De hogy sikerült feltörni az FBI-t?
Tíz éve, a választási kampány hajrájában élénk derültséget / közröhejt keltett a Fidesz és az MSZP közti kiberháború. Az MSZP azzal a jelszóval védte a szerveren tárolt kampányanyagait, hogy
a jelszót megszerző Fidesz pedig a saját székházából töltötte le az anyagokat. Kínos. De mint kiderült, ilyen eset nem csak Magyarországon fordulhat elő.
Vasárnap egy hekker azzal fenyegetőzött, hogy nyilvánosságra hozza a Nemzetbiztonsági Minisztérium (DHS) és az FBI munkatársainak személyes adatait. Több tízezer névről és e-mail címről volt szó: mint mondta, körülbelül 200 gigabájt adathoz fért hozzá. A személyes adatokat hétfőn közzé is tette.
De hogy férhetett hozzá egy hekker az FBI és a DHS adataihoz? Hiszen ők a kiberbűnözés elhárításában is az élen járnak. Mint kiderült, ehhez csak egy telefonhívásra volt szükség.
A hekker a Motherboardnak mesélte el, hogy mi történt. Először is hozzáfért egy igazságügy-minisztériumi dolgozó e-mail címéhez. (Bár nem mondta el, hogy ez hogy sikerült, kétségkívül így van: erről a címről kereste meg a Motherboard riporterét is.) Innen megpróbált bejelentkezni a minisztérium saját portáljára, de nem járt sikerrel. Ezért felhívta az illetékes osztályt, hogy segítsenek a problémáján.
A hekker új munkatársnak adta ki magát, amikor a telefonos ügyintézővel beszélt. Az ügyintéző megkérdezte, hogy kapott-e belépési kódot. A hekker azt mondta, hogy nem, mire az ügyintéző: semmi baj, használja a miénket!
Human error
Kétségtelen: a legkönnyebben úgy lehet bejutni egy szuperbiztonságos rendszerbe, hogy elkérjük a jelszót. Az egészben csak az a furcsa, hogy ezt a trükköt épp a nemzet- és kiberbiztonságért felelős ügynökségekkel szemben lehet kijátszani. Hasonló módon fért hozzá egy tinédzser hekker a CIA vezetőjének e-mail fiókjához, és orosz hekkerek is így jutottak be a Pentagon e-mail szerverére. Az amerikai nemzetbiztonsági szerveknél hiába használnak 1024 bites titkosítást, amíg lesz egy egybites ügyintéző, aki telefonon kiadja a jelszót.