Így támadnak a kiberbűnözők

Az ezredfordulón a banki rendszerek érintettsége volt a legégetőbb kibertéma. Manapság sok szó esik az M2M (mobile-to-mobile) megoldásokról, a Dolgok Internetéről (IoT), vagy az Ipar 4.0-ről és ezen belül az elosztott rendszerekről, amikben a mesterséges intelligencia képes hibákat érzékelni és önállóan döntéseket hozni – jellemzően mégsem ezeken a területeken tapasztalják a legtöbb támadást. Hálózatba kötött munkahelyi gépeinket is használhatják támadásra a tudtunk nélkül, és az otthoni pc is eszközzé válhat a kiberbűnözők arzenáljában.

A komputervírus ugyanúgy működik, mint az emberi testben a vírus. A vírus legyőzéséhez antivírus kell. És ahogy az ember is csak a tünetekből képes felismerni, hogy beteg, a számítógépnél is külső jegyekből vesszük észre, hogy megfertőződött a gép. Kimerevedik a képernyő, akadoznak a funkciók.

Támadásfajták

Malware

Kártékony, rosszindulatú szoftver, ami lehet vírus, féreg (worm), agresszív reklámprogram (adware), a rendszerben a támadónak emelt szintű hozzáférést és jogokat biztosító eszköz (rootkit), valamint kémprogram (spyware), ez utóbbit gyakran csak sok éves ténykedés után sikerül felfedezni.

Ransomware

Titkosítja az adatállományokat, és pénz ellenében hajlandó megadni a kulcsot, amivel visszaállítható a működőképes állapot. Ilyeneket vetnek be az ipari létesítmények ellen, ahol a kontrol átvétele és a rendszer lebénítása a cél.

DoS (Denial of Service)

Több ezer vagy több tízezer IP-cím annyi spammel, üzenettel, kéréssel árasztja el a honlapot vagy céges rendszert, hogy bekövetkezik a túlterhelés és leáll a szolgáltatás. A sajtóba és a közvélemény figyelmének homlokterébe leginkább ezek a támadások kerülnek be.

Zsarolnak

A legmenőbb támadási típus a malware, vagyis a rosszindulatú kód. Ez a kiberbűnözés trójai falova, amelyet szétszórnak a kibertérben. Zömében kulcsfontosságú infrastruktúrák ellen vetik be őket. 2016-ben például a gundremmingeni erőműben Ramnit és Conficker vírusok szabadultak el.

– Valaki nem lehet ennyire lúzer, hogy ezzel akarjon támadni erőművet – mondja Antal Lajos, a Deloitte magyar és kelet-európai kiberbiztonsági tanácsadási üzletágának vezetője. Magyarán itt a tág szórás esete foroghat fenn: bejuttatnak fertőzött fájlokat stratégiailag fontos intézményekbe, valaki, valahol csak ráklikkel a csatolmányra. – Az erőművek veszélyes blokkjait olyan elemek védik, választják le a külvilágtól, amelyek nemhogy az elektromos kommunikációt, de magát az elektront sem engedi át a falon – teszi hozzá Antal.

Az infrastruktúrák célzott lebénításához ransomwaret, azaz zsarolóvírust szoktak használni. Ha kórházzal szúrnak így ki, akár emberéletekbe is kerülhet, ha egy adat nem hozzáférhető a sürgős műtét előtt. Egy-egy gazdag magánkórháznak érdekében állhat kifizetni a kiberváltságdíjat.

Antal szerint gyakoribbá vált a figyelemeltereléses akció, amikor a támadó malőrt gerjeszt a rendszer egyik pontján. A megtámadott fél ennek megoldására csoportosítja erőforrásait, de eközben a támadó a rendszer másik részén alattomosan elindít egy másik offenzívát.

Botnet: ön is benne lehet

Sokan nem is tudják, hogy míg békésen alszanak, otthoni gépüket akár felhasználhatják a hackerek kibertámadások kivitelezésére. A munkamegosztás a botneten zajlik. Mivel a hazai felhasználók hajlamosak megnyitni a spameket, így otthoni PC-jüket csatasorba állítják a botnet hackermilíciájában. A Symantec éves botnet-toplistáján 2014-ben Magyarország az ötödik helyen szerepelt. A magyarországi számítógépek 4,9 százalékát használták már botnetes támadásra, vagyis több százezer gépet. A lista élén Kína szerepelt 16,5 százalékkal, a másodikon az USA 16,1 százalékkal.

Ebben a becserkészésében passzív és tudatlan résztvevőkké válunk: a hatóságok ezért áldozatnak ismerik el a gép tulajdonosát, nem tettestársnak, legalábbis a külföldi precedensekből ítélve.

A fenyegetettséget növeli az IoT, a dolgok internete terjedése: az eddig izolált rendszereket – gyárak, vasutak – integrálják, megnyitva azokat a nagyobb hálózatok felé.

– Az infrastruktúra szabotálása manapság mindennek a szabotálását jelenti – mondja Csíki Ádám, az EY Kibervédelmi Szolgáltatások üzletágának szenior menedzsere. – Ma minden kulcsfontosságú üzleti, termelési, nyilvántartási, logisztikai folyamat a gépeken fut.

Chris Vickery amerikai adatbiztonsági szakértő szerint nem is annyira az adatlopásról fog szólni az adatbiztonság jövője, hanem az adatmódosításról. Mivel a cégek egyre inkább algoritmusokra hagyatkoznak döntéshozatalaikban, ha nagy mennyiségű adatot módosítanak a támadók, azzal eltorzíthatnak piaci folyamatokat és manipulálni tudnak felsővezetői döntéseket is.

Védekezés

A cégek pozitív hackereket bíznak meg, hogy teszteljék rendszerük biztonsági réseit. A Facebook (FB) 2011-ben indította el a bug bounty programját, amely pénzjutalmat oszt azoknak a hackereknek, akik megtalálják a közösségi média gyenge pontjait. 10 ezer dolláros jutalmat kapott például egy 10 éves finn srác, Jani, aki az FB birtokában lévő Instagramon tesztelte, hogy mennyire bírja a portál a rosszindulatú kódokat. Nem bírta. Jan képes volt törölni bárkinek a posztjait. A Facebook eddig 4,3 millió dollárnyi jutalmat osztott szét 800 elmés hacker között, állítja a The Guardian.

Minden cégnek kell egy saját hacker

Ma az üzleti életben a vállalkozások fő fegyvere az információ, amely eddig sosem látott formában és méretben özönlik a cégekhez. A szinte végtelen mennyiségű adat megértése és elemzése, szakszerű rendszerezése és biztonsága olyan speciális szakemberekre hárul, akikről pár évvel ezelőtt még nem gondoltuk volna, hogy szükségünk lesz rájuk.

A Deloitte-nál Antal Lajos csapata a munka 80 százalékát arra fordítja, hogy etikus hackelést végez. – Szinte nincs olyan rendszer, ami feltörhetetlen – vallja Antal, aki szerint nő azon incidensek száma, amelyekben szofisztikált vírusokat használnak, vagyis olyat, amely még nincs bent az antivírusok tudásbázisában. Egy ilyen támadáshoz azonban több tízezer dollár szükséges. Két-három éve a Zeus programkód megszerzése 100 ezer dollárt kóstált, az egyszerűbb malwareké 1000 dollár. Ma már bérelni is lehet gépeket a darkneten támadáshoz, akár több ezret.

Bennfentes adatszivárogtatók

Azt gondolhatnánk, hogy az adatok biztonságának első számú ellenségei a titokzatos, távoli hackerek, de statiksztikák azt mutatják, hogy az alkalmazottak lopnak a leginkább adatokat a cégektől. Mert a bennfentesek tudják a számítógépes rendszer kiskapuit a legjobban.

Napjaink digitalizált, hálózatosodott, felhő-alapú üzleti világában a digitális adatok a legsérülékenyebb vagyontárgyak. Esetükben a lopás fogalma sem hagyományos. Lopni általában úgy szoktak, hogy megfosztják az adott értéktárgy előző tulajdonosát a szóban forgó dologtól. Az adat viszont megosztható. Birtoklása tehát egyszerre történik több entitásnál. Aki illetéktelenül (el)birtokolja, az számít tolvajnak.

Mivel az adatok másolhatók, tehát nem kell elmozdítani őket a helyükről ahhoz, hogy eltulajdonításuk megtörténjen, a lopást gyakran nem is veszi észre a sértett. Hosszú hetek, hónapok telhetnek el úgy, hogy egy cégtől folyamatosan lopnak adatokat. Amikor a Yahoo 500 millió felhasználójának adatait ellopták 2014-ben, a vizsgálat közben fedezte fel a cég, hogy két évvel korábban is történt betörés. A Ponemon Institute felmérése szerint átlagosan 191 nappal a betörés után fedezik fel, hogy mi történik, s gyakran az adatszivárgás folyamatos, nem egy napra korlátozódik. Általában 58 nap kell arra, hogy a fenyegetettséget elhárítsák, a károkat helyrehozzák. Minden egyes adategység (általában fájl) sérült kiberbiztonsági állapotának helyreállítása átlag 221 dolláros költséget jelent.

Csiki Ádám szerint a metaadatok gyakran sokkal többet érnek mint a fájlok, mert jelzik, hogy mi történt egy-egy dokumentummal, ki és mikor fért hozzá, hogyan módosította. A digitális naplózás elengedhetetlen. – Nem láttam olyan rendszert, ahol ez teljesen követhető volt – hangsúlyozza a szakértő és hozzáteszi: – A bűneseteket ritkán hozzák nyilvánosságra. Senki sem szereti kiteregetni a szennyest: az adatlopás csökkenti a cég iránti külső bizalmat, mert ahol ilyesmi megtörténhet, ott nyilvánvalóan nincsen egészen rendben az informatikai rendszer. Az amerikai vállalatok 72 százaléka egyszerűen nem jelenti a bűnüldöző szerveknek, hogy bűncselekmény történt.

Nagyon fontos, hogy a cégvezetés feltérképezze, kik lehetnek a potenciális elkövetők. Még a legártatlanabbnak tűnő érintetteket sem szabad kihagyni sorból, például a takarítószemélyzet, hisz ők is bejutnak az irodába munkaidőn kívül. Az elkövetőt gyakran kicsinyes bosszú motiválja. Úgy érzi, hogy nincsen megbecsülve a munkahelyén, vagy azért fordul a cég ellen, mert az valamit tett ellene vagy a számára fontos személy(ek) ellen.

Nagy lopások

november – Target áruházlánc

70 millió ügyfél személyes adatai és 40 millió bankkártya adatát szerezték meg. A hackerek a kártyás fizetőterminálokhoz fértek hozzá egy hűtésért-fűtésért felelős alvállalkozón keresztül. Három hétbe telt, mire a rendszergazdák észrevették a betörést, amely 260 millió dollárnyi kiadást okozott a cégnek. A botrány miatt jelentősen megcsappant áruházaik forgalma. Eddig ez minden idők legnagyobb adatlopása. Az adatlopásokat a Michaels-nál, a Targetnél és a Neiman Marcus-nál állítólag kelet-európai hackerek követték el.

április–szeptember – Home Depot

50 millió bankkártya sérült, amikor alvállalkozón keresztül malware-t juttattak be az önkiszolgálós pénztárokhoz. A cég 13 millió dollárt különített el, hogy kárpótolja a peres úton kártérítést követelő áldozatokat.

július–augusztus – JPMorgan Chase

90 szerverről 83 millió bankszámla – 76 millió magán (az amerikai háztartások kétharmada), 8 millió kkv – adatai estek áldozatul, egymillió bankszámlába bepillantottak. Nevük elhallgatását kérő informátorok szerint csak az utolsó pillanatban sikerült megakadályozni, hogy az e-betörők ennél több adatot lophassanak el. A hackerek megkaparintották a bank által használt alkalmazások és programok teljes listáját is, amely révén újabb kiskapukra bukkanhatnak. Évi 250 millió dolláros kiberbiztonsági büdzsé és 1000 szakavatott alkalmazott sem volt elég, hogy kivédjék az e-támadást.

október 10. – Snapchat

13 GB adat, 20 ezer felhasználó 98 ezer fotója és videója. A dolog pikantériája, hogy a Snapchates fotók éppen az ilyen támadások elkerülése végett csak 10 másodpercig láthatók, aztán törlődnek. Más applikációk – screenshot, screengrab – viszont lehetővé teszik a képernyő elmentését.

július – Ashley Madison, Established Men

60 GB, 35 millió felhasználó adata, email-címe és a cégvezető, Noel Biderman levelezése esett áldozatul. A hackerek azt követelték Bidermantól, hogy zárja be a házasságon kívüli afférok platformját, különben mindent publikálnak. Biderman nem engedett a zsarolásnak, így augusztusban közzétették az adatokat. Több ezer amerikai kormányzati alkalmazott is a leleplezettek között volt, akárcsak 12 ezer szaúdi állampolgár, ahol halálbüntetéssel jár a házastársak félrelépése. A botrány sok válást eredményezett, Torontóban ketten öngyilkosok lettek. A The Impact Team hackercsoport vállalta magára a támadást.

február – bangladesi központi jegybank

101 millió dollár értékben adtak utalási megbízást hackerek – a kis országok jegybankjainak utalásait is intéző – New York-i FED-nek. Az akciót és az ártó kódot kifejezetten a bangladesi célpontra építették fel: a SWIFT-rendszerbe avatkoztak be, átvették a kontrollt, még a monitoring felett is, ami automatikusan kinyomtatná a tranzakciókat, de ez a funkció Dhakában és New Yorkban is csődöt mondott. A bangladesi banknál pedig azt is blokkolták, hogy rendben megérkezzen a FED figyelmeztető üzenete az utalási megbízás gyanús voltáról. A tranzakció megtörténtéről szóló értesítést ugyancsak módosították. Végül 81 millió dollár tűnt el, 20 millió átutalását sikerült megfékezni. Ez minden idők legnagyobb kiberbankrablása.

július – Yahoo

200 millió fájlt loptak el, amit a Peace nevű hacker darabonként három bitcoinért (1860 dollár) árult. Valószínűleg 2012-ben történt a lopás.