Turizmus-vendéglátás szakról a kiberbiztonság világába
Beszélgetés Palotay Dorkával (alkalmazott matematikus, Senior threat researcher, CUJO AI)
Mivel foglalkozol most?
Most éppen itthon babázom, de előtte a Cujo AI nevű vállalatnál dolgoztam, és oda is tervezek majd visszamenni. Ez egy amerikai székhelyű cég, ami internetszolgáltatóknak nyújt különféle szolgáltatásokat a routereken futó hálózat-monitorozó szoftverek segítségével.
Én a biztonsággal foglalkozó részlegen dolgozom, ahol a hálózaton tapasztalt gyanús kommunkációkat vizsgáljuk, és akár blokkoljuk is. Ez olyasmi, mint egy antivírus program a számítógépünkön. De például egy okos villanykörtére nem tudunk antivírus programot tenni, ezért van szükség a cyber-támadások hálózati szintű monitorozására.
A biztonsági szolgáltatásokon belül én malware (= kártékony szoftver) elemzéssel foglalkozom, tehát szétszedem azokat a kártékony programokat, amelyek támadják a különböző eszközöket.
Milyen lehet egy malware?
Például a zsarolóvírusok a malware-ek egy széles körben ismert fajtája. Mostanában leginkább botnetekkel foglalkozom, amely egy másik malware típus. Egy botnet sok-sok kis botból áll össze, amelyek például DOS (denial of service) támadásokat indítanak bizonyos célpontok ellen. Ezenkívül vannak olyan malware-ek, amelyek adatokat lopnak a számítógépről, vagy amelyek meghackelik az otthoni kamerát stb. Például nagyon sokan szerelnek fel a gyerekszobába kamerát, ami aztán az internetre csatlakoztatva rossz konfiguráció vagy frissítések hiányában könnyen támadhatóvá válik.
Mostanában a cégnél főleg IoT (internet of things) és NAS (network attached storage) eszközökkel foglalkoztam. Az utóbbi egy hálózati adattároló, ami egy, többek között különféle médiatartalmak, például fényképek tárolására alkalmas eszközt jelent. Ezek általában helyi hálózatról és internetről is elérhetőek, és gyakran válnak sérülékennyé a rossz konfigurációnak vagy a frissítések hiányának köszönhetően. Rajtuk keresztül a támadók bejuthatnak a hálózatra, majd egyik eszközről a másikra, vagy akár csak az adott eszközön hajthatnak végre további támadásokat. Ezek nagyon gyakori célpontok.
Diákként a matek szak előtt turizmus-vendéglátás szakra jártál, hogyan kerültél később mégis az ELTE-re?
Mindig szerettem a matekot, a gimiben az volt a kedvencem, mert azt nem kellett „tanulni”. Nem kellett bemagolni, hogy melyik költőnk éppen merre vándorolt, kibe volt szerelmes és hasonlók. A matematikát ha egyszer megérted, onnantól már könnyű.
Aztán ott voltam 18 évesen, és nem tudtam, mit kezdjek a matekkal. Utólag azt hiszem, nem volt elég információm. Az fel sem merült bennem, hogy mérnök legyek, a tanári pálya pedig sajnos már akkor sem volt anyagilag vonzó. Ugyanakkor utazni nagyon szerettem, ezért választottam a turizmus-vendéglátás szakot. Nagyon hamar kiderült, hogy nem nekem való, de azért befejeztem, és érdekes tapasztalatokat szereztem. Ott is a matekórákat szerettem legjobban, így néhány év „tévelygés” után végül elkezdtem a matematikus szakot, ahová akkor már a húgom járt, és tetszett neki. Aztán amikor oda bekerültem, kinyílt a világ: megértettem, hogy nemcsak a toronyban gondolkodó matematikusok és a matematikatanárok járnak matek szakra, hanem rengeteg egyéb lehetőség is van. Azóta is kicsit bánom, hogy előtte öt évig nem ezzel a rengeteg mindennel foglalkoztam inkább. Az nagyon nehéz volt, hogy mindenkinél öt évvel idősebb voltam, ugyanakkor segített, hogy másképp álltam az egyetemhez, tényleg tanulni mentem oda. Szerettem a tanulást, szinte az összes órát élveztem, éreztem, hogy a helyemen vagyok. A kriptográfiával is az egyetemen találkoztam, ami aztán a karrierem kiindulópontja lett.
Hogyan kerültél a kiberbiztonság világába?
Az egész nagyon érdekesen indult, mert amikor vége lett az alkalmazott matematikus BSc-nek, akkor az EIT Digital keretein belül tanultam tovább kriptográfia szakirányon. Az első év Trentoban nagyon izgalmas volt. Inkább informatikai oldalról közelítettük meg a témát, kevés matekos tárgyunk volt, viszont felvettem kint plusz matekórákat, amik nagyon érdekesek voltak.
Amikor szakmai gyakorlati helyet kerestem, megmondom őszintén, nem igazán tudtam, mihez fogok kezdeni. Adott volt a kriptográfia tudás, és ehhez a korábbi témavezetőm, Szabó Csaba ajánlotta a Sophos-t, ami egy biztonsági szolgáltatásokat nyújtó cég. Odakerültem mint malware-elemző, mivel éppen kerestek valakit zsaroló vírusok elemzésére. Leginkább arra voltak kíváncsiak, hogy milyen titkosítást használnak a zsarolók, illetve feltörhető-e, visszafejthető-e az a titkosítás, amit a zsaroló vírus használ. Amikor a céghez kerültem, semmi közöm nem volt a malware-ekhez, de nagyon megtetszett. Eredetileg főleg az ezekben használt kriptográfiát vizsgáltam, de aztán egyre tágult a kör, és elkezdtem egyre több dologgal foglalkozni. Ez azzal is járt, hogy egyre kevésbé találkoztam matematikával. Ezzel együtt nagyon élveztem, számomra ez olyan, mint a rejtvényfejtés vagy mint egy szabadulószoba.
A Sophos után a Citi Bankhoz kerültem. Ott női főnököm volt, aminek nagyon örültem, mert ez igen ritka a szakmában. Utána kerestek meg a Cujo-tól, ahol most vagyok.
Mik a tapasztalataid nőként az IT világban?
Nagyon jó látni más nőket is a pályán. Őszintén szólva nem találkoztam még olyan női kollégával, akinek családja is volt. Amikor babát vártam, nagyon jó lett volna látni egy mintát, olyan nagyon jól esett volna, de sajnos nem volt. Nagyon jól tudok együtt dolgozni férfi kollégákkal, és nem igazán ért negatív tapasztalat ezzel kapcsolatban. Ugyanakkor érdekes volt, hogy néha azt éreztem, annyira próbálnak korrektek lenni a nőkkel − például más vicceket engednek meg maguknak − hogy emiatt nem tudsz a csapat része lenni. A női főnököm volt az első, akivel kicsit bensőségesebb tudott lenni a kapcsolatom, és sokat tanultam tőle arról, hogy ő nőként hogyan működik a szakmában.
Említetted, hogy szívesen dolgozol együtt másokkal. Számodra mi az ideális csapat- illetve egyéni munka felosztása egy munkahelyen?
Sokan dolgoznak nálunk Litvániából és Magyarországról is. Nagyon élvezem a közös munkát a litván kollégákkal, mert hasonló mentalitásúak, mint mi. Persze muszáj egyedül is dolgozni. Amikor az ember ki akar bogarászni valamit, gyakorlatilag hermetikusan lezárja a környezetét, és szinte teljesen belebújik a kódba. De azt is gondolom, hogy nagyon fontos, hogy megosszuk a tudást, és dolgozzunk együtt is. A Cujo-nál sok diákot igyekszünk foglalkoztatni gyakornoki program keretében, ilyenkor nagyon élvezem a tanítást is, hogy átadhatok valamit. Ugyanakkor mi is sokszor tanulunk a fiataloktól.
Mennyire változatosak a malware-ek által használt módszerek, amikkel találkozol?
Olyan igazán izgalmas megoldással ritkán találkozik az ember. Sok az, ami egy kaptafára megy, csak egy picit más, és véletlenül kicsúszott a detekcióból, az automatikus malware-észlelésből. Ezek az úgynevezett malware-családok, amelyeket folyamatosan fejlesztenek különféle irányokba.
Mi volt az eddigi legizgalmasabb kihívásod itt a Cujo-nál?
Az utóbbi időben olyan malware-ekkel foglalkoztam, amelyek Go nyelven íródtak. A Go a google saját fejlesztésű programozási nyelve, ami egyre népszerűbb a malware-írók körében is, mert könnyű lefordítani különböző architektúrákra. Néhány éve, amikor ezek újdonságnak számítottak, még kérdés volt, hogyan érdemes ezeket elemezni. Egyrészt próbáltam megérteni ezt a nyelvet, és emellett a Ghidra nevű malware-elemző szoftverben hoztam létre elemző toolokat, amelyek más elemzőknek is segíthetnek Go malware-eket gyorsan elemezni. Izgalmas feladat feltérképezni, hogyan lehet megérteni a kódok felépítését, és gyorsan kiszedni belőlük a lényeges információkat, hogy ha leül egy malware-elemző, ne kelljen újra elvégeznie ugyanazokat a lépéseket, hanem automatikusan rendelkezésre álljanak ezek az információk. (Ezek a kódok elérhetők a Cujo GitHub oldalán.)
Azért is szeretem a cybersecurity világot, mert ez a kutató közösség eléggé együtt dolgozik, megosztjuk egymással a tudást. Például most is együtt dolgozom egy kollégával egy másik cégtől, aki ezeket a Python kódokat Javaban írja meg. Nagyon jó érzés, hogy teljesen más cégtől jövő emberekkel is lehet együtt dolgozni. Szerintem ebben az együttműködésben van az erősségünk ezen az oldalon. Ezt egyébként a Citinél is tapasztaltam, a bankok figyelmeztették egymást támadások esetén.
A munkád során mennyire használod a matekos gondolkodásmódot?
Keveset használom konkrétan a matematikát, sokszor inkább programozói tudásra van szükség. Ugyanakkor mi matekosok mindig szeretnénk megérteni, hogy mi miért van, beleásni a probléma mélyébe. Nem elégszünk meg azzal, ha csak néhány gombot megnyomva véletlenül működik a dolog. Megőrülök, ha nem értem, miért működik valami, és ez szerintem eléggé matekos vonás. Szeretjük megérteni a mélyebb összefüggéseket, és ez nagyon hasznos tud lenni.
Szerinted a matekosok közül kiknek való a cybersecurity világ?
Ha van türelmed leülni, belemászni. Egy etikus hacker munkája pörgősebb, folyamatos támadás. Amit én csinálok „szöszölősebb”, néha kitartónak kell lenni, mert lassan állnak össze a dolgok. Aki szeret rejtvényekkel bíbelődni, annak abszolút való ez a pálya. No meg többféle feladattal foglalkozhatunk, így mindenki megtalálhatja azokat a területeket, ami neki tetszik. Az mindenképpen kell, hogy nyitottak legyünk új IT tudás megszerzésére. Ha most újra kezdhetném, és tudnám, hogy ilyen irányba megyek majd, több informatika órát vennék fel.
Egy örök küzdelem van a malware-ek (a rosszak) és az ellenük küzdők (a jók) között, szerinted éppen ki áll nyerésre?
Ez mindig ott van valahol középen. Ha az egyik oldal kitalál valamit, arra azonnal reagál a másik. Például egy húsz évvel ezelőtti malware ma már szinte nevetséges, úgymond még a nagyszüleink se dőlnének be neki.
Az ELTE-n szoktam tartani egy előadást sandboxokról, és azok fejlődése is nagyon érdekes.
A sandbox egy automatizált zárt környezet, amiben elemezni tudsz egy malware-t. Tehát beküldöd a malware-t, lefut, és a végén kapsz egy reportot, hogy mi történt ott bent. A malware-ek alkotói nyilván próbálják elkerülni, hogy ilyen módszerekkel elemezhető legyen a módszerük, ezért különböző technikákat alkalmaznak, hogy felismerjék, amikor ilyen környezetben fut a módszerük. Erre a sandbox fejlesztői megint reagálnak, stb, stb … és ettől válik izgalmassá a dolog.
Amikor szétszedek egy malware-t, nagyon kíváncsi vagyok, mit hogyan oldottak meg, például hogyan próbálják meg elkerülni a detekciót, mi az új, mivel lettek okosabbak. Ettől a macska-egér játéktól válik a munkánk izgalmassá.
Palotay Dorkával Bérczi-Kovács Erika készítette az interjút.