Akit azért fizetnek, hogy meghekkelje a Google Chrome-ot
Parisa Tabriz 31 évesen lett a Chrome információbiztonsági csapatának vezetője, de a Fehér Háznak is volt már szüksége a tudására. Hogy dolgozik, akinek az a munkája, hogy úgy gondolkodjon, mint egy bűnöző? Melyik eset volt rá a legnagyobb hatással? Mit keres egy leendő kollégában? Mi a legnagyobb félelme a szakmájával kapcsolatban? Miért kell a jó PR a hekkereknek?
„Először nem tudtam, mi akarok lenni. A középiskolai karrierteszten az jött ki, hogy rendőr. Akkor ez vicces volt, de most már nem is áll tőlem olyan távol, hiszen mindent megteszek mások védelmében.”
2011-ben a holland DigiNotar tanúsítvány kibocsátó biztonsági réseit kihasználva online bűnözők elloptak olyan digitális hitelesítőkódokat, amelyekkel honlapok valódiságát lehet igazolni. Ezek birtokában csalásokhoz, kártevők terjesztéséhez használt oldalakat tudnak legitimnek álcázni. Maga a DigiNotar egy hónap után vette észre a hibát, majd újabb egy hónapig nem kezdtek vele semmit. Az incidenst így a Google információbiztonsági csapata jelezte először, miután olyan SSL-tanúsítvány is megjelent a neten, amelyet ismeretlenek bocsátottak ki a Google nevében. A támadás vélhetően Iránból jött, az iráni kormány szponzorálásával, és végül 300 ezer iráni adataihoz férhettek hozzá. Mivel a kibocsátó hatóság a holland kormánnyal is szerződésben állt, a belügyminiszter éjszaka tartott sajtótájékoztatót, hogy közölje: szerződést bontanak a céggel (ami csődbe ment). És visszaálltak a papíralapú ügyintézésre, amíg a hiba el nem hárult.
A Google csapatának ekkor már 5 éve tagja volt Parisa Tabriz IT mérnök. Az eset nagy hatással volt rá, emlékszik egy iráni érintett kommentjére, aki azt írta egy blogon: „számotokra egy hamis tanúsítvány egy ellopott jelszót vagy személyes adatot jelent, nekem és több ezer iráninak ez börtönhöz, kínzáshoz vagy akár halálbüntetéshez is vezethet”. Amikor két év múlva átvette a Google Chrome biztonsági csapatának vezetését, ez lett az első böngésző, amelynél jutalmat kezdtek fizetni etikus hekkereknek a felfedezett hibákért, és 2017-től minden weboldalnál jelzik, ha nem biztonságos.
Tabriz a világ legtöbbet használt böngészőjét több mint 50, az USA-ban és Európában dolgozó beosztottjával védi. Egy ilyen részleget azért fizetnek, hogy úgy gondolkodjanak, mint egy bűnöző, vagyis rosszindulató hekker. Keresniük kell a biztonsági réseket, bugokat, azaz folyamatosan próbálni feltörni a Chrome-ot, megelőzve az adott problémával kapcsolatos információ rossz kezekbe jutását. Ha ő és csapata jól végzi a munkáját, a felhasználók észre sem veszik, ahogy dolgoznak. „Közel kétmilliárd ember használja ezt a böngészőt. Sokan nem tudnak angolul, és a többségük nem igazán tudja, hogy működik az internet.” – mondja. Ezért jelölik január óta „nem biztonságos”-ként a böngészősávban, ha egy oldal nem használja a HTTPS protokollt, arra ösztönözve az internetet, hogy biztonságosabb hellyé váljon. „Azzal vádolnak minket, hogy paternalisták vagyunk, de egyszerűen megtehetjük, hogy ezzel is védjük a használókat.”
A számítógépes bűnözés többnyire lefedi az offline világban is fellelhető bűncselekményeket: a többségük csalás, például valaki elad egy autót, amely nem az övé, vagy másnak adja ki magát, hogy emailben csaljon ki pénzt másoktól. És vannak a nagy volumenű adatlopások, például 2014-ben a Yahoo-nál használhattak ki egy biztonsági rést, akár 1 milliárd felhasználó adataihoz hozzáférve. De ekkor már egy éve tartott az Edward Snowden által kirobbantott világméretű botrány is, amely alapjaiban kérdőjelezte meg az emberek biztonságérzetét. De elég akár csak az idén már két világméretű hullámban megjelent zsarolóvírusokra gondolni.
Tabriz szerint a hekkerek folyton egyfajta erkölcsi purgatórium állapotában vannak – a jó és rossz közötti határvonal sokszor elmosódik -, de attól még fekete-fehérben gondolkodnak magukról. Aki etikus („white hat hacker”), megtalálja a pénzzel kitömött tárcát, de megkeresi a tulajdonosát, és visszaadja neki, amire nyilván büszke. Ehhez képest a rosszindulatú hekker („black hat hacker”) szerint a másik egy lúzer. Ő nemcsak elteszi a pénztárcát, de folyamatosan újabb áldozatokra vadászik, akiket meglophat (vagy használhatja identitásukat, megbéníthatja a gépüket, vagy szervezetek működését, a megszerzett információkat eladhatja, stb.). Ő is nagyon büszke arra, amit csinál, ráadásul folyamatosan megújuló technológia mellett önmagukat állandóan fejlesztő emberekről van szó. Velük szemben egy átlagos felhasználó szinte tehetetlen, azért is, mert a többségnek eszébe sem jut alapvető biztonsági intézkedések betartása (például bonyolultabb, minden oldalhoz különböző jelszavak használata).
A kriptográfia – titkos üzenet illetéktelenek általi elolvasásának megakadályozása – és a steganográfia, azaz kódolt üzenet elrejtése – amelynek célja, hogy illetéktelenek ne is tudjanak róla, hogy valahol rejtett üzenet létezik – fejlesztik a hekker gondolkodását. Jó példa szerinte az uralkodó, aki leborotváltatta rabszolgája fejét, és beletetováltatott egy üzenetet. Megvárta, amíg a rabszolga haja újra kinő, majd elindította a követeként. Terrorista hálózatok tagoknak szóló üzenetei pornóoldalakon is voltak már elrejtve, de Tabriz csapata talált már egyszerű macskás képeknél is kártékony elemeket.
Éppen ezt az abszurdhoz való érzéket keresi, amikor új kollégákat toboroznak. „A legtöbbükben megvan a kíváncsiság, meg szeretnének érteni valamit (hogy működik). És a kalandvágy is, hogy kipróbáljanak valami szokatlant.” Nehezítve elvárásait, nemcsak olyan csapattagra van szüksége, aki a legbonyolultabb biztonsági hibát is felfedezi és javítja, de elég erős ahhoz, hogy ellenálljon a tudásával illegálisan elérhető nagy pénznek is.
A hekkelés piaca hasonló a fegyverpiacéhoz: van bennük egy jókora szürkezóna. Vannak közvetítők, és ha egy hekker rajtuk keresztül keresi meg az adott céget, nem kell elmondania, hogyan dolgozott. Ilyenkor a közvetítő adja el az információt, akár bűnözőknek is. Ugyanígy kormányok is részt vesznek olyan programok felkutatásában, amelyek gyengíthetik ellenségeik védelmét – mondja. Az iparágban terjedő információkat begyűjtve bizonyos emberekkel a Google is elutasítja az együttműködést. Ahogy nő az iparág, úgy nő a szürkezóna, és van némi félelme, hogy megtalálja-e a jövőben is a megfelelő munkatársakat.
A cég fejlesztő mérnökeinek is tréningeket tart, hogy lehetőleg már a fejlesztés közben figyeljenek biztonsági szempontokra, és ne a végeredményt kelljen állandóan javítani. Első feladatuk az, hogy találják ki, hogy hekkelnék meg a csokiautomatát – technológia nélkül. A válaszaikból rögtön látja, kiben van meg a kíváncsiság és egyben „rosszaság”, ami ehhez kell. Van, aki a kedvencének megszerzésére koncentrál, van, aki az automata teljes tartalmát akarná, és akad olyan, aki plusz funkciókat adna a gépnek. Az egyik legjobb megoldást egy európai munkatárstól kapta, aki szerint egy 10 baht-os érmét (Thaiföld fizetőeszköze) kell használni a 2 eurós helyett, mert ugyanaz a méret, súly és ötvözet mindkettő. A Google a legjobb hely az olyanoknak, akik képesek az újszerű meglátásokra, az „outside-the-box thinking” szerint – mondja.
És egyben jó terep mindenféle támadásnak, hiszen az internet ikonikus része. Olyan, mint a „hekkelés Alcatraza”. A nagy cégek pénzt ajánlanak, ha a saját biztonsági résükről értesítik őket, a Google akár 30 ezer dollárt is fizet (közel 8 millió forintot), amelyhez konkrét útmutatást kell adni a cégnek, hogyan lehet megtalálni a bugot a programban. Közel tartják „ellenségeiket”: már 3 millió dollár (közel 800 millió forint) felett jár a szabadúszóknak kifizetett összeg, amely sokszorosan megtérült. Mindez nem tétel a vállalatnak, cserébe több száz hibát tudtak kijavítani. És nem presztízsveszteség az ott dolgozó csapatnak sem, hanem óriási segítség. Így lesz a rosszindulatú hekker etikus. „A saját oldaladra akarod állítani őket, nem az ellenségeiddé tenni.”
Tabriz Chicago külvárosában nőtt fel, iráni-lengyel orvos szülők gyerekeként, akiknek nem volt számítógépük. Egészen az egyetemig nem igazán foglalkozott informatikával, majd mégis ilyen szakra felvételizett. Ott érdekelni kezdte a webfejlesztés. Egy nap feltörték a honlapját, ő pedig tudni akarta, miért történt. Elment az egyetem erre specializálódott klubjába, ahol megtanulta a biztonsági tudnivalókat. Meséltek neki egy korai hekkerről, John Draperről, aki az amerikai légierő technikusaként dolgozott az 1960-as években, amikor rájött, hogy tud távolsági hívásokat bonyolítani ingyen. Mindössze egy játéksípot használt, amit müzlisdobozokba csomagoltak gyerekeknek. A síp pontosan 2600 Hz-en szólalt meg – ugyanazon a frekvencián, amelyet akkoriban az USA legnagyobb telefonszolgáltatója használt a távolsági hívásokhoz.
Mire Tabriz végzett, tudta, hogy információbiztonsági területen akar dolgozni. Már diploma előtt a Google gyakornoka volt, fel is vették főállásba. Először az informatikai beszerzések biztonsági vizsgálatával foglalkozott. Mikor odakerült, csak 8 emberük volt erre. Később ez több száz fő lett, és ahogy Tabriz haladt előre, néhány éven belül a Google Chrome információbiztonsági vezetője lett. 2014-ben a Forbes magazin beválasztotta a legsikeresebb 30 év alatti, tech szektorban dolgozó fiatalok 30-as listájába. Még ebben az évben meghívták a Fehér Házba tanácsadónak, a munkája mellett, miután az Obamacare oldalát is támadás érte.
Néhány kolléganőjével a csapatból (Amy Herrity, Wired)
Amikor bekerült a céghez, az ott dolgozók valamivel kevesebb, mint harmada volt nő. Szerinte a nők alulértékelik magukat. Például egy felmérésben azt kérdezték az informatikai csoportokból lemorzsolódottaktól, hogy miért hagyták ott a kurzust. Közülük a nők átlagos teljesítménye B- volt, és azt mondták, nehéz volt a képzés. Ehhez képest a férfiak átlagos teljesítménye rosszabb, gyenge C volt, a kérdésre pedig azt válaszolták, hogy nem volt elég érdekes a tárgy.
„A hekkelés ma ronda tud lenni. A fickó, aki hírességek meztelen képeit lopta el és tette ki a netre, mindenhol szalagcímeket csinált. Amit tett, erőszak volt ezekkel a nőkkel szemben, bűncselekményt követett el, amit hekkerként nagyon szomorúnak tartok. Ahogy látom, nekünk, hekkereknek jobb PR kell, hogy megmutassuk, nem vagyunk mind ilyenek.” Hiszen ő sem olvasná el az exbarát emailjeit, csak mert megtehetné. Számtalan konferencián képviseli a Google-t, reprezentálva, hogy nőként látja el ezt a feladatot. Évente mentorál középiskolás lányokat, hogy minél többen csatlakozzanak a szakmához. „A számítógépes biztonsággal foglalkozó ágazatban a képesség nem ott kezdődik, hogy valaki férfi vagy nő. Ha ilyen munkát szeretnél, ezt meg kell értened.” Ezzel ő nagyon is tisztában van, hiszen a sok túlmunka és ébren töltött éjszakák az ára annak, hogy a világ legnépszerűbb böngészőjét védje a támadásoktól minden egyes nap.
Itt Einstein életének kevésbé ismert részleteiről olvashatsz.
Forrás: https://www.wired.com/2016/11/googles-chrome-hackers-flip-webs-security-model/, https://www.wired.com/2017/04/20-people-creating-future-next-list-2017/, http://www.telegraph.co.uk/technology/google/11140639/Googles-top-secret-weapon-a-hacker-they-call-their-Security-Princess.html, http://www.elle.com/culture/tech/a14652/google-parisa-tabriz-profile/, http://www.businessinsider.com/google-security-princess-parisa-tabriz-2014-7, http://www.protokoll-etikett.hu/cikk/85143/hamis-google-tanusitvany-borzolja-a-kedelyeket?area=216