„A kibertér folyamatos műveletek terepe, de vajon be lehet-e biztosan azonosítani egy-egy akció elkövetőjét? Hogyan zajlik a felderítés? Veszélyesek lehetnek-e az állami kibertámadások a polgári célpontokra? Nyáry Gábort, a Nemzeti Közsszolgálati Egyetem Kiberbiztonsági Kutatóintézetének kutatóját kérdeztük. Interjúnk második része.
Sokszor hallottunk már megalapozottnak tűnő, de később teljesen hamisnak bizonyult vádakat a nemzetközi színtéren (például Irak vegyi fegyvereiről), mint ahogy képtelennek tűnő, mégis igaznak bizonyuló állításokat is. A kibertérben minek alapján és mennyire megalapozottan lehet egy-egy támadást konkrét csoportokhoz, országokhoz kötni?
A kibertérben folyó műveletek, a hírszerző, támadó vagy akár bűnözői akciók esetében egyértelműen a támadó kilétének a felderítése a legnehezebb feladat, egyben ez a legsúlyosabb probléma is. Ez a virtuálisan létező világ szinte paradicsomi állapotokat kínál mindazoknak, akik megfelelő szakértelemmel és főleg óvatossággal el akarják tüntetni a nyomaikat. A helyzet pedig az, hogy a kibertér szereplői – akár állami szolgálatban álló hírszerzők vagy katonák, akár civil bűnözök – nagyon is szeretnék elfedni működésük nyomait. A kiberbiztonsággal foglalkozó magas rangú szakemberek egybehangzó álláspontja szerint az „attribúció” – egy támadó azonosítása – annyira bizonytalan, hogy a leggondosabb (néha egyébként hónapokig, akár évekig tartó) aprólékos esetrekonstruálás után is legfeljebb feltételezések fogalmazhatók meg. A feltételezés azonban nem „bizonyíték”, arra pedig végképp alkalmatlan, hogy adott esetben egy jogi eljárásban is megállja a helyét egy vádirat muníciójaként. Az azonosítás az esetek többségében egy támadás történetének teljes körű felderítése, rekonstruálása formájában történik. A kibernyomozók világos kategóriák szerint gyakorlatilag közvetett bizonyítékokat próbálnak összegyűjteni. Az amerikai hírszerző és kémelhárító intézmények tucatjait összefogó Nemzeti Hírszerző Igazgatóság módszertana szerint eljáró szakemberek például külön vizsgálják az elkövetés módozatait (az alkalmazott eljárásokat), a támadásra használt szoftvert, az akció során igénybe vett digitális infrastruktúra elemeit. Emellett megvizsgálják azt is, hogy érdekében állt-e a potenciális elkövetőnek az akció. Az így összegyűjtött adatokat egy mátrixban felvázolva próbálják meg – részben kizárásos alapon – azonosítani a valószínűsíthető támadót. Az eredmény jogi értelemben – fogalmazzunk így – erősen kétséges. A nagypolitika azonban, ahol rivális hatalmak néznek farkasszemet, többnyire kevesebb bizonyító erővel is beéri.
Bár a hírek a leggyakrabban orosz és kínai kötődésű hackerekről szólnak, nyilván más országok is végeznek hasonló tevékenységet. Adódik a kérdés, hogy vajon ennyivel ügyesebbek lennének, vagy csak más „lebukások” ritkán érik el az európai hírfogyasztók ingerküszöbét?
Ha röviden akarok válaszolni, akkor a nyugati világ kiberharcosai nem ügyesebbek, és egészen bizonyosan nem is félénkebbek vagy szerényebbek a többieknél. Viszont sokkal jobb a sajtójuk. Persze itt nem csak a sajtóról van szó. Említettem, hogy éppen az ügyek felderítésre szívesen szoktak bevonni polgári cégeket: szoftverfejlesztőket, vírusirtó programok gyártóit, kibervédelemre szakosodott vállalkozásokat. A számítástechnikai világ krémje pedig hagyományosan és még ma is – amerikai. Hézagos információmorzsák azért fel-felbukkannak egyes nyugati országok, az Egyesült Államok, Izrael, Nagy-Britannia hírszerző és támadó kiberkapacitásairól. Sokatmondóak az időnként publikált összehasonlító országjelentések, amelyek a világ fontosabb hatalmi szereplőinek kiberarzenálját veszik szemügyre. Az egyik éppen a napokban jelent meg: az USA a kibererejét tekintve toronymagasan a többi ország felett áll. A dobogó képzeletbeli ezüstérmesei között találjuk persze a gyakran emlegetett Kínát, Oroszországot, Izraelt, Nagy-Britanniát és Franciaországot is, de Kanada és Ausztrália is itt kapott helyet. A harmadik csoportban Indiát, Iránt, Japánt, Észak-Koreát, Vietnámot találjuk. Ne legyenek kétségeink: a kiberpotenciállal rendelkező országok mindegyike használja is ezeket a képességeit. A kibertér nem önmagában álló világ, hanem egyike a hatalmi konfliktusok, szembenállások dimenzióinak.
Elmondható, hogy a nagyhatalmak egyfelől az „állami hackerek” célpontjai, másfelől a munkaadói is. Mi a helyzet a kisebb országokkal, például Magyarországgal és a szomszédainkkal? Megvan hozzá a térség országainak a kapacitása és szakértelme, hogy úgymond rajta tartsák egymáson a szemüket?
Azt gondolom, hogy minden környező országnak megvan a kibertérben való működéshez szükséges kapacitása, szakértelme – legalábbis ami a hírszerzési feladatokat illeti. Természetesen csupán találgatok, de ha arra a néhány hete kipattant botrányra gondolok, amelyben kiderült, hogy a NATO-tag Egyesült Államok a szintén NATO-tag Dánia hírszerző szerveinek segítségével hallgatta le az ugyancsak NATO-tag Németország, Franciaország és Norvégia elektronikus kommunikációját, akkor azt hiszem, nyugodtan fogalmazhatok úgy, hogy a mai világban mindenki élénken érdeklődik mindenki más dolgai iránt. Az egyre inkább többpólusúvá váló világ szövevényes hatalmi kapcsolódásai, ellentétei, szövetségei felfokozzák az államok nemzetbiztonsági célú hírigényét, és ez alól a kis országok sem kivételek. Sőt. Itt érdemes ugyanakkor megjegyezni: a mai világban az értékes információk már rég nem a páncélszekrények mélyén hevernek elzárva. A felderítő szervezetek a híranyagaik túlnyomó részét úgynevezett nyílt forrásból szerzik be. Magyarán: olvasnak, képeket, videókat, műholdfelvételeket nézegetnek a neten. Könyveket, szakcikkeket, vállalati jelentéseket, tanulmányokat böngésznek, továbbá egyre nagyobb mértékben blogokat és közösségimédia-posztokat olvasnak.
Látszólag akár nyugodtan hátra is dőlhetünk, hiszen úgy tűnik, hogy pár kivételtől eltekintve a súlyos hackertámadások nem érintik a mindennapi életünket. Vagy mégis?
A nyugodt hátradőlést túlzott bizakodásnak tartanám, pedig alapvetően optimista ember vagyok. A hackertámadások sajnos átvitt értelemben és közvetlenül is érintenek mindannyiunkat. Egyfelől a bűnözés éppen az online terekben válik igazán globális jelenséggé; ez egy közvetlen fenyegetettség, és azt hiszem, jól érezhető a fokozatosan erősödő nyomása. Adathalász emailek, bankkártyával elkövetett (egyébként meglepően bonyolult és rafinált) csalások, személyes adatok illetéktelen kezekbe kerülése – ezek a jelenségek már itt vannak velünk. A globális hálón keresztül pedig akár a nagy támadások, a most rohamosan megszaporodó zsarolóvírusos akciók is egy szempillantás alatt elérhetik a mi környezetünket. Másfelől jó, ha látjuk, hogy az online terekben zajló akciók célpontjai egyre inkább az úgynevezett kritikus infrastruktúrák – éppen azok az intézmények, fizikai eszközök, létesítmények (energiaelosztó hálózatok, bankok, kórházak, erőművek, ellátási láncok), amelyek a modern társadalmak mindennapjaihoz, működéséhez elengedhetetlen környezetet biztosítják.
Most az izraeli fejlesztésű Pegasus szoftverről szólnak a hírek, amelyeket egyes államok – például hazánk is – a polgáraik közti kommunikáció nyomon követésére használhatnak. Nevezhetjük hackelésnek, ha állami szereplők így szereznek rejtett hozzáférést egy-egy állampolgár kommunikációs eszközéhez?
Az erőszakszervezetek kellemetlen eszközöket is használnak. Egyes hivatalos szoftvergyártók-kereskedők, mint amilyen például az izraeli NSO (a Pegasus gyártója), nemzetbiztonsági célokra használható és használt szoftvereket is készítenek. Éppen úgy, ahogy magáncégek nem is olyan régen még lehallgató és rögzítő berendezéseket gyártottak. Az izraeli katonai hírszerzés alárendeltségébe tartozó 8200. számú – jelfelderítő – egység híres arról, hogy az ott szolgáló fiatal tehetségek a sorkatonai szolgálatuk letöltése után „kipörögnek” a start-upok világába. Értelemszerűen ők a lehallgató, felderítő, rejtjelező technológiákban különösen erősek. Az említett szoftvereket a gyártók – szigorú kiviteli engedélyeztetés után – jellemzően államok, állami szervezetek részére adják el. Mások legálisan nem vásárolhatnak ilyet, és nekik legálisan nem is adhatnak el ilyet. Itt ne csak a klasszikus titkosszolgálatokra gondoljunk! Az USA-ban például az atomenergia-ügynökségnek is van ilyen sajátos szervezete, illetve a szövetségi posta is saját titkos nyomozói szervezettel rendelkezik. Én alapvetően arra hajlok, hogy ezt lehallgató, megfigyelő technológiának nevezzük (vagy akár drámaibban: „kémszoftvernek”). Nem nevezném szívesen hackelésnek, mert így egy kavargó terminológiai zűrzavarba süllyednénk a végén.
Milyen kritérium alapján húzhatjuk meg a fogalmi határt?
Amikor állami kiberszereplők hatolnak be egy másik ország rendszereibe, akkor ezt illegálisan teszik, „hackelnek”. A Pegasus használata más eset. Itt állami szereplők legálisan hatolnak be mások (magánszemélyek, vállalatok, szervezetek) számítástechnikai rendszereibe, adatgyűjtési céllal. A használat körülményei, feltételei, alapesetben az adott állam belső felépítésétől, jellegétől, szabályrendszerétől függenek, de mindenütt kialakult, kötött rendje van az ilyen eszközök alkalmazásának. A különbség legfeljebb az, hogy esetleg nem egy választott vagy kinevezett bíró ad rá felhatalmazást, hanem egy választott vagy kinevezett más hivatalnok. E szabályrendszerek betartásakor az alkalmazás törvényes, éppen úgy, mint például a bilincs használata is az, a megfelelő szabályok szerint. Ha a médiában megjelent esetekben bármelyik érintett országban jogtalan alkalmazás történt, akkor abban nyilvánvalóan nem a Pegasus-használat (tehát a puszta eszköz) a döntő mozzanat, hanem a jogalapot nélkülöző cselekedet.
Felmerül az emberben, hogy vajon az ilyen szoftverek nem tartalmaznak-e maguk is „hátsó ajtót”, hozzáférést biztosítva a gyártónak – és rajta keresztül akár másoknak is – a vevők rendszereihez?
Természetesen lehetséges, sőt, egyáltalán nem lenne meglepő. A szürkezónában fejlesztő és üzletelő cégek minimum maguk is szürkék. De szerintem erről az ilyen holmikat vásárlóknak is hasonló a sejtése.”
Forrás:
“A kibertámadás nem olyan, mint egy kuruc portya” – 2. rész; Békefi Miklós; Ludovika.hu; 2021. július 19.
Az interjú első része:
„A kibertámadás nem olyan, mint egy kuruc portya” – 1. rész – eGov Hírlevél; eGov Hírlevél