Kémek, zsarolók és kukkolók - Vadásznak ránk a világhálón

  • B. Simon Krisztián
  • 2016. szeptember 27.

Tudomány

Bár erős túlzás, hogy folyamatosan figyelnek minket és a személyes információink közt turkálnak – megtehetnék ezt könnyedén. De kik és hogyan kémkednek utánunk a kibertérben?

Mennyire könnyű valakit meghekkelni? – kérdezte 2013-ban a New York Universityn tanító Adam Penenberg oknyomozó újságíró, s hogy választ kapjon, megbízta a Trustwave Spiderweb etikus hekkercsapatát, hogy mindössze a neve ismeretében próbáljon meg betörni a gépébe, és szerezzen róla annyi információt, amennyit csak tud. Az eredmény: egyik előadásán váratlanul kikapcsolt a személyi számítógépe és az okostelefonja, Twitter-fiókján mindenféle fura üzenetek jelentek meg, az Amazon pedig kipostázott neki száz gumipókot, állítólag ő rendelte. Hogy a bankszámlájáról nem tűnt el minden pénz, az csakis annak köszönhető, hogy a hekkerek visszafogták magukat, s elegendőnek találták azt bizonyítani, hogy belenyúltak a bankszámlájába, és rendelkeznek minden jelszavával.

Lesben

Lesben

 

A Pando magazin beszámolója szerint a hekkerek a nyilvános információk felkutatásával kezdték az akciójukat, s már Penenberg nyilvános közösségi profiljait és más fórumokat átnézve is sok mindent megtudtak. Megszerezték a lakcímét, találtak a lakásáról készült képeket, születési dátumokat, e-mail-címeket, telefonszámokat, és egy későbbiekben nagyon hasznosnak bizonyuló információt is: a feleségének van egy pilatesstúdiója. Ebből már profilt tudtak alkotni Penenbergről, és ki tudtak dolgozni egy módszert az ébersége kijátszására. Először a lakcímét felhasználva azonosították az otthoni wifihálózatát, s menten fel is törték, így pedig be tudtak lépni az e-mailfiókjába és a netbankárrendszerébe. A mailbox különösen értékes egy hekkernek, hisz nem csupán olvasgathatja a leveleket, de legtöbbször a közösségi média és más szolgáltatások is a személyes e-mailen keresztül adnak lehetőséget arra, hogy helyreállítsa valaki az elfelejtett jelszavát – így gyakorlatilag szabad lett a pálya.

A támadók e-mailes adathalászattal is próbálkoztak. Itt az első kísérletük nem sikerült, Penenbergnek ugyanis esze ágában nem volt letölteni a tőle – a híres és tapasztalt újságírótól – szakmai útmutatást kérő középiskolás leány zsengéit. Az éppen új alkalmazottakat kereső felesége viszont bedőlt annak az álpilates­edzőnek, aki tömörített fájlban küldte el neki állítólagos video-önéletrajzát: amikor letöltötte, a hekkerek már benn is voltak a gépében (és korántsem kell ehhez zip vagy rar fájl, egy ártatlannak látszó doc vagy pdf csatolmányban is rejtőzhet kémprogram). Amíg az asszony fent volt a neten, mindenhez hozzáférésük lett: jelszavakhoz, tárolt dokumentumokhoz, e-mailekhez és persze a pénzügyi információkhoz is.

Valamivel később Sophie Curtis, a Telegraph IT újságírója is etikus hekkereket bízott meg, hogy jussanak be a gépébe. Ők is sikerrel jártak. A kolléga Twitteréről megtudták a munkahelyi e-mail-címét, a fotóiból pedig egy-két olyan információt is szereztek, amivel személyre tudták szabni a támadásukat. Először potenciális informátorként keresték meg az újságírót. Bár nem válaszolt az e-mailjükre, nem vette észre, hogy van a levélben egy nagyon kicsi fotó is (mindössze 1×1 pixel), aminek az a célja, hogy „ujjlenyomatot” vegyen a gépéről: azaz megállapítsa, milyen operációs rendszert, böngészőt, bővítéseket és biztonsági szoftvert használ. Ha egy e-mailben fotó van, a fogadója kapcsolatba lép a küldő szerverével, hogy letöltse a képet – ekkor nyílik a hekkereknek is lehetősége hozzáférni az adatokhoz. Curtisnek az volt a szerencséje, hogy a Gmail ilyen szempontból más: ott a Google előre letölti a képet, így nem kerül ki információ a gépről. A hekkerek persze nem adták fel: küldtek egy kamu Linked­In-üzenetet arról, hogy egy nem létező kollégája kapcsolódni szeretne hozzá a közösségi hálón. Ezt az üzenetet úgy kódolták, hogy akár elfogadja, akár elutasítja az új kapcsolatot, interakcióba lép a hekkerekkel, és tudtán kívül elküldi nekik gépe adatait. Ezután megkeresték egy újabb e-maillel: egy állítólagos aktivistacsoport valami világméretű szivárogtatásról számolt be neki. Hogy hozzáférjen a részletekhez, le kellett töltenie egy rar fájlt. Megtette, s már benn is voltak a gépében.

Zuckerberg is óvatos

Mit lehetne tenni a kémkedők megfékezéséért? – függetlenül attól, hogy bűnözőkről vagy épp a titkosszolgálatokról van szó. Itthon kiderült, hogy a Nemzeti Védelmi Szolgálat lehallgatta a Blikk bűnügyi riporterének telefonját. Jávor Benedek EP-képviselő pedig a Facebook-oldalán számolt be arról, hogy többször visszahallotta a saját telefonbeszélgetéseit. Pintér Sándor belügyminiszter a nyár elején arról beszélt, hogy nincs olyan magyar állampolgár, akit ne lehetne törvényesen megfigyelni – a magyar szabályozás szerint maga a miniszter is mindenféle külső kontroll nélkül engedélyezheti a nemzetbiztonsági célú titkos információszerzést. Edward Snowden kiszivárogtatásaiból pedig az is tudható, hogy több nemzeti titkosszolgálat vígan csereberéli egymás közt az állampolgárairól összegyűjtött információkat.

Nyáron megjelent egy fotó a Facebook-vezető Mark Zuckerbergről is, s a hátterében azt lehet látni, hogy a laptopján letakarta ragtapasszal a kamerát és a mikrofont – jelezvén, hogy a hekkerektől félni nem egyszerű paranoia. „Egy ideje divat lett matricát ragasztani a számítógép kamerájára. Az egyetlen ok, amiért nekem nincs ilyenem, hogy naponta tucatszor szkájpolok a tanítványaimmal, és macerás lenne folyton leszedni és visszaragasztani” – mondta erről Ethan Zuckerman internetaktivista, a bostoni MIT egyetem közösségi médiaközpontjának vezetője, amikor nemrég a Közép-európai Egyetemen beszéltünk vele. Persze léteznek olyan kémprogramok is, amelyek akár a kamera működését jelző LED-lámpa bekapcsolása nélkül ki tudják figyelni, hogy mit csinálunk épp a számítógép előtt. Az olyan titkosszolgálatok, mint az amerikai NSA és a brit GCHQ, a Prism és az Upstream programokon keresztül figyelték a felhasználók telefonos és internetes kommunikációját. Edward Snowdentől tudjuk, hogy a titkosszolgálatok szoftverei még a kikapcsolt telefon mikrofonját is tudják használni. Technológiailag tehát nincs akadálya, hogy feltűnés nélkül belemásszanak bármelyikünk gépébe.

Magyarországon is használ a számítógépek megfigyelésére alkalmas szoftvereket a titkosszolgálat. Az Index tavalyi cikke szerint az Információs Hivatal és a nemzetbiztonság 2008 óta közel 600 millió forintért vásárolt szolgáltatásokat a Hacking Team nevű olasz fejlesztőcégtől, s az is kiderült, hogy kiterjedt levelezést folytattak a Gamma Group nevű cég vevőszolgálatával a FinFisher/FinSpy megfigyelőprogramról. E program lehetőséget biztosít a neten aktív emberek azonosítására, webmailhozzáférésre, weboldalak és szoftverek feltörésére, de még az interneten folyó beszélgetések (például Skype) lehallgatására is. Ráadásul a vírusirtók jelentős része észre sem veszi, amikor ezt telepítik.

De hiába vannak a technológia adta lehetőségek, Zuckerman szerint a legtöbb ember túlbecsüli a titkosszolgálati megfigyelések mértékét. Persze ha valaki szerepel a terrorgyanús személyek megfigyelési listáján vagy kényes adatokat kezel, akkor nagy valószínűséggel próbálkoznak nála. „Van egy barátom, aki a Snowden-dokumentumokon dolgozott, ő rendszeresen cserélte a gépét, hogy nehezebben tudják követni” – mondja, hozzátéve, hogy másoknál ez a veszély jóval kisebb. „Nem hiszem, hogy én például elég érdekes lennék az NSA-nek, holott sok politikussal és aktivistával vagyok rendszeres kapcsolatban.”

Házilag is működik

Távolról sem csupán a titkos-szolgálatok használnak a magánszféránkba tolakodó rosszindulatú szoftvereket, azaz malware-eket, rengeteg bűnöző is él az internet kínálta lehetőségekkel. Tavaly felfüggesztett börtönt kapott az Egyesült Királyságban egy férfi, aki a BlackShades nevű malware segítségével fért hozzá mások webkamerájához, és azon keresztül figyelte szexuális életüket. A kitartó kukkoló átlagosan napi 12 órát töltött a gép előtt, nehogy lemaradjon a 14 megfertőzött gépen elérhető látnivalókról. A Black­Shades – akárcsak a többi távoli hozzáféréses trójai (RAT), például a DarkComet – a Windows operációs rendszereket támadja, a gyanútlan felhasználók pedig e-mailek csatolmányaként vagy fertőzött oldalakat meglátogatva töltik le, de előfordulhat az is, hogy a malware a böngészők plug-injainak gyengeségeit kihasználva telepíti magát a számítógépre. Az ilyen programok teljes hozzáférést adnak a számítógéphez, többek között jelszavak eltulajdonítására és a tárolt fájlok lemásolására is lehetőséget nyújtva. A Torontói Egyetemen működő Citizen Lab beszámolt arról is, hogy a szíriai ellenzéki erők több tagját is a BlackShades programmal figyelték meg a kormányerők. Mások egyszerűen szórakozásból használják a RAT programokat, belenyúlnak áldozataik gépébe, váratlanul megnyitnak oldalakat, eltüntetik a start gombot, és nézik, hogyan reagálnak a megtámadottak. A BlackShades ára mindössze negyven dollár, és kezdő hekkerek is tudják használni.

Persze ez még mindig nem jelenti azt, hogy mindannyiunkra leselkedik egy online ragadozó. Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője például azt mondja, hogy azokat támadják, akiktől olyan információ szerezhető, ami megéri a megfigyelésükbe és lehallgatásukba fektetett pénzt és időt. „Az információ is termék, beszerzésének legalitásától függetlenül a keresleti oldal ugyanúgy befektetés/kockázat/hozam analízist végez, mint ha ásványvizet vagy vécépapírt vásárolna” – mondja. Egy tök ismeretlen ember gépére – akinek a vagyoni helyzetét sem ismerik – csak olyan módszerekkel próbálkoznak, melyek egyszerre nagyobb merítést is lehetővé tesznek: tömegesen küldött e-mailek csatolmányaiba vagy obskúrus honlapokra rejtett malware-ekkel. A TorrentLocker mal­ware például úgy választ áldozatokat, hogy belép a fertőzött gépben talált levelezési listára, és elküldi magát személyes e-mailnek álcázva a talált címekre. A Symantec becslése szerint az effajta adathalászati támadások teszik ki a hekkertámadások nagyjából 91 százalékát. Mivel az e-mailt biztonságos kommunikációs formának tekintik, ott a tűzfalak sem annyira aktívak; a szolgáltatók kiszűrik ugyan az ilyen levelek nagy részét, de korántsem mindet. A Fehér Ház számítógépes rendszerének egy kevésbé őrzött részébe is úgy sikerült bejutni orosz hekkereknek, hogy egy alkalmazott gyanútlanul megnyitotta egy e-mail csatolmányát.

Veres-Szentkirályi szerint egy átlagos felhasználó gépét három okból érheti támadás: ugródeszkának használnák, a banki adatokhoz próbálnak hozzáférni, vagy pénzt akarnak kicsalni, kizsarolni. Az első esetben a megfertőzött gépekkel spameket küldenek, hirdetési csalásokban vesznek részt (reklámokra kattintanak vagy oldalakat töltenek le, ezzel azt a látszatot keltve, hogy elérte a célközönségét a hirdetés), esetleg túlterheléses támadásokat (DdoS, Distributed Denial of Service) követnek el, hogy szervereket vagy weboldalakat tegyenek elérhetetlenné. A banki adatok lopása ma már ritkább, hiszen a legtöbb pénzintézetnél bevezették a kétlépéses azonosítást, amikor szükség van, mondjuk, telefonos megerősítésre is, mielőtt a pénzt átutalnák – nem mintha ez önmagában százszázalékosan feltörhetetlenné tenné a bankszámlánkat. Neal Hindocha, a Trustwave biztonsági szakértője már három éve megtalálta a módját, hogy lekövesse, milyen mozdulatokat végez ujjával a gyanútlan felhasználó az okostelefonján: az x és y koordináták mentén fel tudja térképezni az áldozat képernyőjét, és az adott készülék és operációs rendszer ismeretében belövi, hogy pont milyen számot vagy karaktert érint meg a felhasználó, amikor beírja a jelszavát. Hindocha azt is jelezte, hogy mindez aránylag sok időt vesz igénybe, így csak akkor érdemes alkalmazni, ha egy konkrét személy telefonjáról kell valami nagyon fontos információ.

Annál gyakoribb a harmadik eset, a zsarolás. Egy időben a támadók különböző hatóságok, például a Nemzeti Nyomozó Iroda képviselőiként tüntették fel magukat, és jelezték a felhasználónak, hogy kalóztartalmak letöltésén kapták, így büntetést kell fizetnie. Az efféle programok újabb generációja már sokkal agresszívebb: az úgynevezett crypto-ransomware-ek ugyanis zárolják a számítógépet, és csak akkor hajlandók „visszaengedni” a felhasználót, ha fizetett. Áprilisban a veszprémi kórház rendszerét érte ilyen támadás. A napokban pedig több lap írt az Adolf Hitler nevű zsarolóvírusról, amely egy órát ad a felhasználónak, hogy kifizesse adataiért a „váltságdíjat.” A felhasználók egy 25 euró értékű Vodafone feltöltőkártya számának megadásával tudják megszüntetni a zárolást –ha nem teszik meg, a hekker törli a gépen talált fájlokat. Van, hogy többet akarnak a zsarolók; az első ilyen program, a félmillió gépet megfertőző Cryptolocker például 400 eurót, de a jelenleg is aktív Cryptowall akár 5000 dollárt is, ráadásul a kommunikáció proxikon vagy titkosított, TOR kliensen keresztül történik, a fizetségüket pedig bitcoin elektronikus fizetőeszközzel kérik, így a tranzakciót nem is lehet lekövetni.

A Symantec óvatos becslése szerint a felhasználók évente átlagosan ötmillió dollárt fizetnek „foglyul ejtett” tartalmaikért. Összességében nagyobb biznisz a hekkereknek, ha a gépünk ugródeszka: Rimóczi Oszkár, a digitális hirdetések minőségbiztosítására szakosodott Enbrite.ly ügyvezető igazgatója azt mondja, az egyik legkifizetődőbb hekkertevékenység a hirdetési csalás, amely a Hirdetők Világszövetsége szerint hamarosan akár évi 150 milliárd dolláros forgalmat is lebonyolíthat. „Ha ezek a jóslatok beválnak, a drogkereskedelem után a második legnagyobb piaccá válhat, már ami az illegális tevékenységeket illeti” – fogalmaz Rimóczi. Ez pedig azt jelenti, hogy ha nem is vadászik valaki célzottan az információinkra, a kereslet fenn fog maradni a gyengén védett számítógépek iránt.

Hogyan védekezzünk?

Amíg fenn vagy a neten, nem vagy száz százalékig biztonságban, de odafigyeléssel minimalizálni lehet a sebezhetőséget. Zuckerman szerint sok felhasználó egyáltalán nem foglalkozik a biztonsági beállításokkal, nem nézi meg, mit oszt meg a külvilággal Facebookon, és figyelmen kívül hagyja azt is, ha esetleg valamely frissiben letöltött telefonos applikációja hozzáférést kér a mikrofonhoz, a kamerához vagy épp a levelezőrendszerhez. Nem árt az sem, ha erős jelszavakat használunk, és rendszeresen változtatjuk őket. Már csak azért sem, mert elég sűrűn kerülnek ki a netre például a LinkedIn, a Myspace és más online szolgáltatóknál alkalmazott jelszavak és felhasználónevek.

„Az alapvető óvatosságon túl, ha van antivírusprogramod, s nem nagyon látogatsz kevéssé biztonságos oldalakra, illetve rendszeresen letöltöd a szoftverfrissítéseket, akkor elvileg rendben vagy” – mondja Zuckerman, hozzátéve, hogy egy bizonyos kitettségi szint felett figyelhetünk arra is, hogy az androidos telefonoknak vagy iPhone-oknak alapvetően jobbak a biztonsági beállításaik (már ha nincsenek rootolva vagy jailbreakelve, azaz szoftveresen feltörve), mint egy sima asztali gépnek, és alapvetően jobb Macen és iPaden vagy akár linuxos gépen írni a kényesebb anyagokat, mint egy olyan gépen, amin Windows fut, hiszen előbbiekre nehezebb észrevétlenül programokat installálni. Igaz, az RSA tavalyi IT-biztonsági konferenciáján számos biztonsági szakértő előállt már olyan módszerekkel, amikkel az Apple-termékeket is ipari méretben lehet feltörni. A Trustwave szakértői szerint érdemes élni a kétlépéses azonosítás adta lehetőségekkel is: a Gmail, LinkedIn és más alkalmazások például sms-t küldenek a felhasználónak, ha úgy látják, gyanús gépről lépett be valaki a szolgáltatásba. Ezenkívül az e-mailt is be lehet állítani, hogy ne töltsön le automatikusan képeket vagy csak a szöveget jelenítse meg.

Zuckerman a Signal nevű csetprogramra esküszik: „Nagyon komoly a titkosítása, és a biztonsági területen dolgozók közül is sokan gondolják úgy, hogy szinte már feltörhetetlen. Én ugyan leginkább arra használom, hogy szerelmes üzeneteket küldjek a barátnőmnek; ha sokkal többen kommunikálnának titkosított csatornán, az megnehezítené a kormányoknak a kémkedést, és nem lenne már olyan nyilvánvaló nekik, hogy ami titkosítva jut el egyik felhasználótól a másikig, az valóban annyira érdekes, hogy megéri lehallgatni.”

 

Hol leselkednek vírusok?

Az e-mailes csatolmányokon kívül fertőzött weboldalakról is könnyen össze lehet szedni egy malware-t. Különösen a pornó- vagy az illegális filmnéző oldalakon gyakori, hogy felugrik egy ablak, amely közli, a gépe fertőzött, támadásnak van kitéve. Azt ígéri, ha letölt egy programot, akkor a gond megoldódik, de valójában a felhasználó így adja át a gépét a hekkereknek. Előfordulhat az is, hogy a malware a böngészők plug-injainak gyengeségeit kihasználva telepíti magát a számítógépre. Rimóczi Oszkár szerint ezen belül a kártékony kódok legnagyobb része flash és pdf plug-inen keresztül jut a gépre. Fel lehet törni a felhasználók wifihálózatát is, de azt Rimóczi szerint nem használják túl gyakran: ehhez ugyanis megfelelően közel kellene lennie a hekkernek az alanyhoz. Hasonló a probléma akkor is, amikor pendrive-val juttatják a gépre a malware-t. Végezetül veszélyforrást jelenthetnek a telefonos applikációk is: a Google Playben és az Apple AppStore-ban is találtak számos olyan applikációt, amely malware-t tartalmazott. Ezek a letöltéskor engedélyt kérnek arra, hogy hozzáférjenek a kamerához, mikrofonhoz vagy akár a levelezésünkhöz is, és ki tudja, milyen információkat szednek össze rólunk. Bár itt Rimóczi azt mondja, hogy az AppStore és a Google Play még mindig ellenőrzött közeg, ahol a szoftverpublikálás és -terjesztés központosítottan felügyelt, és emiatt a hibákra gyorsabban fény derülhet.

 

A harmadik front: a reklámipar

Zuckerman elmondása szerint ugyanaz a technológia, amit kormányok vagy hekkerek használhatnak a megfigyelésünkre, gyakran szerepel a hirdetők repertoárján is. Az egyik legriasztóbb adatgyűjtő program az audio beacon, amelynek segítségével egyes tévéreklámok vagy honlapok szabad füllel nem hallható ultrahangot adnak ki, de az okostelefonok bizonyos installált appok révén reagálnak rá. A hirdetők ennek segítségével össze tudják rakni, hogy milyen készülékek találhatók egy háztartásban, így teljesebb képet tudnak alkotni a hirdetéseik lehetséges célközönségéről. (Az ilyesfajta adatgyűjtésről bővebben lásd: „Védekezni ellene nemigen tudunk”, Magyar Narancs, 2015. szeptember 17.)

De hiába a felhasználók magánéletét sértő adatgyűjtés, egyáltalán nem biztos, hogy olyan sokat tud rólunk egy hirdető (vagy akár a Google és a Facebook), mint azt állítja. „Egy nagyobb online reklámcég adatbázisában megnéztem a saját profilomat, és azt kellett látnom, hogy eléggé mellélőttek: a negyedére saccolták a fizetésemet, azt írták, nincs gyerekem, holott van, a politikai beállítottságomhoz pedig republikánust írtak, holott demokrata vagyok – mondja Zuckerman. – De az igazság az, hogy a big datával foglalkozó cégeknek nem is kell sokat tudniuk rólad, elég, ha csak meg vannak győződve róla, hogy ismernek, és meggyőzően kommunikálják a megrendelőiknek, hogy amit nyújtanak, az példa nélküli.”

Figyelmébe ajánljuk