Hekkerek háborújától hangos az internet

2011 a hekkerek éve az interneten. A Dailytech összeállítása szerint június közepéig 59 komolyabb biztonsági incidens történt a neten, nem csoda, hogy a Fehér Ház is megelégelte az amerikai szerverek feltöréseit, és katonai stratégiai alapelvei között rögzítette, a cybertámadás háborús cselekmény, és mint ilyen, fegyveres megtorlással lehet rá válaszolni. Más kérdés, hogy egy hekkertámadásnál csak a legritkábban bizonyítható a tettes kiléte, így a gyakorlatban nemigen lesz kire lőni.

Nagyjából áprilisig minden a megszokott kerékvágásban haladt: az Anonymous aktivistái túlterheléses támadásokkal segítettek be az észak-afrikai forradalmároknak, a kínaiak ipari kémkedésbe keveredtek, ismeretlenek jártak a New York-i tőzsde rendszereiben. Normális ügymenet, pár havonta egy-egy nagyobb botránnyal.

Szegény Sonyt az ág is húzza

A helyzet a Sony-botránnyal kezdett elvadulni: miután több mint százmillió felhasználó személyes adatait lopták el a cégtől, a hekkervilág rászállt a japánokra. A Hassonybeenhackedthisweek.com (feltörték-e már ezen a héten a Sonyt) archívuma szerint másfél hónap alatt húsz alkalommal törtek be a cég vagy valamelyik leányvállalatának szervereire, közröhej tárgyává téve, és százmilliós költségekbe verve a vállalatot.

Innentől aztán elszabadult a pokol. Szinte naponta érkeznek a hírek újabb hekkelésekről, adatlopásokról, DDOS-támadással megbénított, feltört és szétvandálkodott oldalakról. Az áldozatok között van a CIA oldala, az amerikai szenátusé, egy FBI-cég és egy sor online játék szerverei. De mitől vadultak meg ennyire a hekkerek mostanában?

Lulz vs. Anon

Először is azt kell látni, hogy a hekkeléscunami hátterében nem a véresen komoly pénzügyi, gazdasági, vagy katonai indíttatású akciók számának növekedése áll (az ilyenek nagy részére egyébként sem derül fény), sokkal inkább a látványhekkeléseké, ahol a minél nagyobb nyilvánosság és a figyelem elérése a cél. Ezt kétféle okkal szokták művelni: vagy ideológiai-politikai demonstrációt akar tartani az elkövető, vagy a saját egóját fényezni. Az elmúlt hetek hekkerhíreinek két állandó főszereplője, az Anonymous és a Lulz Security egymás szöges ellentéteként képviseli ezt a két vonalat.

Az Anonymous 2003-2004 körül alakult a hírhedt 4chan fórumon, túlterheléses támadásaikat és klasszikus hekkeléseiket gyakran a szólás- és információszabadság melletti akcióként mutatják be. Évek óta háborút folytatnak a szcientológia egyház ellen, támogatják a Pirate Bayt és a Wikileakset, és megbüntetik azokat a cégeket és szervezeteket, amelyek ezek ellen lépnek fel. A módszereik és néha az elveik is megkérdőjelezhetők – de legalább vannak elveik.

A Lulzsec idén májusban hallatott először magáról – azóta viszont folyamatosan. A szervezet a pletykák szerint az Anonymousból kiugrott hekkerekből áll, akiknek elegük volt a magasztos ideológiákból, és inkább csak a pusztítás öröméért vandálkodnának a neten. For the lulz (hogy egy jót röhögjünk) – ez a szállóige lett a névadójuk is. És bár indítékaikkal nehéz egyetérteni, azt el kell ismerni, hogy elképesztően profi médiarutinnal teszik, amit tesznek. A CIA oldalának megbénítása után nyilvános telefonos kívánságműsort tartani annak kiválasztására, hogy ki legyen a következő áldozat olyan csodálatra méltó arcátlanság, amivel csak szimpatizálni lehet.

A történet legszórakoztatóbb epizódjaként a két csoport nemrég háborút hirdetett egymás ellen. Az Anonymoust zavarja, hogy összemossák a Lulzsec trolljaival, akik tönkreteszik aktivista megmozdulásaikat. Attól tartanak, hogy a vandálkodás ürügyén a kormányok és nemzetközi szervezetek egyre jobban megnyirbálják majd az internet szabadságát (és erre valóban egyre több jel utal). Most azon dolgoznak, és arra buzdítanak mindenkit, hogy lenyomozzák a Lulzsec tagjainak személyazonosságát, és feldobják őket az FBI-nál. Az ellenfelek ezen jókat röhögnek, és tovább provokálnak, hol a 4chan fórum megbénításával, hol annak kijelentésével, hogy a rájuk vadászók vírussal fertőzött gépeit használják a túlterheléses támadásokhoz. És a legutóbbi epizódként egy harmadik csoport, a Web Ninjas jelentkezett, azt állítva, hogy lenyomozták a Lulz tagjait. Ami vagy igaz, vagy megint egy vicc a viccen belül.

Nagyobb a füstje, mint a lángja?

De valójában mennyire komoly ez az egész ügy? A Sophos biztonságtechnikai cég vezetője szerint egyáltalán nem az. Paul Ducklin egy interjúban gyakorlatilag lehülyegyerekezte az egész Lulzsec-társaságot, azt állítva, hogy technikailag nulla, amit eddig mutattak, a botnetbérléshez, DDOS-támadásokhoz nem kell sok ész, és a kifinomultabbnak tűnő adatlopásaik mögött is a netről szabadon letölthető hibakereső és támadóprogramok állnak csak, nem igazi hekkermágia. Persze iszonyú menőnek és veszélyesnek hangzik, hogy valaki lenyomta a CIA oldalát, de egy túlterheléses támadás szempontjából a cia.gov is pontosan ugyanolyan oldal, mint az összes többi a neten: egy bizonyos terhelésre van tervezve, és ha annak a sokszorosát kapja, megbénul.

A hülyegyerek-emléletnek ellentmond, hogy a Lulz tagjait a mai napig nem kapták el, és az Anonok közül is csak néhányat, akik a gépeik kapacitásának kölcsönadásával segítettek a túlterheléses támadásokban. Ráadásul az Anonymous ennél már látványosabban is kimutatta a foga fehérjét, véresen komoly hekkeléssel: amikor a HBGary Federal biztonságtechnikai cég bejelentette, hogy nyomon van, és hamarosan leleplezi az Anonymoust, betörtek a cég hálózatába, és nyilvánosságra hozták annak összes üzleti titkát, a belső levelezést, az alkalmazottak személyes adatait, mindent. Ezzel gyakorlatilag tönkre is tették a céget, hiszen ki dolgoztatna olyan biztonságtechnikai szakemberekkel, akik a saját rendszerüket sem tudják megvédeni.

Minden csoda három napig tart

A józan ész azt súgja, hosszú távon nem lehet ilyen szinten borsot törni óriáscégek és nagy hatalmú szervezetek orra alá. Persze ha az interneten minden úgy működne, ahogy a józan ész súgja, nem lenne se Anonymous, se Pirate Bay, se Wikileaks. A Lulz vesztét okozhatja az is, hogy a hekkervilágon kívül és belül is túl sok emberel utáltatják meg magukat, vagy az, hogy az emberek egyszerűen megunják őket, és már nem lesz olyan érdekes hír, hogy tizenhetedszer is lenyomtak pár weboldalt.

Egyelőre nem tudni, hogy valami nagy, látványos leleplezés lesz a dolog vége, vagy olyasmi, amire a kilencvenes évek egyik leghíresebb hekkere, a Pentagon rendszerébe tizenévesen betörő Aaron Crayford célozgatott a Lulzsecről szóló cikkében – konkrétan arra, hogy az akkori csúcshekkerek mind egy szálig eltűntek a nyilvánosság elől, és most olyan embereknek dolgoznak, akiknek a kilétére nem is mer rákérdezni. De hogy a mostani fordulatszámon pörgő Lulz-őrjöngés már nem tarthat sokáig, az biztos.

A biztonságtechnikai cégek addig csendben örülnek az egész balhénak, mert rávilágít arra, hogy az amatőr hibák (mint a Sony hónapokig nem frissített szerverei vagy kódolatlan fájlokban tartott jelszóadatbázisai) nem maradnak büntetlenül. Az igazi hekkerek szintén, mert amíg a Lulzsec a nagy durranás, kevesebb figyelem jut az olyan súlyos hekkelésekre, mint a Lockheedé, az Oak Ridge atomlaboré vagy a Citibanké.