Kiberháború: ez még csak a melegítés

A harmincöt orosz diplomata amerikai kiutasítása kiváló apropó ahhoz, hogy számot vessünk a kiberhadviselés elmúlt éves alakulásával. Miközben a politikailag érzékeny külföldi hekkelések és szivárogtatások még a hazai sajtóban is előkerültek, a hétköznapi – ám a magyar választókra, ránk – jóval veszélyesebb hekkelésekről alig tudunk, keveset beszélünk. Hogy a hazai és visegrádi megelőzés fényévekre van a szükségestől és egyre távolodó távolságra a lehetségestől is, ezután aligha meglepő.

A Demokrata Párt szervereinek feltörése régi történet, már 2015-ben beszéltek róla az amerikai rendvédelmi szervek, majd szépen lassan a Fehér Ház is egyre komolyabban vette, míg végül egy G20-as őszi találkozó során Obama személyesen vetette fel Putyinnak, hogy fel kéne hagyni végre a kiberháborúval. A hidegháború óta alig használt „hivatali” forró vonalon is továbbították e kérést a választási kampány hajráját megelőzően. Hogy nem használt, az most nyert bizonyítást, hiszen amúgy aligha töltené az utolsó hivatali napjait Obama azzal, hogy minden eddiginél látványosabb szankciót vet be az orosz kiberoffenzíva miatt.

Azért ne feledjük, hogy az év egyik nagy durranása a Mossack Fonseca panamai pénzmosoda ügyvédi iroda ellen elkövetett hekkelés volt, amelynek eredményét, több mint két terabájtnyi adatot az újságírók rendelkezésére bocsátottak. Akkor többen nehéz magyarázkodásra kényszerültek a világ vezető politikusai közül, Izland miniszterelnöke emiatt lemondott.

A politikailag kínos események nemcsak az amerikai kontinenst bosszantották. Az Orosz Központi Bank december 6-án közzétett beszámolójában 31 millió dolláros veszteséget írtak a hekkerek számlájára – valószínűleg szó szerint, igaz, ebben a számításban a kereskedelmi bankok is benne vannak. Februárban a bangladeshi Központi Bank veszített el több mint 80 millió dollárt az amerikai FED-nél vezetett számlájáról. Utólag kiderült, hogy Észak-Korea állhatott emögött. A nemzetközi utalásokhoz használt SWIFT hálózat a bűnözők egyik bejáratott célpontja. Nem véletlen, hogy a Wall Streetet is magába foglaló New York államban 2017. január 1-től a pénzügyi szolgáltatókra nézve kötelező új kibervédelmi szabályozás lép életbe, amelynek átvételére csupán hat hónapjuk lesz a piaci szereplőknek.

A CSIS eseményszemléje szerint még említésre méltó, hogy januárban szélsőjobboldali szervezetek a cseh miniszterelnök Twitter-fiókját törték fel; az izraeliek a briteket és amerikaiakat vádolták a drónjaikba való behatolással, a tavasszal pedig a finn védelmi minisztérium közölte, hogy alighanem négy éve nem vették észre, hogy rajtuk kívül volt még valaki a belső hálózatukon. Az oroszok a németekre és a törökökre – Erdogan emailjeire – is akcióztak, míg a kínaiak szintén mindenre lőttek, ami mozog. Augusztusban egyébként elloptak a tengeralattjárókat is gyártó francia DCNS cégtől az Indiának is készülő Scorpene-modellek fontos adatait.

Szürke hétköznapok

Ahogy e listából feltűnik, a látványos botlások nem korlátozódnak a politika területére. Persze hozzá kell tenni, hogy miközben millió támadás ér egy átlagos nap egy-egy nagyobb céget – tehát milliószor próbálkoznak bejutni a hálózatába – ebből egész kis töredék az, amely sikeres, de ez is épp elég ahhoz, hogy mostanában a kiberbiztonság legyen az egyik legfontosabb közpolitikai téma az Elbától nyugatra.

A kiberakciók jelentős része egyelőre a kiberbűnözők lelkén szárad, akik a hagyományos maffiózók mentalitását követve kizárólag a profitot tartják szem előtt, nem pedig politikai célokat. Ahogy az mégis lenni szokott, a legsikeresebb hekkerekre felfigyelhetnek a titkosszolgálatok és kaphatnak politikai missziókat. Több hekkercsoportot azonosítottak, mint amelyek a szolgálatok outletjei, külsősei vagy éppen csak fedőszervei. A hagyományos bűnözés és a politikai kiberműveletek között tehát masszív átjárás lehetséges, amelyet csak most kezdenek kiaknázni igazán.

Minél előrehaladottabb az adott társadalom az információs technológiában, annál jobban válhat kiszolgáltatottá. Nyilván nehéz meghekkelni egy kézzel nyitható víztározó gátat, hegyi tehenészet kapuját vagy öreg offline Lada Nivát; miközben a vezető nélküli metró vagy az elektromos hálózatunk vezérlése, atomerőművek vagy repterek irányító egységei sokkal jobban adják magukat. Az USA-nak bőven elég oka van pénzt költeni a védekezésre, de ne higgyük, hogy Magyarország ne függene ezektől a rendszerektől, mégha nem is priorizálja 2014 óta kellően e           védekezést.

Hogy mennyire jól haladnak a hekkerek a hétköznapi életben észrevehető incidensekkel, az alábbi lista jól szemlélteti:

• San Francisco metróját üzemeltető cég gépeit úgynevezett ransomware-rel fertőzték meg, vagyis az összes adatot titkosították és csak váltságdíj fejében oldanák fel. Ez a Hálaadás előtt oda vezetett, hogy ingyen lehetett utazgatni, majd nagy nehezen visszaszerezték a hatalmat a hálózat fölött az üzemeltetők.
• Május 13-ra jól fognak emlékezni Los Angeles megyéjében, ahol ezen a napon több mint száz alkalmazott esett áldozatul phising email támadásnak, vagyis óvatlanul megadták a hivatali azonosítójukat és jelszavukat a hekkerek által felállított álweboldalon. Ez potenciálisan több mint 700 ezer helyi polgár adatához biztosíthatott hozzáférést, és intő jel arra, hogy az emberi naivitás a legnagyobb biztonsági rés.
• Az amerikai adóhivatal (IRS) 2014-es (!) becslése már 2.7 millió főre tette azoknak az áldozatoknak a számát, akik valamely fajta identitás-lopást szenvedtek el. A magyar felhasználók is napi szinten kapják e phising spam emaileket, ahol szolgáltatójuknak álcázott személyek próbálják a jelszó “újraállításához” vagy más ürüggyel kicsalni az azonosítókat.
• Egészségügyi központok, kórházak az USA-ban nagy számban, de itthon is estek már el a ransomware előtt: a nem eléggé védett rendszerek nagyon érzékeny adatokat tartalmaznak, így aztán valódi aranybánya a hekkerek számára, hiszen egyrészt ha kiszivárognának egészségügyi személyes adatok, az is borzasztó kínos lenne mindenkinek, másfelől az ellátást sem lehet folytatni, ha nem férnek hozzá, így könnyen előfordulhat, hogy fizetnek a zsarolóknak, ha nincs módjukban helyreállítani a rendszert.
• December közepén jelentette be a gmail előtti korszakban egyik legnépszerűbb e-mail szolgáltató, a Yahoo!, hogy egy milliárd felhasználó adatához férhettek hozzá. Kevés tudható az ügyről, már szeptemberben is ötszáz milliós volt a felhasználói nagyságrend, amelyről beszéltek, de elég tragikus, hogy a legnagyobbak sem képesek kisebb körre szorítani a kárt. Súlyosítja a képet, hogy nem egy idei esetről volt szó, hanem évekkel korábban történhetett, csupán most számoltak be róla. (Ha volt Yahoo! fiókja, érdemes új jelszót adni...)
• Végül, nemcsak a nagy központi bankok fiókjait pucolgatták tisztára, hanem az egyik legfontosabb Bitcoin-váltó platform, a Bitfinex esett el augusztus elején, amikor 120 ezer bitcoint loptak el, amely veszteséget a cég egyenlően terített szét az ügyfelek számláján.
• Az amerikai DARPA, amelyet eddig is a vad high-tech kísérleteiről ismerhettünk a sajtóból, idén először olyan nyilvános vetélkedőt rendezett, amelyekre amerikai kutatók robotcsapatai nevezhettek be: az első hekkerfutam, amelyen kizárólag gépek indulhattak gépek ellen. A fődíj 2 millió dollár volt, el is vitték. A gépek percekre redukálhatnak egyre több olyan feladatot, amellyel eddig emberi hekkerek napokig bajlódtak.

Az év további újdonságát az Internet of Things (IoT) vagyis az online kütyük hálózatának hekkerfelhasználása adta. Pontosabban ennek nagyságrendje. Ilyenkor a házi webkamera, bébifon, okoslámpa vagy más gadget a rátelepülő malware – rosszindulatú program – hatására beáll a hekkerek mögé, és a támadás pillanatában összehangoltan tudnak például egyszerű weboldal-lekérést teljesíteni. Ez ekkora tömegben a szerver leállásához vezethet – ez a Denial of Service, amikor 404-es hibát kapunk a kedvenc oldalunk képe helyett. Ezzel az ősz során az USA keleti-partján minden korábbinál komolyabb forgalomfennakadást tudtak generálni. Mindezt pedig már aligha unatkozó tinik, mintsem úgynevezett state-sponsored actorok, vagyis államok által finanszírozott hekkercsoportok teszik.

A brit postát, a német T-com bizonyos routereit is érte hasonló típusú támadás, adott pillanatban volt, hogy majdnem egymillió routert sikerült egy, a fenti mintára épülő botnethez csatlakoztatni. A Thyssen csoport ipari kémkedést jelentett, alighanem kínai kötődésű, korábban online játékpénzekre utazó csoport kíváncsiságának köszönhetően. Ez a Winnti nevű csoport már feltűnt más német cégeknél is. Így már világos, hogy a VW, a BASF, a Bayer és az Allianz miért alapították meg a Német Kiberbiztonsági Szervezetet, amelyhez azóta többen csatlakoztak, és szorosan együttműködik a német belüggyel.

Kelletlen együttműködés

Legyen szó állami vagy ipari kémkedésről, propagandáról vagy botnet-építésről, egyelőre elkerülhetetlennek látszik, hogy az államok és a piaci szereplők együttműködjenek. A legnagyobb internetszolgáltatok (ISP) tipikusan magánvállalatok. Őket eddig a lehallgatások kapcsán vették elő az állami szabályozók, hogy meddig őrizzenek metaadatokat a kommunikációnkról. Most már az is érdekes, hogy hogyan védjék meg magukat, és ezáltal a közigazgatás és a polgárok hétköznapi életéhez szükséges online működést. Az államok nekifogtak a kritikus infrastruktúra megnevezésének, amelyeknél külön sztenderdek, jelentési kötelezettség és más előírások érkeztek-érkeznek.

Obama idén februárban alapította meg a Nemzeti Kiberbiztonság Fejlesztő Bizottságot (Commission on Enhancing National Cybersecurity, NIS), amelynek egyik fontos funkciója az amerikai elnök illetve csapata és a biztosok folyamatos együttműködésének serkentése. A Microsoft, a Mastercard vagy éppen az IBM magas beosztású vezetői mellett éppen a hazánkból kitiltott Uber is kapott egy helyet a NIS-ben.

Az ember a rés

Számos ajánlás hangsúlyozta az elmúlt években, hogy a biztonság építését a saját embereinken kell kezdeni. Ahogy az a hivatalnokokkal szembeni phising támadásokból is látszik, óriási Achilles-sarokról van szó. Erre több ország komoly programot indított, Michigan államban az összes állami alkalmazottnak kötelező már a tréning, míg Marylandban például olyan gyakorlatokat tartanak, amelyek során külső és hálózaton belüli támadást szimulálnak, készülnek arra az esetre, amelynek bekövetkezte a legtöbb biztonsági szerv szerint idő kérdése.

Az Egyesült Királyság, Ausztrália vagy éppen Finnország is immár külön kibernagykövetet nevezett ki, aki részben a helyi kiberipar érdekeit, részben a terület fontosságát hivatott képviselni. A britek folyamatosan fejlesztik a Nemzeti Kiberbiztonsági Központjukat, elképesztő sebességgel bérelnek fel újabb és újabb biztonságtechnikai szakembereket, egyszerűen készülnek a 21. századi konfliktusokra.

A szakemberhiány azonban mindenkit sújt. Az USA-ban több mint 200 ezer állás betöltetlen e területen, míg a világon ezt egymillió fölé saccolják a szakértők. A képzés egyszerűen még gyerekcipőben jár sok országban, így itthon is. A kiképzett emberekre, arra a kevésre, viszont lecsap a piac, amely jóval magasabb béreket kínál. Ezzel a hazánkhoz hasonló visegrádi négyek is ugyanúgy küzdenek, egyszerűen fel sem tudják tölteni a sorokat. Egyedül a lengyelek hoztak konkrét döntést: a legfontosabb száz kiberbiztonsági közalkalmazotti állásban óriási fizetésemelésre tettek félre pénzt, és ez az “arany százas” program még alighanem bővülhet.

Hekkelünk éjjel, hekkelünk nappal, hekkelünk minden frekvencián

Az orosz-amerikai eset fontos, tanulságos és jól példázza, hogy mennyire nincsenek még államközi eszközök a hasonló konfliktusok kezelésére. Egy orosz bombázónál egyértelmű, hogy berepült-e a nemzeti légtérbe, egy államilag támogatott hekkercsoporttal szemben megdönthetetlen bizonyítékot felmutatni szinte a lehetetlennel egyenértékű. A katonai tervezők tanulják az új hadviselési területet, hogy immár nemcsak a levegőben, szárazföldön és vizen, hanem a kibertérben is hadviselés zajlik. A kiberháborúnak immár csak egy apró alterülete az információs hadviselés, a valódi potenciálja sokkal szélesebb, sokkal közvetlenebbül fenyeget mindannyiunkat.

Azok a szakértők, akik a kibertér fontosságát az űrben elhelyezendő fegyverek és az atomarzenál mellé, immár egy polcra teszik, aligha tévednek.