A hírportálok az első célpontok

Néhány hete a harmadik magyar etikushacker-konferencián Hackerek a hadseregben címmel tartott előadást. Miért van szüksége a hadseregnek hekkerekre?

A hadseregnek nem hekkerekre van szüksége, hanem olyan biztonságtechnikai szakemberekre, akik képesek a hekkerek fejével gondolkodni. Erre pedig azért van szükség, mert egy borzasztó erősen technológiafüggő világban élünk, ahol - bár mostanában azért vannak lépések a biztonság felé is - az első számú cél még mindig a működés folytonosságának biztosítása, nem a biztonságos üzemeltetés. Amíg az a legfőbb feladat, hogy 100 százalékon működjön például a villamosenergia-szolgáltatás, addig nagyon nehéz a rendszereknek a biztonságára is ügyelni. Azt pedig látjuk, hogy ezek a rendszerek támadhatók. A TCP/IP protokoll sebezhetőségei köztudomásúak, és ezeket kihasználva, a megfelelő technikai ismeretekkel bárki beleavatkozhat ezekbe a kritikus fontosságú rendszerekbe, és óriási károkat okozhat.

Ehhez nem kell különösebb varázslat, néhány megfelelő szaktudású embert kell csak összeszervezni, akik a való életben akár nem is ismerik egymást. Ezt meg lehet oldani úgy, hogy a titkosszolgálatok ne szerezzenek tudomást róla, hiszen bárki tud akár egy blogon kommunikálni, szervezkedni, még csak virágnyelvet sem kell feltétlenül használni. Egy kis informatikai tudással bárki találhat a az interneten olyan módszereket, és végrehajthat olyan támadásokat, amelyek egy nem kellően felkészült rendszerben hatalmas károkat okozhatnak. Persze ez nem a középiskolás gyerekek szintje, mert fejlődik a védelem is - de az a helyzet, hogy a kibertámadások elleni védelem szintje ma elmarad a támadókétól. Na ezért szükséges a hadseregben az etikus hekkerek alkalmazása, oktatása és kiképzése, akik fel tudnak minket készíteni az infrastruktúránk védelmére.

A klasszikus biztonságtechnikai szakember filozófiája a védekezésé, az etikus hekkeré a támadásé - és ezzel segít megtalálni, és kijavítani a saját rendszerünk gyengeségeit. Tehát a hadsereg a hekkereket alapvetően védelmi célokra képzi ki, és használja.

A hadtörténetben volt már olyan háború, ahol konkrét informatikai hadműveletek zajlottak volna, bevetettek hekkereket, vírusokat és hasonlókat?

Nincs igazán publikus, egyértelmű információ arról, hogy informatikai hadviselés, ilyesfajta hadműveletek ország ország ellen lezajlottak volna. Ugyanakkor ott volt az orosz-észt válság, ahol persze nem bizonyítható az orosz állami beavatkozás. Vagy az orosz-grúz konfliktus, ahol szintén nincs bizonyíték, de egyértelműen nyomon követhető az orosz kormányzati szándék, ahogy megjelent a fegyveres beavatkozás mellett párhuzamosan az elektronikai és az internetes hadviselés is.

Mi történne, ha valaki Magyarország ellen indítana informatikai hadműveletet? Van erre kidolgozott védelmi rendszer, cselekvési forgatókönyv?

Magyarországon három olyan CERT, vagyis Computer Emergency Response Team működik, akik incidenskezeléssel foglalkoznak, a legfontosabb a napi 24 órában működő CERT Hungary, ami nemrég átalakult Nemzeti Hálózatbiztonsági Központtá. Az ő feladatuk, hogy ha Magyarországot ilyesfajta támadás éri, akkor a nemzetközi CERT-ekkel együttműködve a támadást elhárítsák. Ez nem azt jelenti, hogy akkor lépnek akcióba ezek a csoportok, amikor már bekövetkezett a támadás, hanem folyamatosan monitorozzák a hálózatokat, és ha nagyarányú, egy egész ország elleni támadásról beszélünk, az azért feltételezi, hogy ennek az előkészítését az összeurópai, sőt, az egész világra kiterjedő CERT-hálózat észreveszi.

Probléma akkor van, ha a támadás olyan helyről érkezik, ahol nincsenek CERT-ek, nincsenek olyan állami szervek, amelyek beavatkoznának. És vannak katonai CERT-ek is, a NATO-n belül szintén szövetségben egymással, és kimondottan a katonai célpontok védelmével foglalkoznak.

Ezek a katonai hálózatok mennyire vannak fizikailag szeparálva az internettől?

Vannak olyanok, amelyek teljesen, de vannak amelyek a publikus internettel kapcsolatban, vagy konkrétan az interneten működnek. Az igazán érzékeny információk nyilván az előbbi hálózatokon áramlanak.

Tehát nincs olyan, mint a filmekben, hogy a hekker a neten betör ide-oda, és elindít rakétákat, mert a rakétákhoz a parancs olyan dróton megy, ami nincs összeköttetésben az internettel.

Igen, ez színtiszta Hollywood. Persze akármennyire is zártak ezek a rendszerek, lehet olyan pontokat találni, ahol mégiscsak be lehet avatkozni a működésükbe. Ha egy ország megtámad egy másikat, a célja ezeknek a pontoknak a megkeresése, és ez a számítógépes hadviselés lényege, hogy megtaláljuk, hol vannak azok a pontok egy zárt rendszerben, ahol be lehet avatkozni, mondjuk elektromágneses úton, zavarással, rosszindulatú kód bejuttatásával, vagy fizikai pusztítással. De az igazi probléma nem is a katonai rendszerek megtámadása, hanem a civileké.

Milyen civil rendszereket érdemes egy informatikai csapással megtámadni  Magyarországon?

Kormányrendelet határozza meg, mi számít kritikus infrastruktúrának, de végül is ez józan paraszti ésszel kikövetkeztethető. A legelső és legfontosabb mindenképpen a villamosenergia-szolgáltatás. Hogy mekkora felkészültség, és mekkora erő szükséges ennek a sikeres megtámadásához, az már más kérdés. Azt biztosan ki lehet jelenteni, hogy tisztán informatikai támadással Európában, illetve Magyarországon nem lehet jelentős, nagyobb területre, vagy akár egész országra, régióra kiterjedő kárt okozni az energiaszolgáltatásban. Ehhez komplex támadás kell: hagyományos fizikai támadás, robbantások - és emellett párhuzamosan informatikai csapások az energiaszolgáltatók, pénzügyi szolgáltatások, az elektronikus média és internetszolgáltatók ellen.

Krasznay Csaba barátommal a tavalyi Hacktivity konferencián vázoltunk fel egy olyan forgatókönyvet Digitális Mohács címmel, amiben felsoroljuk, mik azok a legfontosabb célpontok Magyarországon, amelyek támadhatók informatikai eszközökkel. Egy komplex támadáson belül az informatikai csapások első célpontjai, már csak a pszichológiai hatás miatt is a hírportálok lennének. A magyar hírportálok elérnek 2-3 millió embert, sokszor a hagyományos média is innen tájékozódik, és itt fokozottan érvényes, hogy a működés folytonosságát a biztonság elé helyezik - de ez a világon mindenhol így van. Az a cél, hogy az oldalt ne törjék fel, kisebb prioritású, mint az, hogy ha feltörték, az újságíró ezt rögtön meg tudja írni. Ez tökéletes célponttá teszi az online médiát. Egy Magyarország elleni komplex hadműveletben az Index az első célpontok között lenne, ebben biztos vagyok.

Mi történik, ha célt ér egy ilyen támadás?

Önmagában informatikai támadással ma egy országot nem lehet romba dönteni, de óriási, százmilliárdos károkat lehet okozni. Ha emellé fizikai támadást is alkalmazunk, és távvezetékeket, kommunikációs csomópontokat semmisítünk meg, az informatikai szektort teljesen ki lehet iktatni az ország életéből. Ez 100-120 évvel képes visszavetni egy társadalmat. Képzeljük el, hogy most nem 2010-et írunk, hanem 1900-at. Van áramszolgáltatás itt-ott, villognak a lámpák, de nincsen telefon, nincs tévé, nincs rádió, nincsenek hírek, nem tudunk semmit arról, ami a világban történik. Nincs egészségügyi ellátás, vagy csak nagyon korlátozott, nem működnek az életmentő berendezések.

Mi a helyzet a NATO-val? Egy kibertámadás esetén beavatkozna és megvédene minket? Észtországot annak idején nem védte meg.

A NATO reagált az Észtország elleni támadásra, a szakértőit azonnal odaküldte, ahogy a nagy informatikai cégek is a sajátjaikat, akiknek rálátásuk volt a támadásra. De éppen az észt konfliktus vetett fel egy csomó olyan problémát, amelyeknek a nagy részére máig nem sikerült választ adni. Ott van a bizonyíthatóság kérdése. Nem tudjuk bizonyítani, hogy ki ült a gép mögött, amikor onnan egy botnet felé elindult a támadási parancs.

A NATO alapokmányában az ilyenkor idézett ötödik cikkely azt mondja, akkor indul be a szövetség védelmi reakciója, ha fegyveres támadás éri az egyik tagországot. Idén nyáron Tallinban lesz egy NATO-konferencia, ami ezekkel a kérdésekkel foglalkozik. Kell-e módosítani az alapokmányt, és pontosabban definiálni azt, mit tekintünk egy ország megtámadásának? Hogyan lehet ezt bizonyítani?

A XXI. század elejéig ezek elég egyértelműek voltak: fegyveres katonák behatoltak a másik ország területére, vagy repülők a légtérbe és elkezdtek lövöldözni meg bombákat dobálni. Most a világon bárhonnan lehet támadást indítani egy zárt szobában ülve. Még azt sem lehet bizonyítani, hogy a számítógép, ami részt vett egy túlterheléses támadásban, a tulajdonosa tudtával és utasítására dolgozott, vagy anélkül, egy zombihálózat tagjaként. Az Észtország elleni támadáshoz nyilván felhasználtak Magyarországon levő, vírussal fertőzött gépeket is a támadók, mégsem feltételezzük, hogy akkor Magyarország mint ország megtámadta volna Észtországot.

Ha bármilyen kibertámadás történik a világban, a gyanúsítottak között szinte mindig ott vannak a kínaiak. Mit lehet tudni Kínáról? Tényleg ezerszámra alkalmaznak hekkereket a hadseregben?

Kína egy fekete folt, alig tudunk valamit róluk. 2008 végén született az amerikai kongresszus számára egy jelentés, amiben az szerepelt, hogy 250-300 olyan hekkercsoport van, amelyek kínai kormányzati felügyelet alatt dolgoznak. Az azért jelzésértékű, ha egy ilyen adat, hírszerzési információkkal alátámasztva bekerülhet egy publikus dokumentumba. Az is szerepel ebben a jelentésben, hogy 20 terabájtnyi adatot loptak el ezek a hekkerek három év alatt amerikai, illetve multinacionális cégektől. És itt nem videókról van szó, hanem szöveges dokumentumokról, képekről, tervrajzokról.

Itt elég szorosan összefonódik a hagyományos és az ipari kémkedés, és itt is borzasztó nehéz bármit is bizonyítani. 2007-ben Németországban volt egy eset, ami a legtovább ment ilyen téren: független szakértői csoport igazolta, hogy német kormányzati szerverekről töltött le valaki adatokat egy kínai ip-címen levő gépre - de hát ez sem jelent semmit önmagában hogy kínai ip-cím, hiszen onnan bárhová mehetett tovább az az adat, bárki használhatott kínai internetszolgáltatónál levő szervert.

Van arra esély, hogy valaha egyértelműen azonosítható lesz, ki áll egy kibertámadás mögött?

Én szkeptikus vagyok: ha egy adatfolyamot 15 proxy szerveren keresztül küldök a célpontjához, úgy, hogy mire nyomoznának utánam, ebből pár gépet már rég kikapcsoltak, vagy akár be is zúztak, senki nem mondja meg, ki volt a lánc végén. Persze az IT forensics szakértői, az informatikai helyszínelők is fejlődnek, és előbb-utóbb megtalálják a technikai megoldást, de egy ilyen nyomozás borzasztó sok energiába, időbe és pénzbe kerül, lehet hogy többe, mint amennyi kárt a támadás okozott. És akkor még ott van az a kérdés is, hogy a technikai lehetőségeket hogyan illesztik a jogalkotás folyamatába.

Ha a hadseregek mind a védelem erősítésére alkalmazzák a hekkereket, akkor tulajdonképpen ki ellen védekezünk?

Az információs hadviselés a támadó oldalán relatíve olcsó, és ehhez képest nagyon hatékony. Sokkal olcsóbb és egyszerűbb kibérelni egy botnetet, mint mondjuk venni egy tankot. Az igazi veszély abban rejlik, ha egyszer jön egy igazán elborult elme, egy politikai vezető, terroristavezér, de lehet akár teljesen hétköznapi állampolgár is, és viszonylag korlátozott erőforrások felhasználásával ennél összehasonlíthatatlanul nagyobb kárt tud okozni.

Itt mégis milyen nagyságrendű összegekről beszélünk? Annyi pénzből, ami egy átlagember számára hozzáférhető, mondjuk egy használt autó ára, meg lehet támadni egy országot és százmilliárdos károkat okozni?

Egy ddos-támadás gyakorlatilag ingyen végrehajtható, ha összeáll 100-150 ember, aki képzett annyira, hogy be tudja kapcsolni a számítógépet. 2002-ben volt Amerikában egy Digitális Pearl Harbor nevű szimulált hadgyakorlat, ahol egy 15-20 fős csoportnak 50 millió dollár állt rendelkezésére az USA megtámadásához; ez egy fél lopakodó bombázó ára, filléres összeg az amerikai hadsereg méretéhez képest. Nemzetbiztonsági okokra hivatkozva nem tették közzé a részletes eredményeket, de annyit igen, hogy a szimulációban súlyos károkat szenvedett az amerikai áramellátás, a telekommunikációs és pénzügyi rendszerek. Persze ők specialisták voltak, és pontosan tudták, hol vannak a védelem sebezhető pontjai.

Ha ilyen károk okozhatók nem abszurd mennyiségű erőforrás felhasználásával, akkor hogyhogy nem történik ilyesmi minden héten? Az ember azt gondolná, elég őrült van a világban ahhoz, hogy ha csak minden ezrediknek jut eszébe kiberháborúst játszani, már vége legyen a világnak.

Na ez egy olyan kérdés, amit mi is többször felteszünk magunknak, hogy miért nem történnek ilyen katasztrófák, ha a lehetőség adott rá. Az egyik válasz az, hogy a védelmi mechanizmusaink valószínűleg elég jók ahhoz, hogy kivédjük az ilyen támadásokat. És talán az lehet a másik, hogy az informatikai támadások mögött az ok jellemzően nem az, hogy kiüssünk egy országot, hanem az, hogy pénzt szerezzünk. Egy ország informatikai megtámadásának önmagában sok értelme nincs. Annyira összefüggőek a nemzetközi rendszerek, hogy ha lenyomom a szomszédom hálózatát, az magával rántja az enyémet is.

Sokkal több értelme van mondjuk bankokat támadni. Ha feltöröm a bank rendszerét, és ezt a tudomására hozom, valószínűleg hajlandó sok pénzt fizetni, hogy ne tegyem publikussá a dolgot. De ha egy országot támadok meg, azon mindenki csak veszít - feltéve, hogy nem valami különösen elvetemült ideológia mentén történik a dolog, és az a cél, hogy mindenki veszítsen.

A hagyományos hadászat írott és íratlan szabályai szerint nem illik civilekre lőni, az informatikai hadviselésben viszont, ha jól értem, a civil célpontok legalább olyan fontosak, mint a katonaiak. Vannak egyáltalán szabályai a kiberháborúnak, van internetgenfi egyezmény?

Az biztos, hogy vannak a hagyományos hadviselésnek olyan szabályai, amit informatikai hadműveletekben is be lehet és be is kell tartani. Például nem támadunk kórházakat. De a technikai fejlődéssel a genfi konvenció előbb-utóbb ugyanúgy kiegészítésre fog szorulni, mint a már említett NATO-alapokmány. Tulajdonképpen az egész nemzetközi hadjogot újra kell gondolni. Hadtörténeti szempontból egy borzasztó izgalmas időszakban élünk, mert éppen most alakul ki egy egészen újfajta hadviselés. Doktrinális szinten már 10-15 éve megjelentek az információs hadviselés alapszabályai; ezek azt írják körül, hogy mit hogyan kell csinálni. De hogy mit nem szabad, azt még nem fogalmazta meg senki.