HTE Távközlési Klub – Omladozó tűzfalak mögött
Ha csak a különféle médiákban megjelenő cikkek alapján ítélkeznénk, azt hihetnénk, a biztonságos kommunikáció alapjait képező főbb titkosítási és más védelmi algoritmusokat már mind feltörték. A legváltozatosabb módon tálalt sajtóértesülések között nem könnyű eligazodni, többek között ebben is segítő kezet nyújtott a Távközlési Klub májusi alkalma, ahol a hálózatbiztonság aktuális kérdéseiről a terület szakértőinek véleményét hallgathattuk meg.
A Távközlési Klubest vitavezetője ezúttal a BME-HIT-en működő Crysys Lab részéről érkezett Bencsáth Boldizsár volt, aki rövid bevezetője után elsőként a Simonyi Károly Szakkollégium Kollégiumi Számítástechnikai Körének (KSZK) tagjait kérte fel egy rövid demó megtartására. A Rajtmár Ákos által megtartott bemutató keretein belül a KSZK „Securiteam”-je egy WPA-TKIP titkosítással védett Wi-Fi hálózat feltörését demonstrálta. Habár a demó kontrollált körülmények között zajlott, és a hálózat egy szótári adatbázisban szereplő jelszóval volt védett, a hallgatóság nagy részét meggyőzte arról, hogy a régebbi titkosítási, védelmi eljárások és az egyszerű jelszavak fölött már jócskán eljárt az idő.
A továbbiakban Berta István Zsoltot, a Microsec Számítástechnikai Fejlesztő Kft. K+F folyamatszervezési igazgatóját hallgathattuk meg, aki előadásában a legismertebb kriptográfiai algoritmusokról, ezek erejéről és állóképességéről beszélt. Előadásából megismerhettük azt az alapelvet, miszerint az algoritmusok esetén egyedül a kulcsot kell őriznünk, maga az algoritmus működése teljesen nyílt kell hogy legyen. Éppen a nagy számban jelen lévő, algoritmusok nyüstölésére szakosodott hozzáértők által indított támadások azok, amik igazán megerősítenek vagy süllyesztőbe helyeznek egy módszert. Elsőként blokk alapú kódolókról ejtett szót, és elmondta: ezek közül az AES-192 és az AES-256 (Advanced Encryption Standard – magas szintű titkosítási szabvány) még mindig jól használható. Ezután a folyam kódolókkal folytatta, melyekre tipikus példa az a vezetéknélküli hálózatok idejétmúlt WEP titkosítása esetén is használt RC4 algoritmus, amiben már jó pár évvel ezelőtt súlyos gyengeségeket találtak.
Tisztán matematikai problémára épülnek a nyilvános kulcsú kriptográfia algoritmusai. Ezeknél minden partner rendelkezik egy magánkulccsal (amit titokban tart) és egy nyilvános kulccsal (ami mindenki számára ismert), így az algoritmus üzenetek titkosítására is alkalmas, de aláírásként is funkcionálhat. A család legismertebb tagja az RSA-algoritmus (Rivest-Shamir-Adleman algoritmus), melynek 1024 bites kulcshosszúságú változatát ma is számos helyen használják. Ennek helyét azonban már hivatalosan is a 2048 bites változatnak kell átvennie, leginkább annak köszönhetően, hogy a 768 bites változatot tavaly feltörték. (Persze egyelőre még nem kell attól tartani, hogy az 1024 bites változat elkopna, sikeres támadás nem ismert ellene, a 256 bittel nagyobb kulcshossz pedig a gyakorlatban nagyságrendekkel erősebb megoldást jelent.) Ebbe a kategóriába tartozik még a nagyobb számításigényű ECC algoritmus is, ami azonban már 224 bites kulcshosszúsággal megfelelő titkosítást képes nyújtani. Az igen tartalmas előadás végén hash függvényekről hallhattunk. Tekintve, hogy itt lényegében egy szűkítő leképezésről beszélünk, az algoritmusoknak két fontos kritériumnak kell megfelelniük: őskép ellenállónak (nehezen adható meg, mié a lenyomat) és ütközés ellenállónak (két különböző dolognak nem lehet azonos a lenyomata) kell lenniük. Ebből a családból például az SHA-2 (Secure Hash Algorithm – biztonságos hasító algoritmus) maradt még talpon. Zárásképp Berta István Zsolt megemlítette: sosem szabad figyelmen kívül hagyni, hogy a kulcsok gondozása során általában emberi tényező is szerepet játszik!
A klub az Ericsson menedzsment rendszerének biztonságáért felelős Zömbik László előadásával folytatódott. Elsőként protokoll biztonsági hibák kerültek szóba, és megtudhattuk: számos protokollnak sokszor már a leírása, specifikációja sem egyértelmű, illetve előfordul, hogy ezek valamilyen gyenge algoritmust égetnek be (vagy csupán együttműködnek régebbi protokollokkal), komoly biztonsági rést ejtve ezzel a különféle rendszereken. Néhány szemléletes példát követően Zömbik László kiemelte, hogy a távközlési hálózatok biztonsága alapvető kérdés, hiszen hatalmas értéket képviselnek, fejlesztésük és üzemeltetésük állandó munkát igényel. Ennek során azonban a kockázatmenedzsmenttel is kell foglalkozni, hiszen a túlzott védelem a költségeket is figyelembe véve lehet kevésbé optimális.
A klubest záró előadását a BME-TMIT részéről érkező Szentgyörgyi Attila tartotta meg. Tartalmas összefoglalójában vezeték nélküli hálózatok biztonsági kiegészítéseiről beszélt, ahol igen fontos különbséget kell tenni hitelesítési és titkosítási módszerek között. A hitelesítés esetében arról a megoldásról beszélünk, amivel a csatlakozni kívánó eszközök hitelesítik magukat (ez általában előre megosztott kulcs (PSK), de sok helyen alkalmaznak erre RADIUS-szervert), míg a titkosítás a felhasználó és az útvonalválasztó közötti adatfolyam rejtéséért felel (biztonságos megoldásnak az AES blokk kódoló alkalmazása mondható). Az előadás során megtudhattuk: vezeték nélküli hálózati kapcsolatunk gyengesége két forrásból származhat, a protokoll hiányosságok mellett itt is kulcsszerephez jut az emberi tényező. A laikus felhasználók sokszor hagyják a gyári beállításon a router nevét és adminisztrátor jelszavát, ami érthető okokból elég komoly biztonsági rést jelent. Kulcsfontosságú még, hogy már csak a demóból kiindulva se használjunk szótári szavakat kulcsként. Továbbá érdemes tudni, hogy a router azonosítójának (SSID) rejtése önmagában nem nyújt elegendő védelmet, és hasonlóképpen a pusztán hálózati (MAC) címek alapján történő szűrés is kijátszható, hiszen ezeket a címeket egy „hallgatózó” hacker lehallgathatja, majd saját adapterkártyájára tükrözheti.
Az igen tartalmasra sikeredett Távközlési Klubbon ismét aktuális és hasznos témákkal találkozhattak a jelenlévők. Hallhattunk emellett a napjainkban használatos kriptográfiai algoritmusok alkalmazhatóságáról, és a klub gyakorlatban is alkalmazható tippekkel szolgált arra nézve, a rendelkezésre álló eszközök birtokában miként védhetők meg legjobban a vezeték nélküli hálózatok.
Csatári Bálint