Rossz hír, hogy a kiberbűnözéshez szükséges eszközrendszerek beszerzése mind olcsóbbá válik. Vagyis egyre alacsonyabb a belépési korlát, ha valaki vagy valakik rombolásba kezdenének a világhálón.
A malware-rel küzdenek a legtöbbet
Bő másfél évtizede a banki rendszerek érintettsége volt a legégetőbb kiberbiztonsági téma. És ma? Ugyan sok szó esik mostanság olyan dolgokról, mint az m2m (machine-to-machine), más néven a dolgok internete (a piaci áttörés idén történhet meg), vagy az Ipar 4.0 (amire a gyártó vállalatok már nagyon készülnek) és azon belül az elosztott rendszerek, amikor egy gyártósor képes hibákat érzékelni és önállóan döntéseket hozni - jellemzően mégsem ezeken a területeken tapasztalják a legtöbb támadást.
A rosszindulatú kódok, vagyis a malware-ek a kiberbűnözés trójai falovai és elpöttyintik őket mindenfelé a kibertérben. Antal Lajos, a Deloitte magyar és kelet-európai kiberbiztonsági tanácsadási üzletágának vezetője szerint a minap egy német atomerőműben talált komputervírusoknál is inkább ilyen tág szórás esete foroghat fenn: valaki megnyitott egyszer egy csatolmányt, ami fertőzött volt. Mivel a két vírus, amit találtak a gundremmingeni erőműben Ramnit és Conficker vírusok voltak, aligha lehetséges, hogy ez egy célzott támadás volt.
"Valaki nem lehet ennyire lúzer, hogy ezzel akarjon támadni erőművet," mondta a szakértő, aki hangsúlyozta: azért az erőművek veszélyes blokkjait olyan elemek védik, választják le a külvilágtól, amik nemhogy az elektromos kommunikációt, de magát az elektront sem engedi át a falon.
Mi jön ellenünk?
A komputervírusok éppúgy működnek, mint az emberi szervezetet megtámadó társaik. Legyőzésükre pedig éppúgy antivírusok hivatottak. És ahogy az ember is csak a tünetekből képes felismerni, hogy beteg, a számítógépnél is külső jegyekből vesszük észre, hogy megfertőződött a gép. Kimerevedik a képernyő, akadoznak a funkciók.
Ha valaki infrastruktúrákat akar lebénítani, akkor leginkább ransomware-t, zsarolóvírust használ. Ez titkosítja az adatállományokat, a zsaroló pedig pénz ellenében hajlandó a kulcs megadására, hogy visszaállítsa az eredeti, működőképes állapotot. Ilyeneket vetnek be az ipari létesítmények ellen, ahol a kontroll átvétele és a rendszer lebénítása a cél. A Kürt Adatmentés szakemberei szerint a zsarolóvírusok ellen szinte csak a megelőzés a megfelelő védekezés. Ha valakinek a gépe megfertőződött, valószínűleg kénytelen lesz fizetni, mert a szuper titkosításokat akár évszázadokba telne feltörni.
A média híreibe legtöbbször a túlterheléses támadások kerülnek be, amikor annyi spammel, üzenettel, kéréssel áraszt el egy oldalt több ezer vagy tízezer IP-cím, hogy azt a szerverek kapacitása nem bírja, a túlterhelés miatt pedig leáll. Az ilyen típusú (DOS: denial of service) támadásokat a Deloitte szakembere szerint egyre könnyebben, egyre kevesebb erőfeszítéssel lehet kivitelezni.
Gyakorivá vált a figyelemeltereléses akció is, amikor malőrt gerjeszt a támadó a rendszer egyik részében, hogy a megtámadott fél ennek megoldására csoportosítsa erőforrásait, míg ő közben a rendszer másik pontján is indít egy teljesen más offenzívát alattomosan.
Incidens-reagálás és betöréstesztek
Antal Lajos közel 20 éve foglalkozik az online rendszerek biztonságával. Csapatának munkája 80%-ban abból áll, hogy "etikus hekkelést" végeznek, vagyis feszegetik egy-egy vállalati komputerrendszer biztonsági réseit, megpróbálnak betörni. Általában sikerül is, szinte nincs feltörhetetlen rendszer. A munkának csak 20%-a szól arról, hogy az ügyfelet ért támadás esetén kell elhárítani a katasztrófát. A fenyegetettség nő, mert most jött el az az időszak, amikor az eddig izolált rendszereket (pl. gyárak, vasutak, stb.) is integrálják, megnyitják nagyobb hálózatok felé.
A cégek nagy része természetesen már akkor tesztelteti online felületeit és belső hálózatait, amikor az még nem működik élesben. Mégis "az incidensek száma növekszik és ezek jellege is eltolódik a szofisztikáltabb irányba", mondta Antal. Szofisztikált támadás alatt olyan vírust ért, amely még nincs benne az antivírusok tudásbázisában - amibe egyébként akár egy nagy támadás után órákon belül is bekerülnek az új rosszindulatú kódok antivírusai. Az új kódok lereagálása tehát viszonylag gyors. Az már más kérdés, hogy a hétköznapi emberek milyen sűrűn frissítik a vírusirtóikat a gépeiken. Hetente, havonta, esetleg fél évente?!
Sokan nem is tudják, hogy míg békésen alszanak, otthoni gépüket hekkerek használják fel támadásra. Ez a botnet, amibe leginkább alkalmazások révén kerülhetünk be, tudatlan résztvevőként. "Irdatlanul gyakori," hogy a magyar felhasználók eszetlenül olyan spameket nyitnak meg és olyan honlapokra látogatnak, ahol megfertőzik az otthoni PC-jüket és csatasorba állítják a botnet hekkermilíciájába - mondja a szakértő.
A Symantec évente ad ki toplistát arról, az egyes országokban milyen gyakori az ilyen jellegű megfertőződése a számítógépeknek. Magyarország sajnos előkelő helyen szerepel. 2014-ben 5. helyet vívtunk ki magunknak akaratlanul. Gépeink 4,9%-a vesz részt támadásokban - anélkül, hogy tudnánk. Az első helyen Kína szerepelt 16, %-kal, a másodikon az USA 16,1%-kal.
Kérdésünk kézenfekvő: mégis mennyi hazai számítógép érintett? "Százezres nagyságrendekről beszélhetünk", felelte Antal. A meggondolatlan felhasználók egyetlen szerencséje, hogy a gyanútlan számítógép-tulajdonost a jogrend áldozatként kezeli a külföldi példák szerint - mondta el kérdésünkre a szakértő.
Rákérdeztünk arra is, a rendőrség ilyenkor lefoglalja-e a gépet, vagy a forensic kutatás (a biztonsági incidens felderítése) során távolról rekonstruálják a nyomozók és a Deloittes teamhez hasonló etikus hekkerek, hogy mi történt. Mivel a túlterheléses támadásoknál több tízezer IP-cím vesz részt, a törvényvégrehajtók nem kajtathatnak több ezer laptop után. Ha viszont valakinek a gépén viszonylag egyedi -tehát nem tömeges- támadás megy keresztül, és nem egyszer, hanem huzamos időn keresztül, arra már volt példa, hogy az internetszolgáltató értesítette az előfizetőt, hogy mi folyik. Ilyenkor előfordulhat, hogy a rendőrség kivizsgálja, gyanúsított-e az illető. Ez maga után vonhatja a gép lefoglalását is a vizsgálati szakaszban.
Mit tehet az egyszerű ember az ellen, hogy gépe ne kerüljön be a botnetbe? Nem kattintgat eszetlenül, erős jelszavakat használ, rendszeresen frissíti a vírusirtót. És talán még imádkozik is, hogy tiszta megőrződjön gépe szeplőtelensége. "Ritka, hogy valaki két antivírust futtat a gépén", mondta Antal, de végső soron a neves vírusirtók is nagyjából ugyanolyan adatbázissal dolgoznak.
Magyarország nem számít
Viszonylag friss fejlemény, hogy a kormány szervereit túlterheléses támadás érte 2016. április 1-én. Antal úgy tudja, ebben a TeamSpy csapat volt ludas, más források szerint a támadás állítólag 63 000 IP-címről érkezett.
A szakember mégis úgy látja, hogy a kiberbűnözés világtérképén nem vagyunk számottevő célpont. "Ami nem jelenti azt, hogy a kockázat nulla". Több szempont szól jelentéktelenségünk emellett. Nyelvünk nehéz. Komplikált kódot írni magyar célpontra, annak az esélye pedig, hogy valahol Malajziában akad egy magyarul beszélő hekker, aki ráér, vajmi kevés. (Marad tehát a botnetes becserkészés passzív résztvevőként.)
A magyar lakosság és piac kis mérete is az ellen szól, hogy bárki ránk összpontosítson. Amikor Mexikóban 64 millió választó adatát képesek lenyúlni egy támadásban, vagy az amerikai bolthálózatokból (Home Depot, Walmart) is többmilliónyi bankkártya adatait és TB-biztosítási számot tulajdonítanak el, addig egy tízmilliós népességű ország nem tud fontos célpont lenni.
Szentes önkormányzatának honlapját ugyan meghekkelték nemrég a dzsihád nevében (fotókat és videókat helyeztek fel), de Antal szerint ez is csak egy automatizmus. Valami fordítóprogrammal kijö(hete)tt nekik, hogy a város nevének a "szent" szóhoz van köze, ezért került célkeresztbe a település.
A szofisztikált támadásokhoz nemcsak sok pénz kell -több tízezer dollár-, hanem idő is. Mire a nagyvállalatok vagy kormányok beépített kémvírust fedeznek fel a rendszerükben, azok gyakran évek óta működtek és romboltak.
A közelmúltban Bangladesben történt pénzeltérítés -illetéktelen személyek a Fülöp-szigetekre utaltak közel 100 millió dollárt, amiből tízet még mindig nem sikerült visszaszerezni- például ilyen nagystílű és kifinomult támadás volt. Az akciót és a kódot kifejezetten a célpontra építették fel. "A kódminta részletei már megvannak, átvették a kontrollt, még a monitoring felett is. Mivel a tranzakcióról a rendszer nyomtatási utasítást küld a jegybanknak, oda is valótlan infók jutottak el. Azt az értesítést is módosították, hogy a tranzakció megtörtént" - mondja Antal.
Két-három éve a Zeus programkód megszerzése 100 000 dollárt kóstált, az egyszerűbb malwareké 1000 dollár. De ma már bérelni is lehet gépeket a darkneten támadáshoz. Mondjuk 3 napra 3000 gépet.
Egy buszon elférnének a magyar hekkerek
Arra a kérdésünkre, vajon a Deloitte foglalkoztat-e hekkereket, Antal azt válaszolta, hogy csakis "etikus hekkereket", akik azért támadnak, hogy teszteljék a biztonsági hézagokat. De hogyan tudják leszűrni, hogy valakinek a múltjában nincs-e illegális hekkerkedés? Antal szerint az interjúk során ez előbb-utóbb kijön, ráadásul a hekker társadalom nagyon kicsi, úgyis a fülükbe jutna, ha vaj van az illető füge mögött.
A hekkerek hazai találkozója, a Hacktivity 1500 résztvevőt vonz -ebben érdeklődők is vannak, nemcsak aktív hekkerek-, de akik igazán komolyan űzik ezt "azok egy buszra felférnek". A fiatalokat pedig a Deloitte képezi ki.
Mi van, ha a munkaerő lelép? Viszi magával a titkokat? Antal elismerte, hogy jól megfizetik az embereiket, így kicsi a kísértés arra, hogy dobbantsanak. Ritka, hogy valaki lelépne. Ha mégis megteszi, főleg azért, mert a barátnő úgy döntött, hogy külföldre mennek. Ami pedig a szenzitív infók kiszivárogtatását illeti: "Aki fecsegne a titkokkal, az egy életre nem jutna többé munkához."
Kicsi a hekkervilág és ehhez hozzájárul az is, hogy informatikushiányban szenved Magyarország. (Tízezreknek lehetne állása most azonnal.) A munkaerőhiány a specializált szakterületeknél hatványozottan érvényes.
