül számítógépekkel, a rajtuk futó programrendszerekben megfogalmazott algoritmusokkal küzd. Erre a legvégső esetben fanyalodik, amikor már az összes, elméletileg könnyebben leküzdhető tényezőn fennakadt.
Nem vagyok bűnöző alkat, egykoron mégis versenyszerűen hekkeltem meg hivatalnokot, bolti eladót, pénztárost, rendőrt. Hol a kedvezőbb elbánásért, máskor az elérhető időnyereségért, és a kíváncsiság is mozgatott néha, hogy sikerül-e? Megmaradt a nyolc hónapja lejárt jogosítványom, a rendszámot sem szedték le az autóról, és a rendőr beérte 1.600 forinttal - nem volt több a pénztárcámban. Vásároltam rádiótelefont kitöltött garanciajeggyel, készpénzfizetési számlával úgy, hogy fizetni érte nem kellett. Hasonlóképpen vásároltam olykor lábtörlőt, máskor egy tucat 1.2 kilós kutyakonzervet, 6x2 literes üdítőital csomagot, vagy éppen ágyrácsot - a pakk méretével arányos a kihívás - úgy, hogy nem kérték az árát. Ezek elég nagyméretű dolgok, tehát nyilvánvalóan nem a kabátom alatt csempésztem ki őket, hanem sportszerűen a pénztárszalagra helyezve, megadva a lehetőséget az előírt protokoll szerinti eljárásra. Mindezekkel a trükkökkel összességében csak egyensúlyi állapotot alakítottam ki a veszteség oldalon jelentkező rendőri túlkapásokkal, hivatalnoki packázásokkal, vagy éppen ez engem megkárosító, átverő, flegma boltosokkal szemben.
Egy igazi hacker a rendszer gyenge pontjait keresi. Ha ezek a gyengeségek számítógépes vonalon mutatkoznak, akkor azt használja ki, de ha megfoghatja a könnyebbik végét, akkor bolond lesz monitorok előtt gubbasztani, és fáradságos munkával, bonyolult algoritmusok logikáját követni.

Frissítés
Komoly gondok merültek fel az Apple OS X és iOS operációs rendszereiben, amik kihatnak a Keychain password manager szolgáltatásra, és az ott tárolt jelszavak illetéktelen kezekbe kerülhetnek. Az erről a jelenségről szóló tudósítások keményebben fogalmaznak.

[1] Iskoláskorúak diákigazolványával az Eset NOD32-t féláron megvásárolhatod, ha nem zavar, hogy a számla az igazolvány tulajdonosának nevére szól. Kevés nagyobb butaság van annál, mint "feltört" vírusirtóra bízni a számítógépet. Ez olyan, mint lakatot vásárolni biciklitolvajtól, aki egy kulcsot biztos megtart.
Azért is fontos fizetni bizonyos programokért, mert ha a fejlesztők nem jutnak tevékenységük révén jövedelemhez, akkor kénytelenek lesznek elmenni kapálni, és amíg ők a mezőgazdaságban keresik kenyerüket, addig sem frissül a vírusadatbázis.

[2]: Az ingyenes TrueCrypt, és a fizetős DriveCrypt egyaránt jó választás. Ha ezek egyike sem rokonszenves, akkor tájékozódhatsz a GFI Blog terjedelmes összefoglalójából.

[3] Ha a lehetőségek engedik, akkor inkább egy hosszabb szöveget használj, esetleg egy versidézetet, vagy valamelyik kedvenc Mátyás királyos mesédből egy olyan mondatot, amit kikereshetsz a könyvből, ha már nem emlékeznél rá pontosan.

[4] Nem lehetsz biztos abban, hogy az idegen gépen bírt jelszó nem kerül illetéktelen kezekbe. Erre találták ki a hackerek a keylogger programot, ami a beírt szöveget rendszeresen elküldi "gazdájának", aki ezt kiértékelve a helyedbe léphet olyan rendszerekben, ahol nem véd kétlépcsős azonosítás, mint például amire a Google fiókodnál lehetőség van. Egy igazán felkészült hackernek persze erre is van megoldása...