informatikaInternettechnika

„A kibertámadás nem olyan, mint egy kuruc portya” – 1. rész

Szerző: 2021. július 18.One Comment

„A nemrégiben nagy visszhangot kiváltó SolarWinds-ügy után az elmúlt hetekben ismét arról szóltak a hírek, hogy feltehetőleg Oroszországhoz kötődő hackercsoportok hajtottak végre támadásokat amerikai és német célpontok ellen. Nem láthatunk a színfalak mögé – maguk az érintettek sem mindig –, de azért próbáljunk meg azok számára is érthetően összefoglalni pár ezzel kapcsolatos kérdést, akik a saját számítógépes jelszavukon túlmenően nincsenek különösebben otthon a kiberbiztonság területén. Ebben lesz segítségünkre Nyáry Gábor, a Nemzeti Közsszolgálati Egyetem Kiberbiztonsági Kutatóintézetének kutatója. Interjúnk első része.

A hackerekről a laikusnak a filmes élményei jutnak eszébe, amelyek ritkán tükrözik a valóságot. Indulásként próbáljuk meg nagy vonalakban elválasztani a hackert a hackertől, célokat a céloktól, az állami csoportokat a privát szereplőktől. Felvázolható a főbb csoportokat illetően valamiféle egyszerűsített „taxonómia” – cél, eszköz, munkamódszer vagy bármely egyéb jellegzetességek alapján –, ami segíthet a hírek értelmezésében?

Természetesen nagymértékben leegyszerűsítő az, amikor – persze inkább a közbeszédben – „hackerekről” beszélünk. A kibertér sok szempontból éppen olyan, mint a mi valóságos, fizikai értelemben is létező tereink: sokféle ember mozog benne, változatos célokkal, nagyon különböző szándékokkal. A kibervilágban ártó szándékkal, illegális módon fellépő személyek osztályozására természetesen több séma is létezik: ezek hellyel-közzel eltérnek ugyan, de nagy vonalakban hasonló kategóriákba sorolják a kibertér „szereplőit” (ez ugyanis a hivatalos elnevezésük). A különféle elkövetőkhöz más és más indítékot is szokás hozzárendelni. Természetesen a „kedvelt” bűncselekménytípusok is változnak: más módon jár el egy zsaroló, és megint másként okoz kárt egy unatkozó siheder. Mások a módszerek is, és a szakértelem is eltér.
Nyáry Gábor

Melyek a főbb kategóriák?

Az állami szereplők állnak az első helyen, noha nem feltétlenül ők okozzák a legtöbb problémát. Általában egy-egy állam külpolitikai céljai érdekében tevékenykednek. A közvetlen állami szereplők – hírszerzők, katonák – ellenséges rendszerekbe törnek be, hogy adatokat szerezzenek, vagy pusztítsanak el. Többnyire ők a kibertér legszervezettebb, legmagasabban képzett szereplői. A kiberbűnözőket a személyes haszonszerzés vágya mozgatja, és hosszú távú, egyre növekvő súlyú fenyegetést jelentenek. Az utóbbi időszakban főleg a zsarolásra specializálódott csoportjaik váltak különösen aktívvá, immár nemzetbiztonsági fenyegetést jelentve még a nagyhatalmaknak is. A hacktivisták ideológiailag motivált kiberbűnözők. Hajlamosak lehetünk lebecsülni az általuk jelentett fenyegetést, pedig elszánt, látványos akciókban gondolkodó fanatikusok. Online akcióikat politikai célkitűzéseik mozgatják. A kiberterroristák célja a zavarkeltés, a zaklatás. Módszereik nem túl kifinomultak. A digitális tereket inkább a szervezeti kommunikációra, toborzásra, illetve a propagandaakcióikhoz használják. Az általuk jelentett fenyegetés ezért kicsi, ám ez a helyzet gyökeresen megváltozhat. A szórakozásból támadók motivációja személyes, és ez a „cél nélküliség” bizonyos fokig kiszámíthatatlanná teszi őket. Cseppet sem veszélytelen csoport, noha a szakmai hozzáértésük, felkészültségük általában a legalacsonyabb. A végére maradt a bennfentesek csoportja. Ez a sorrendiség ne tévesszen meg senkit: ők a kibertér különösen veszélyes károkozói. Volt vagy jelenlegi alkalmazottak, beszállítók, alvállalkozók, esetleg partnerek. Erejük (és veszélyességük) elsősorban abban áll, hogy olyan belső információkkal rendelkeznek egy szervezetről, cégről, ami hallatlan helyzeti előnyt jelent.

Nézzük meg az állami szereplőket. Tudjuk, hogy évezredek óta léteznek titkosszolgálati műveletek, melyeknek az információszerzés – baráttól és ellenségtől – éppúgy részét képezi, mint olykor a károkozás is. Mondhatjuk-e azt, hogy a kibertérben zajló műveletek is ugyanezt viszik tovább más eszközökkel, vagy itt már valami minőségileg új kategóriáról kell beszélnünk?

Válasszuk külön az állami szereplők esetében is a két nagy csoportot: vannak, akik információkat gyűjtenek a kibertérben mozogva, és vannak, akik kárt okoznak, digitális, sőt akár valóságos fizikai (szakszóval: kinetikus) csapást mérnek az ellenségre. Itt valójában a feladat a fontos, nem pedig a szervezet, amelyhez tartoznak. Polgári hírszerző szervezetek hackeregységei is indíthatnak károkozó akciót. Az eddig ismert egyetlen olyan támadás, ami nem is csupán szoftverekben, vagy számítógépes rendszerekben okozott problémát, hanem gyáripari berendezések tényleges pusztulását idézte elő – polgári hírszerző szervezet kiberszakembereinek a számlájára írható. Ugyanakkor a katonai kötelékben szolgáló kiberharcosok is gyakran indítanak olyan műveleteket, amelyeknek az elsődleges célja a felderítés. Jó, ha tisztában vagyunk azzal is, hogy a kibertérben zajló műveleteknek fontos kiegészítője a közösségi terekben zajló diskurzusok befolyásolása, irányítása, és ha kell, meghamisítása. Azaz a fedés, az álhírgyártás, a dezinformáció. Azt gondolom egyébként, hogy bár a „harctér” új, és persze az eszközök is mások, az alapvető koncepciók, szervezési elvek, valamint maguk a célok nem sokat változtak.

Még mindig az állami hackereknél maradva, arra kérem, segítsen elképzelni ennek a tevékenységnek a mindennapjait. Hogy zajlik ez a gyakorlatban? Fiatal, jó programozói vénával rendelkező férfiak és nők – ing-nyakkendő, kiskosztüm –, reggel bemennek egy semleges nevű munkahelyre, leülnek a számítógép elé, és… „hackelnek”? Netán a vírusos időkben távmunkában is dolgozhatnak?

Egyet észben kell tartanunk: a kibertámadás nem olyan, mint egy kuruc portya, ahol a legények rajtaütnek az ellenségen, levágnak mindenkit, majd estére már vissza is térnek a táborukba. Egy összetett, bonyolult kiberműveletnél az ötlet megfoganásától az akció lezárásáig hónapok, de inkább évek telnek el. Az első fázis a tervezés: még egy apró feladat sem képzelhető el alapos projektterv nélkül. Ezt követi a felderítés szakasza, ami minden hadműveletnél létfontosságú. Többnyire ezen áll vagy bukik a siker. Rengeteg fontos információ szerezhető be nyílt forrásokból, ez az alap. Fontos tudások gyűjthetők be az ellenfél emailforgalmán, illetve ma már az alkalmazottak közösségimédia-posztjain keresztül. Természetesen nem maradhat ki a megtámadni kívánt hálózat hosszadalmas megfigyelése sem. Ezután jön a „fegyvergyártás” fázisa. Ebbe beletartozhat adathalász emailek gyártása, álwebhelyek fabrikálása, és természetesen a támadáshoz használt kártevőszoftver megírása, vagy beszerzése. Ez utóbbiakból ugyanis komoly választék kapható az internet eldugott zugaiban, az úgynevezett sötét weben. Ezek aztán személyre szabhatók, az adott támadás profiljához igazíthatók. Nem ismeretlen a támadó kártevők ellopása sem: ezzel nemcsak fejlesztői munkát és költséget spórol meg egy akcióra készülő hackercsoport, de kitűnő módszer a nyomai elfedésére is. Hiszen leleplezés esetén valamelyik másik állam hackereinek „szokványos” fegyverére bukkannak a felfedezők. A tulajdonképpeni támadás szakasza a behatolás: a megtámadott rendszer védelmi vonalainak kijátszása, bejutás a számítógépes rendszer belsejébe. Ezt többnyire, immár „házon belül” egy kevéssé feltűnő „oldalirányú” kutatás követi. Olyan ez, mint amikor egy irodaházba behatoló betörő nem az igazgató páncélszekrényéhez lép azonnal, hanem először végiglopakodik a folyosókon, megpróbál benyitni a sötét irodákba. Ottfelejtett kulcsokat, jelszavakat keresgél és gyűjt be. Bármit, ami a tényleges akcióhoz hasznos lehet.

Melyik a fő fázis?

Az akció végrehajtása: adatok ellopása, vagy a rendszerek pusztítása, rombolása. Végül ne feledkezzünk meg az utolsó fontos lépésről: ez az „exfiltráció”, azaz a rendezett visszavonulás. Ezalatt sok eltérő munkafázison megy keresztül a folyamat, sokféle ember dolgozik a tervezésen, szervezésen, kivitelezésen. Olyan ez, mint egy modern multinál folyó projektmunka. Az akción dolgoznak olyanok, akik szinte hivatalnokként járnak be a munkahelyükre, hónapokon keresztül szervezik és kivitelezik például a szükséges eszközbeszerzéseket, projektnaplót írnak, jelentéseket gyártanak. (Akár öltönyben-kosztümben is járhatnak, bár ez ma már nem igazán divat.) A nagyobb műveleteken dolgozóknak csak egy része az, akire a „hacker” szót meghallva gondolni szoktunk: a támadáshoz használt szoftvereket fejlesztő, megíró „kódolók”, azaz programozók persze általában „kreatív munkatársak”, és ők többnyire nem hivatali munkaidőben dolgoznak.

És a távmunka lehetősége?

Azt azért erősen valószínűtlennek tartom: ezekben a szakmákban az „operatív biztonság” kiemelt kérdés. Egyetlen komoly szervezet sem tolerálja, hogy a munkatársai hónuk alá csapjanak egy köteg titkos printoutot, vagy átküldjenek az otthoni gépükre néhány titkos ügykezelésű dokumentumot, hogy majd hazulról folytathassák a munkát. A katonai hackereket egyébként a munkavégzés rendje, fegyelme szempontjából is szigorúbb szabályok kötik, ők többnyire szabályos szolgálati rend szerint dolgoznak a kiberműveletek részmunkáin is. Különösen igaz ez az izraeli hadsereg kiberkatonáira, akik 18-20 esztendős sorkatonák. Az ugyanakkor magától értetődő, hogy akár szerződéses alkalmazottakról, akár sorozott katonákról van szó, a kiválasztás alapos és sokoldalú: természetesen a legtehetségesebb matematikusokat, kriptológusokat, adattudósokat, programozókat keresik ezekre a munkakörökre. Van, ahol a képzés stratégiai távon átgondolt; éveken át különböző szinteken és intézményekben zajlik az ígéretes fiatalok válogatása, felkészítése. Többnyire Észak-Koreát szokták említeni ebben az összefüggésben, pedig az izraeli hadsereg különösen kiemelkedik ebben. Talpiot nevű természettudományos programjuk egyfajta fiatalkorú zseniképző hírében áll.

Számtalanszor előfordult már a „fizikai térben”, hogy bizonyos kényes műveletekhez az állami szereplők tőlük függetlennek látszó csoportok segítségét vették igénybe –gondoljunk például a nicaraguai kontrák CIA általi támogatására a ’80-as években. Vajon ez a gyakorlat a kibertérben is előfordul?

Szinte bizonyos, hogy igen. Szilárd az a szakmai vélekedés, hogy egyes országok állami szervezetei előszeretettel veszik igénybe civilek segítségét is a kibertérben folytatott műveleteik támogatására. Egy feltételezés szerint előfordul, hogy állami szolgálatban álló kiberharcosok néha-néha a saját szakállukra is folytatnak műveleteket. Itt többnyire észak-koreai hackereket emlegetnek. Én a magam részéről ezt elég nehezen tudom valóságnak venni. Ahogy fentebb is utaltam rá, egy kiberhadművelet nem valamiféle apró fusimunka, amit munkaidő után, a konyhaasztalnál ülve (persze szigorúan kapucnis pulóverben, ahogy a filmekben látható), „maszekba” is lehet csinálni. Mostanában – az idei nagy zsarolóvírusos támadások kapcsán – inkább arról szól a szakmai fáma, hogy egyes országokban a hatóságok cinkosságot vállalnak hackercsoportokkal, civil kiberbűnözőkkel. Ez már sokkal valószerűbb feltételezés, és valóban hosszú történelmi előzményekre is tekint vissza az ilyen kooperáció. Van azonban az állami szervezetek és a magánszektor együttműködésének egy sokkal gyakoribb és tulajdonképpen teljesen „polgárinak” tekintett esete. A nyugati világ (és ebben az USA élen jár, bár a britek is szívesen folyamodnak ilyesmihez) előszeretettel von be alvállalkozóként polgári vállalatokat a legszigorúbban minősített – magyarul titkos – nemzetbiztonsági munkák elvégzésébe. A kiberakciók felderítésére, felgöngyölítésére, az elkövetők megnevezésére például előszeretettel vonnak be kívülálló civil cégeket, szakértőket. Így ugyanis titokban maradhat az állami szervezetek felderítő módszertana, tényleges helyzetismerete. Sokat tudunk, és még többet sejtünk arról is, hogy az Egyesült Államok (minthogy a digitális világ leghatalmasabb cégóriásai is többnyire amerikai tulajdonúak) előszeretettel használja az iparági monopolhelyzetét adatok megszerzésére. A nagy digitális szolgáltatóknál felgyülemlő adattömeghez egyébként a legtöbb országban hozzáférnek a rendvédelmi és a titkosszolgálatok – ráadásul teljesen törvényes módon.

A törvényes hozzáférés mellett egyre több a törvényellenes „hozzáférés” is. Az Európai Bizottság adatai szerint Európában 2019-ben 432 komolyabb kibertámadás vált ismertté. Ez a szám 2020-ban felugrott 756-ra. Mi állhat a jelenség mögött?

A szomorú helyzet az, hogy ezeknél az adatoknál én nagyságrendekkel sokkolóbb híreket is tudnék említeni. 2017-ben a Yahoo cég nyilvánosságra hozta, hogy 3 milliárd felhasználói adatelem jutott egy évekkel korábbi hackerakció nyomán illetéktelenekhez. 2018-ban az Equifax nevű amerikai hitelinformációs cég vallotta be töredelmesen, hogy hálózatai támadás áldozatává váltak, és mintegy 143 millió amerikai polgár érzékeny személyes adatai jutottak ki a rendszerből. Még ugyanabban az évben jelentette a Marriott szállodalánc, hogy 383 millió szállóvendégük személyes adataihoz fértek hozzá illetéktelenek. Az okok összetettek lehetnek, de kettőt biztosan kiemelhetek. Megváltozott, illetve rohamosan átalakul a világ. Ahogy mondani szokták: a geopolitika, a hatalmi viszonyok. A világrend. A világ szabályok nélkülivé, a könyörtelen rivalizálások, eszközökben nem válogató küzdelmek terepévé vált. A jogérvényesülés gyengülése, illetve egyáltalán maga a „felfordulás” is óhatatlanul kedvez a bűnözés fellendülésének. Ami a korszerű digitális technológiák fejlődésével karöltve szinte kínálja a kiberteret a különböző motivációjú illegális akciókra.

Mi ebben a technológia szerepe?

Az roppant nagy lehet. Itt nem csupán arról van szó, hogy ügyesebb programozók fejlettebb kém-, vagy zsaroló szoftvereket készítenek. Bizonyos korszerű technológiák a szó szoros értelmében forradalmasíthatják a hackelést. A mesterséges intelligencia, a gépi tanulás lehetőségeire gondolok, amelyek nemcsak a támadások erejét, hatékonyságát növelik meg, hanem – folyamatok automatizálása révén – az illegális kibertevékenységeket gyorsabbá, olcsóbbá is tehetik. Azaz sokkal többen, sokkal kevesebb szaktudással is nekifoghatnak a kiberkártevésnek. Megemlítenék még egy érdekes összefüggést. Szakemberek egyértelműen kimutatták, hogy a koronavírus-járvány kibontakozásával párhuzamosan lendült fel a kiberbűnözés is. Ennek okai között említik azt, hogy egyfelől megnőtt a bűnözők lehetősége, a támadható felület. Emberek hatalmas tömegei kezdtek otthonról dolgozni, többnyire a legelemibb kiberbiztonsági szabályok betartása nélkül. Tíz és tízmilliók kezdték mindennapos vásárlásaikat online intézni. Emellett a digitális kommunikáció forgalma is a sokszorosára növekedett. A személyes adatokat, jelszavakat – sőt, bankszámla-információkat – megszerezni akaró hackerek számára szinte egy új adat-aranybánya nyílt meg egyik napról a másikra. Érdekes és nem várt következményekkel járt az országhatárok lezárása, a személy- és áruforgalom drasztikus korlátozása is. A szervezett bűnözői körök a bezárkózás miatt óriási hagyományos bevételi forrásoktól estek el; részben ezek ellensúlyozására fordultak az online bűnözés terei és csatornái felé.

Kiemelhető valamilyen divatos elkövetési mód?

Az elmúlt másfél évben szédületes növekedésnek indult (az esetszámokat és az eltulajdonított összegeket tekintve egyaránt) a zsarolóvírusos támadások „divatja”. Itt a bűnözök olyan kártevő kóddal fertőzik meg a célpont rendszerét, amely zárolja a gépeken, illetve hálózaton tárolt adatokat. A kárvallott csak akkor fér megint hozzá a saját adatbázisaihoz, ha fizet a zsarolóknak. A kiberbűnözés esetszámai, a támadások súlya, a károkozás mértéke egyértelműen növekvő tendenciát mutat.

Az ember azt gondolná, hogy a stratégiai fontosságú intézményeket a virtuális térben is kiemelten védik. Ennek ellenére az az érzésünk támadhat, mintha csak kétféle intézmény létezne: amelyikbe már behatoltak, és amelyikbe még ezután fognak. Valóban lehetetlen küldetés lenne a tökéletes védelem kiépítése? Vajon a technika vagy az ember a gyengébb láncszem?

Az elmúlt év végén felfedezett óriási volumenű kiberhírszerzési akció, amelynek során fontos amerikai kormányhivatalok rendszerei mellett a világban több százezer intézmény és vállalat hálózataiba férkőztek be az akciójukat óriási profizmussal tervező és kivitelező – a feltételezések szerint az orosz külső hírszerzének, az SzVR-nek dolgozó hackercsoportok – szabályosan sokkolta az Egyesült Államok politikai és szakmai közegeit. A károk elhárítására, hasonló akciók megelőzésére intézkedések egész sorát jelentették be. Az ügy utóhatásaként azonban változni látszik a kibervédelem egész koncepciója. A lényeget a hadügyminisztérium informatikai vezetője fogalmazta meg: a rendszer külső határain felsorakozó védelem hatástalan. Abból kell kiindulnunk, hogy az ellenfél hackerei már bent vannak a „falak mögött”. A követendő védelmi eljárás ezért az ún. „zéró bizalom” elvére épül: nincs sérthetetlen rendszer, mindegyikben már ott lehetnek a potenciális támadók. Ezért olyan védelmi technológiákra kell támaszkodni, amelyek folyamatosan monitorozzák (például mesterségesintelligencia-technológiákkal), hogy az adott eszköz, felhasználó vagy szoftver az elvárásoknak megfelelően működik-e, azaz nem került-e illetéktelenek ellenőrzése alá. Egy másik közelmúltbeli súlyos eset, amikor rendbontó tömeg hatolt be az amerikai Capitolium épületébe, és ott hivatali számítógépekhez is hozzáférhettek, rávilágít a kiberbiztonság alaptézisére: az ember mindig a leggyengébb láncszem. Mint a vizsgálat során kiderült, a törvényhozás bizalmas anyagokat is kezelő munkaállomásainak többségére a használók kis cédulán ragasztották ki a belépési jelszavukat.”

Forrás:
„A kibertámadás nem olyan, mint egy kuruc portya” – 1. rész; Békefi Miklós; Ludovika.hu; 2021. július 16.