IT-biztonság szempontjából meglehetősen forró a nyarunk. A hackerek bőven adnak munkát a sajtó képviselői számára, hiszen naponta érkeznek a hírek nagyobb oldalak ellen végrehajtott szolgáltatásmegtagadás- (DDos) alapú támadásokról, feltörésekről, illetve adatszivárgásokról. A sort a Sony nyitotta meg, amely cégnek szakértői vélemények szerint a történelem legnagyobb IT-biztonsági csapását kellett elszenvednie. Csak a PlayStation és a Sony Online Entertainment Network szervereinek a feltörésével 24,6 millió felhasználói fiókhoz férhettek hozzá a hackerek, amely a beszámolók szerint milliárdos károkat okozott a japán cégnél.
Habár a Sony e tekintetben elvitte a show-t, azért bőven akadtak adatvédelmi incidensek idén nyáron. Betörtek az RSA, a Lockheed Martin, a NATO, a Citigroup és az Epsilon rendszereibe is, amely cégektől bizalmas információk, netán katonai titkok is kiszivároghattak. Ezen idő alatt ráadásul két zajos hackerbanda is fellépett a porondra – az Anonymous és a LulzSec –, amelyek direkt nagy és neves célpontokat szemeltek ki, így például mindketten megfricskázták a Sony-t, megbénítottak néhány török kormányzati honlapot, csúfot űztek az FBI-ból és a CIA-ből, illetve a brit Sun oldalán Rupert Murdoch haláláról szóló hírt is közzétettek. Az IT-biztonság területén tehát egyáltalán nem beszélhetünk uborkaszezonról. Felmerülhet a kérdés, hogy mindez miért történik, s vajon az egy évvel ezelőtti állapotokhoz képest veszélyesebb világban élünk?
A pénzünk kell nekik
A válasz igen, de ebben nincs semmi meglepő. Az IT-biztonsági cégek ugyanis prognózisaikban már előre jelezték a változást. Gombás László, a Symantec magyarországi képviseletének szakértője szerint az elmúlt években átstrukturálódás történt: 10 éve még a hírnév megszerzése volt a fontos, mostanra azonban felnőttek azok, akik pénzt akarnak keresni a tudásukkal. Így főként azon adatok vannak a célkeresztben, amelyek közvetlen anyagi haszonszerzésre adnak lehetőséget (például bankkártya-információk, webshop belépési azonosítók és így tovább).
„Ma már a pénzzé váltható információról szól minden, nem a nagyzolásról” – mondta kérdésünkre Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. Az átstrukturálódás során így elsőként az amatőr, magánakciókat végrehajtó támadók helyére profitorientált támadók kerültek. Majd eljutottunk a mai állapotokhoz, amikor e gonosztevők szervezett bűnözői csoportokba tömörültek, ahol együtt dolgoznak a programozók, az értékesítők, sőt még azok is, akik tisztára mossák a pénzt. A prognózisok ezt a harmadik szintnek jelölik, amely skálát a konkrét digitális háború tetőzi be.
Szerencsére utóbbinak még nem jött el az ideje, habár az előszele már érezhető. A jelenkor a szervezett bűnözés miatt inkább a vállalatok és a magánfelhasználók elleni támadásokról szól. Terjednek a hamis vírusirtók, vagy másként fogalmazva a pánikprogramok, amelyek a böngészőn keresztül egy megszerkesztett üzenettel egy hamis végpontvédelmi megoldás megvásárlására szólítják fel a megoldásokat. Sokan be is dőlnek nekik, és a „védelmük érdekében” készségesen megadják az adathalászoknak a bankkártya-adataikat és a kért összeget.
Egy magyar kamu antivírus készítője például így tudott keresni 25 ezer euró körüli összeget, még mielőtt lekapcsolták volna. A trójaiak lelkesedése is töretlen, amelyek sok esetben megpróbálnak egy botnetbe bekapcsolni zombiként, hogy így távolról törvénytelen cselekedetekre vegyék rá a felhasználó gépét. Sokan így nem is tudják azt, hogy gépük a háttérben gyakran spameket címez, néha DDos-támadást indít egy weboldal ellen, vagy éppen egy idegen jogvédett tartalmat tárol rajta. A kémprogramokról pedig még nem is beszéltünk, amelyek célja a közvetlen pénzszerzés, várva azt, hogy a felhasználó begépelje a bizalmas információit.
Talán a fentiek alapján nem meglepő, hogy évről évre exponenciálisan nő a támadások számra, amely miatt az IT-biztonsági cégeknek irdatlan mennyiségű kártevő-szignatúrát kell készíteniük. Az ellopott adatok pedig sokszor a feketepiacra kerülnek, ahol már 160 forintnak megfelelő összegért teljes személyazonosságot (nevet, címet, születési dátumot, bankkártya-adatokat) vásárolhatunk, de az árak egészen 16 ezer forintig felmehetnek attól függően, hogy mekkora összeg található a személyhez tartozó bankkártyán, hitelkártyán, bankszámlán.
A víruskészítők egyelőre meglehetősen hatékonyan tudják végezni a munkájukat, mivel az Eurostat legutóbbi felmérése szerint az Európai Unió tagországaiban az internetezők 31 százalékához férkőzött be valamilyen kártevő az elmúlt évben, amely arány Magyarország esetén 46 százalékos. Azaz hazánkban nagyjából minden második PC fertőzött, amely a fentiek ismeretében meglehetősen magas arány. Léteznek gyakori kifogások, gyakran hallani például, hogy „vírusos a gépem, de lehet még vele dolgozni”, amely rossz hozzáállás. Az adatbiztonságunkkal bizony törődni kell, muszáj jó védelemmel felruházni a gépünket, máskülönben könnyen arra ébredhetünk, hogy valakik éjszaka elpókerezték a nehezen megkeresett pénzünket.
Mindig van gyenge láncszem
A biztonságtudatosság tehát fontos, főként, ha cégről van szó, amelynek komoly anyagi veszteségei lehetnek egy bekövetkező adatszivárgás miatt. E szervezeteket ráadásul sokkal inkább fenyegetik azon célzott támadások, amelyek az elmúlt két évben szaporodtak el. Ez Gombás László elmondása alapján főként a közösségi oldalak előretörésének köszönhető, amelyeken a felhasználók rengeteg információt osztanak meg magukról, amelyekkel könnyen vissza lehet élni. Hogy miként, azt most nem osztanánk meg, mivel nem akarunk tippeket adni, egyedül csak a legáltalánosabban használt módot írjuk le, amelyet mostanában előszeretettel használnak a támadók.
A bűnözői csoportok manapság gyakran megkeresik a szervezeten belül azt a gyenge láncszemet, akin keresztül be tudnak hatolni a szervezethez. Adatokat gyűjtenek róla a közösségi oldalakon megosztott információk alapján, majd eljuttatnak részére egy olyan csatolmányt tartalmazó levelet, amelynek a hitelessége a gyűjtött adatok alapján nehezen lesz megkérdőjelezhető. De sok esetben talán ez sem szükséges. Képzeljük el például, hogy cégvezetők vagyunk és a következő üzenetet kapjuk: „Tisztelt XY! Önnek egy kifizetetlen számlája van felénk, részleteket a csatolt PDF dokumentumban talál. Amennyiben levelünkre nem reagál, bírósági eljárást fogunk kezdeményezni.” Ha a csatolmányként érkező PDF vírusos, akkor rögtön beengedtük a bűnözőket házon belülre, amennyiben nem rendelkezünk megfelelő védelemmel.
Utóbbi nemcsak a karbantartott végpontvédelmi alkalmazást és a tűzfalat jelöli, hanem szükség van adatvédelmi szabályozásra is, a DLP (Data Loss Prevention) megoldásokkal pedig az óvatlan, hiszékeny felhasználók általi adatszivárgást is megelőzhetjük. „Legtöbb esetben a támadók is költségvetést terveznek és megtérülést számolnak, így ha nehéz egy rendszerbe betörni, akkor elképzelhető, hogy továbbállnak egy könnyebb célpont felé” – valószínűsíti Egerszegi Krisztián, a CDSYS ügyvezetője.
Emellett több hackercsapat is egy egyszerű sérülékenységet kihasználva, SQL-beszúrással tudott betörni az áldozatához. Ez vélhetően a válság eredménye, mivel a cégek főként az alapinfrastruktúrára összpontosítanak, kevésbé az alkalmazásokra, webszolgáltatásokra. A támadóknak így könnyebb dolguk van, mivel az egyszerűen befoltozandó résekre vagy nincs ideje a leterhelt rendszergazdának, vagy leépítették azt, aki e területért volt felelős, pedig az utólagos fejlesztésen kívül is vannak létező megoldások (például Database Firewall).
Eltussolt ügyek
Persze lehet legyinteni a veszélyre, azt gondolva, hogy komoly adatbiztonsági incidensek csak külföldön léteznek, de ez valójában nincs így. Egerszegi Krisztián elmondása alapján egy hazai banknál történt az az eset, hogy az egyik dolgozójuk megcsapolta a rajta keresztül átfolyó pénzt, amely idővel kiderült. A bank a presztízsveszteségtől félve nem akarta nyilvánosságra hozni az esetet, így megállapodott a dolgozóval, aki részletekben visszafizette az ellopott pénzt, s közös megegyezéssel elváltak egymástól. Ezt követően a renitens pénztáros fogta magát és átment egy másik hazai pénzintézethez, mivel patinás önéletrajzzal rendelkezett.
Az eset jól példázza, hogy miért nem lehet hallani a hazai IT-bűncselekményekről: nem kapnak nagyobb sajtóvisszhangot, mert ha ki is derülnek, a szervezetek próbálják eltussolni azokat, nehogy az eset rossz szint vessen az adott cégre. Ettől függetlenül néhány incidens a felszínre kerül. Példaként lehet említeni a Diagont, amely cégnél a gyanú szerint két vezető beosztású alkalmazott 10 hónapon keresztül 11 ezer bizalmas adatot lopott ki, amelyek a vállalat legféltettebb titkainak számítottak. A két ipari kémet az utolsó pillanatban fogták el Ferihegyen, éppen Moszkvába akartak repülni.
Vagy itt van a nem olyan régen kirobbant Brókernet CD-botrány: az Átlátszó.hu szerint ismeretlen tettesek feltörték a tanácsadó cég rendszerét, és jelentős mennyiségű állományt töltöttek le róla, amelyeket különböző szerkesztőségekbe juttattak el. Ezekre az esetekre fény derült, ami nem túl gyakori, mivel hazánkban a cégeknek nem kell bejelenteniük a biztonsági incidenseket. Amerikában ez másként van: 2003 óta kötelezően előírják, emiatt is hihetjük azt, hogy az adatbiztonsági malőrök inkább a tengerentúlon jellemzők, hazánkban nem. A jövőben ez részben változhat, mivel a Parlament még idén elfogadhatja azon törvényt, amely alapján a jövőben a távközlési szolgáltatóknak be kell jelenteniük az IT-biztonsági incidenseket. Ha ez megtörténik, akkor minden bizonnyal a magyar esetek is nagyobb nyilvánosságot kaphatnak.
A helyzet fokozódik
A tapasztalatok szerint a profik is hibáznak, hiszen az RSA biztonsági cég esetén a dolgozóknak egy spammappából sikerült kibányászniuk egy ravaszul létrehozott e-mailt, hogy megnyissák annak a vírusos csatolmányát. A tevékenységük nagy veszteséget okozott cégüknek, s a gyanú szerint az RSA incidense a Lockheed Martin elleni támadásban is szerepet játszhatott, ahonnan érzékeny nemzetbiztonsági információk is kiszivároghattak. Ez az a pont, amikor elérjük a cikk elején említett legfelsőbb szintet, a digitális háború korszakát, amely fenyegetően már felettünk tornyosul. Itt érdemes megemlíteni a Stuxnet vírust, amely profi munka volt és áthágott minden korábbi IT-biztonsági axiómát. A készítőknek ugyanis sikerült egy atomerőmű zárt, belső rendszerébe bejuttatniuk a kártevőt, amely négy nulladik napi sérülékenységet támadott (azaz teljesen biztosra mentek), és nem az operációs rendszert támadta, hanem az erőmű robotjai felett próbálta átvenni az irányítást, azaz irányítani az egész atomlétesítményt.
Az eset meglehetősen aggasztó, mivel olyan sötét korszakot vetít előre, ahol a nemzetek egymás infrastruktúrájának a megbénításával próbálnak előnyhöz jutni. Gombás László szerint az is gond, hogy az internet egyre több helyen jelenik meg, hiszen növekszik a világhálóra kapcsolt eszközök száma. Elég csak a VoIP-megoldásokra gondolni, az ATM-ekre, az okostévékre, vagy éppen az internetre kötött autókra, hogy belássuk: lassan teljesen behálózottak leszünk. Ez visszaüthet, hiszen Amerikában például néhány évvel ezelőtt komoly gondokat okozott az, hogy egy időre nem lehetett használni a bankkártyákat a rendszer hibája miatt.
A veszély miatt az Egyesült Államok már jó előre leszögezte, hogy a továbbiakban az infrastruktúrája elleni támadásokat háborús cselekményként értékelik majd, és a mértéknek megfelelően lépnek majd fel hagyományos eszközökkel a támadókkal szemben. Hasonló kezdeményezés immár hazánkban is létezik; megalakult az Önkéntes Cybervédelmi Összefogás, amelynek célja, hogy az indítványozók összehangoltan és professzionális módon tudjanak reagálni az ország kritikus fontosságú infrastruktúráit érő fenyegetettségekre.
A cyberháborús előkészületek már megkezdődtek, remélhetőleg a kritikus infrastruktúrák komoly incidensei nem következnek majd be. E tekintetben Egerszegi Krisztián szerint talán még jól is jöhetnek az Anonymous és a LulzSec zajos hackercselekedetei, mert felhívják a közvélemény figyelmét a védekezés fontosságára. Ha ugyanis profitorientált bűnözők lennének a helyükben, azok nem vernék nagydobra, hogy pontosan mit is csinálnak. Persze az sem zárható ki, hogy a két csoport csak a figyelem elterelésére jött létre, és valójában ennél egy sokkal nagyobb méretű támadás van előkészületben…
Cyberhadseregek és hackerkommandók
A kritikus infrastruktúrákat ért incidensekről vezetett RISI adatbázis szerint az áramszolgáltatókat ért incidensek száma 30 százalékkal nőtt a 2009-2010-es időszakban, és felütötte fejét az egyes országoktól megszerzett információkkal történő visszaélés is. Nick Harvey angol hadügyminiszter idén május végén tett nyilatkozata szerint "a cybertérben végzett tevékenység része a jövő harcterein vívott csatáknak, a cyberfegyverek pedig természetes részei egy ország fegyverarzenáljának”. Az angol politikus szavait támasztja alá Hillary Clinton amerikai külügyminiszter is: „a cybertámadások jelentik az egyik új biztonsági fenyegetést”.
Tavaly az iráni atomprogramot megbénító Stuxnet megjelenésére a világ országai egyértelmű intézkedéseket hoztak. Irán és Kína hackerekből álló, elsősorban kémkedésre és szabotázsra kiképzett cyberhadsereget épített. Hasonló modellt követ Észak-Korea, amelyről a napokban szivárgott ki, hogy 3000 fős hackerkommandót foglalkoztat, akik ipari és katonai titkok megszerzésére és a célországok kritikus infrastruktúráinak számítógépes rendszereihez történő hozzáférésére kaptak kiképzést. Az Amerikai Egyesült Államok US Cyber Command névre hallgató 1000 fős hadseregét 2010 végére teljes létszámmal aktivizálta. Az Európai Parlament határozata alapján pedig 2012-től az EU olyan operatív szervezetet hoz létre, amely a nagy európai informatikai rendszerek felügyeletével foglalkozik majd Tallinnban, ahol a NATO tagországok védelmét összehangoló és kutató Cybervédelmi Központ jelenleg is működik. Anglia cyberfegyver fejlesztési programot indított, Németország pedig június végén jelentette be, hogy cybervédelmi központot hozott létre Bonnban.
A veszélyt felismerve az ITBN platform kezdeményezésére hazákban is egy Önkéntes Kibervédelmi Összefogás (KIBEV) alakult. A magyar kormányzat habár már tett kísérletet a fontos infrastruktúrák körének meghatározására és vészhelyzetben történő működtetésük rendjének előírására, de az informatikai védelem ügyében érdemben eddig nem sokat lépett előre. Hende Csaba, honvédelmi miniszter a szombathelyi egyetemen április végén tartott előadásában elmondta: „mi is lépést kívánunk tartani a korral, és terveink szerint még az idei év folyamán cyber-védelmi stratégiát alkotunk.”
Anonymous
Míg a LulzSec csak idén bukkant fel, addig az Anonymous már évek óta hallat magáról. A hackerszervezet – amelynek néhány tagja legutóbb a Facebookot fenyegette meg - általában valamilyen politikai indíttatásból támad egy elgondolásuk alapján nemes cél érdekében, azaz az csoport cégkeresztjébe kizárólag csak azon cégek és kormányzatok kerülnek, amelyek valamilyen szinten sértik a nyugati demokrácia és a hackertársadalom érdekeit.
„Nevem Anonymous. Én vagyok az internet rejtett ereje. Én vagyok a hang. Én vagyok te. Mint ahogy te én vagyok. Arcom nincs. Nincs is rá szükségem. Nem egyén vagyok, hanem entitás. Egy élő fogalom” – olvasható a csoport önmeghatározásában. A banda elsőként 2008-ban hallatott magáról, amikor háborút hirdettek a Szcientológiai Egyház ellen. A szervezet ezt követően a Wikileaks kábelbotránya kapcsán kapott nagyobb nyilvánosságot, amikor többen is csatlakoztak a szervezethez, felajánlva számítógépük erőforrásait a szolgáltatásmegtagadás-alapú támadásokhoz. Így több civil is hackernek állt, akik közül már több magánszemélyt le is tartóztattak.
Nagy dobások
2010. december – Az Anonymous DDos-támadást indított a Visa, a Mastercard és a PayPal ellen, miután azok megtagadták a Wikileaks felé irányuló befizetések átutalását.
2011. április – A csoport támadást indít a Sony ellen, miután a japán cég beperelt két hackert: George Hotzot és Graf_Chokolót. A későbbi incidenseket már nem vállalták magukra.
2011. június – A török kormány is megérezte az Anonymous erejét, miután kiderült, hogy az országban egy új webes tartalomszűrő-rendszert akarnak bevezetni.
2011. július – A csoport behatol az amerikai Booz Allen Hamilton rendszerébe, ahonnan legalább 90 ezer katona felhasználónevét és jelszavát töltik le.
LulzSec
A LulzSec az Anonymoussal szemben nem elvből, hanem mint a nevük is elárulja (Lulz), inkább tréfából, heccből támad. Ennek megfelelőn áldozataik profilja meglehetősen vegyes: a CIA és az amerikai szenátus mellett több játékstúdió is nyögte már a LulzSec nyomását. Első áldozatuk a Fox.com volt, ahonnan több Fox-alkalmazott felhasználónevét és jelszavát sikerült eltulajdonítaniuk. A csapat egyébként teljesen szokatlan módon egy külön vonalat is létrehozott, amelyen keresztül magánszemélyek megrendeléseket adhattak a szervezetnek.
Persze ezen célpontok neve nem igazán maradt emlékezetes, hiszen a LulzSec például a CIA és az FBI szervezetekre is rárontott. Habár a hackerbanda 50 nap után feloszlatta magát, és egyesültek az Anonymoussal Anti-Security (AntiSec) néven, a jelek szerint a két eltérő mentalitású csoport nem képes teljes mértékben együtt dolgozni. Július közepén ugyanis a LulzSec újra aktivizálta magát és feltörte a brit Sun oldalát, Rupert Murdoch halálhírét keltve. Csak úgy heccből.
Nagy dobások
2011. június – A hackerbanda SQL-injection alapon feltöri a sonypictures.com szervereit, ahonnan 1 millió felhasználónév–jelszó párost tulajdonítanak el.
2011. június – A LulzSec behatol a Szövetségi Nyomozóirodával (FBI) szoros kapcsolatban álló InfraGuard rendszerébe, ahonnan regisztrált felhasználók adatait lopják el.
2011. június – Az amerikai Központi Hírszerző Ügynökség (CIA) oldala egy rövid időre elérhetetlenné vált, miután a LulzSec szolgáltatásmegtagadás-alapú támadást indított ellene.
2011. július – A LulzSec újra aktivizálja magát, és feltörik a brit Sun weboldalát, ahol Rupert Murdoch haláláról szóló fals hírt tesznek közzé.