Informatikai adatlopások - Égi veszély

  • Rényi Pál Dániel
  • 2009. november 5.

Tudomány

Online lopni bonyolultabb, mint az utcán, viszont biztonságosabb, és nagyon megéri. Az informatikai adatlopás ma már mindennapos jelenség, egyre több kárt okoz, és egyre több konfliktust teremt felhasználói, gazdasági és politikai szinten egyaránt.

"Ma az Egyesült Államok gyenge pontja az internet. Térnyerése nemzetünket olyan szinten teszi sebezhetővé, ami példa nélküli" - nyilatkozott néhány hete Michael McConnell, az amerikai hírszerzés korábbi igazgatója Washingtonban. Ez önmagában nem újdonság; az annál inkább, hogy erről már nyílt diskurzus folyik a médiában. McConnell szavai egyszerre utaltak a felhasználók személyes adatainak védtelenségére és a nemzetbiztonságot fenyegető vállalati és államtitkok kiszolgáltatottságára. Egyszerű felhasználók, multinacionális cégek, kormányzati szerverek egyaránt célpontjai a professzionális adathalászoknak - habár az eszközök eltérőek. Igaz, ha pusztán tűzfalakon, vírusfigyelőkön és védelmi megoldásokon múlna, a beavatkozások kis része lenne csupán eredményes: a támadások java emberi hibákra épít.

Kártyatrükk

Különösen érvényes ez az egyéni felhasználók adatait célzó informatikai lopásokra. Az Egyesült Államokban, ahol az online ügyintézés közismerten nagy szabadságot élvez, óriási piaca van az eltulajdonított személyiségi adatokkal ("identity theft") való online kereskedésnek. Egyes hackercsoportok széles adatbázissal rendelkező hálózatokat támadnak meg. A legtöbb bankkártya-információkra irányul, de a személyiségi adatokhoz való hozzáférés számos egyéb visszaélés - biztosítási csalás, mások nevében elkövetett online bűncselekmények - elkövetésére is lehetőséget ad. A többnyire alaposan biztosított adatbázisokhoz nehéz hozzáférni - de legalábbis ismerni kell a védelmi rendszerek mechanikáját. Albert Gonzalez volt informatikai titkos ügynök ismeri ezeket: idén augusztusban bűntársaival saját rekordját döntötte meg. A két évvel ezelőtti 40 millióhoz képest most 130 millió ellopott személyes információ és bankkártyaadat ügyében emeltek ellene vádat. Többek között szupermarketláncok, hitelkártyagyártó cégek adatbázisaihoz fértek hozzá kémprogramok segítségével. Módszerük kockázatos, és ezért ritkább is, a bankkártya-információk megszerzésére irányuló támadások nagyobb hányada közvetlenül a felhasználót veszi célba.

Az egyéni felhasználói adatokat célzó akciók ("phishing") nagy része kémprogramok ("spyware") terjesztésével kezdődik, amelyek képesek a védtelen számítógépek webes forgalmának megfigyelésére - így a támadók előtt láthatóvá válik az is, milyen e-mail címről milyen netbankrendszert használ a felhasználó. A profi tolvajok ez alapján célzottan reprodukálják a bankok, webáruházak kezelői felületeit, és hoznak létre álhonlapokat. Az álhonlapra mutató linkeket egy hivatalosnak tűnő - a felhasználó jelszavainak, adatainak megerősítését kérő - e-mailbe csomagolják. "Például százezer spamet küldenek magyar e-mail címekre, ennek 5 százaléka - nem védett levelezőrendszereken keresztül - biztos célba ér. Ez már ötezer e-mail cím, s ezeknek biztos lesz legalább tíz, de akár harminc százaléka is, amelyik a kiválasztott bankhoz tartozik, felhasználója pedig 'kellően' óvatlan, ez így is közel ezer, de legalább egy-kétszáz felhasználói adatcsomag" - szemléltette Suba Ferenc, a CERT-Hungary Központ, a kormány informatikai biztonsági incidenskezelő központjának testületi elnöke, hogy a nem célzott phishing akciók is sikeresek lehetnek. A legnagyobb és legkönnyebb haszonnal a bankkártya-információk kecsegtetnek, de van piaca a chatprogramoknak, az e-mail fiókok és egyéb privát hozzáférések eltulajdonításának is - ezeket elsősorban spamek és kémprogramok továbbítására használják fel.

A phishing akciókat Nyugat-Európában és Észak-Amerikában évek óta alvilági szervezetek koordinálják, egyedül az Egyesült Államokban 3 millió online banki és webáruházklienst sikerül tőrbe csalni évente, belőlük 3-4 milliárd dollár hasznot húznak a webtolvajok - derült ki a Gartner informatikai kutatócég 2007-es év végi felméréséből. Két hete 33 fős adathalászcsoportot számolt fel az FBI - összesen 1,5 milliárd dollár értékben károsítottak Wells Fargo- és Bank of America-ügyfeleket. A Washington Post szerint akár 20 év börtönbüntetést is kaphatnak. Hasonló, professzionálisan előkészített támadás Magyarországon is előfordult már. 2006 végén hét bank - köztük a Raiffeisen és a Budapest -, valamint egy takarékszövetkezet ügyfelei voltak szenvedő alanyai egy több különböző álhonlappal operáló szervezett támadássorozatnak. "Ezt a CERT-Hungary Központ külföldi partnerei közreműködésével sikeresen elhárította, ám ettől függetlenül elmondható: egyre gyakrabban jelennek meg magyarországi célpontokat támadó álhonlapok" - erősítette meg Suba Ferenc. Nemzetközi tekintetben viszont már trendekről is beszélhetünk: az Anti-Phishing Working Group szerint idén júniusban közel 50 000 új álhonlapot állítottak fel világszerte. A Gartner kutatása szerint a legtöbb az Ebay felhasználóit veszi célkeresztbe.

Made in China

Informatikai útvonalon történő adatlopások 1972 óta előfordulnak az ipari kémkedésben, a módszerek azóta egyre kifinomultabbá váltak. Eközben a hagyományos eszközök sem merültek feledésbe, hiszen a nagyvállalatok informatikai biztonsági rendszerei annyira zártak, hogy a kémkedők továbbra is korábban bevált módszerekre hagyatkoznak. A programjaikat "véletlenül" jókor, jó helyen hagyott adathordozók (pendrive-ok, promóciós dvd-k) segítségével próbálják becsempészni a megfigyelni kívánt cégek rendszereibe, de az is előfordul, hogy közösségi oldalakon figyelik meg a sebezhetőnek tűnő, naiv alkalmazottakat, és a nekik küldött tematikus spameken keresztül telepítenek spyware programokat. A Der Spiegel szeptemberi összeállítása beszámol arról a gyárlátogatásról, melynek során egy német építőipari cég leleplezett egy kínai szakembert, aki miniatűr videokamerával készített felvételeket az alkalmazott technológiákról. Az sem ritka, hogy a konkurencia egész egyszerűen kivásárolja a másik cég alkalmazottait, hogy "segítse" őket a termék továbbfejlesztésében - elég, ha csak a 2007-es Forma-1-botrányra gondolunk, amikor Nigel Stepney, a Ferrari korábbi mérnöke bizalmas technikai információkat szivárogtatott át a McLaren istálló részére. (A csapatot kizárták, és 100 millió dollárra büntették.)

De a kizárólag informatikai úton történő adatlopás is jelen van a gazdasági szférában, ezekről mégis keveset tudni, a nagyvállalatok igyekeznek diszkréten kezelni a sebezhetőségükre utaló kínos incidenseket. Suba Ferenc szerint a nyílt információk elemzése, a puszta technológiai felderítés és a védett információk megszerzésére irányuló, nem feltétlenül informatikai alapú "ügyeskedés" (ezt az informatikai szaknyelv "social engineering" kifejezéssel illeti) közel egyenlő arányban van jelen a gazdasági hírszerzés technikái között.

A Der Spiegel elemzése szerint Németország a válság kezdete óta a szokottnál is több piacot veszít a kémkedések miatt, a lap becslése alapján éves szinten 20 milliárd eurós kár éri ezzel a német ipart, de ez ennél jóval több is lehet, mivel számos visszaélés soha nem kerül nyilvánosságra. A legnagyobb veszteségeket az autó- és gyógyszeripar kénytelen elkönyvelni, mivel az ezen iparágak kutatásai során kitermelt know-how a világ legtöbb országában hasznosítható. (Ez lehet az oka annak, hogy Magyarországon egy-két amatőr próbálkozásról szóltak csak hírek. Például a 2000-es évek elején egy titkárnő a Matáv korábbi alkalmazottjaként próbált üzleti terveket és bizalmas dokumentumokat eladni egyes konkurens vállalatoknak, de nem járt sikerrel: elítélték.)

A német alkotmányvédelmi hivatal, a Bundesamt für Verfassungschutz 2008-as jelentésében nyíltan és világosan fogalmazott: a kínai és orosz gazdasági hírszerzés és a kínai állam által finanszírozott ipari kémkedés jelenti országukra nézve a legnagyobb veszélyforrást, de ugyanezt az amerikaiak is elmondhatnák. Mind Németországban, mind a tengerentúlon tízezrével vesznek részt kínai diákok az egyetemi mérnökképzéseken, ami fokozott nemzetbiztonsági kockázatot jelent az ipari titkok szempontjából.

"Többévnyi kutatómunkát, pénzt és energiát nyernek a kínai autó- és gyógyszergyártó cégek - de akár a haditechnika területén is azzal, ha rendelkezésükre állnak az Európában már sikerrel alkalmazott receptek. Elég, ha ránézünk egy kínai autóra" - mondta Kovács László, a Zrínyi Miklós Nemzetvédelmi Egyetem (ZMNE) információs műveletek és elektronikai hadviselés tanszékének egyetemi docense, amit Krasznay Csaba, a ZMNE doktorandusza azzal egészített ki, hogy Kína fejlődése a technológiai fejlődés sebességétől is nagyban függ. "A kormányzat saját érdékében segíti az állami vállalatokat a fejlesztéseikhez szükséges információk beszerzésében. Eközben országhatáron belül is őrületes mennyiségű pénzeket öl mérnökei felkészítésébe." A nemzetközi piacra gyártott kínai termékekben gyakran fedeznek fel kémprogramokat, 2009 tavaszán pedig egyes hírek szerint kínai hackerek jutottak hozzá a szupertitkos amerikai Joint Strike Fighter vadászgép egyes terveihez.

Ma már tényként kezelik a 2002-től 2005-ig tartó, feltehetően Kínából indított informatikai támadássorozatot is. A Titan Rainnek nevezett akció során éveken át ostromolták amerikai multinacionális cégek, állami szervek, köztük a Pentagon adatbázisait. 2008-ban a kongresszus elé terjesztett CIA-jelentés a kínaiak által megszerzett adatok mennyiségét 10-20 terabyte-ra becsülte, ami szinte felfoghatatlan mennyiségű információ. "Többségében nem szigorúan titkos, ám nagyon értékes, know-how típusú információkat sikerült megszerezniük, esetenként katonai hálózatokba is sikerült behatolniuk. Persze ne a Pentagon biztonsági tervrajzára gondoljunk, inkább olyan katonai információkra, amelyek - ha a politikai helyzet valamilyen oknál fogva úgy alakul - segíthetnek a védelmi rendszer gyenge pontjainak feltérképezésében" - mondta Kovács László a Titan Rainről, amely a második szervezett informatikai adatlopás-sorozat volt az Egyesült Államok történetében. (Az első ilyen akciónak a Moonlight Maze-t tartják: a 90-es évek végén moszkvai hackerek próbáltak katonai információhoz hozzájutni - hogy ez milyen mértékben sikerült, azóta is vitatott.)

Oda és vissza

Az ipari kémkedés Kína és az Egyesült Államok között ma már mindkét irányban folyamatosnak tekinthető. Az amerikai hírszerzés minden évben jelentést tesz a Pentagonnak a kínai nukleáris és rakétafegyverkezés és most már az informatikai támadásokhoz szükséges infrastruktúrák állapotáról is. Az idei fejleményeket figyelembe véve meglepő fordulat lenne, ha a következő években enyhülne a viszony: a Torontói Egyetem kutatói ugyanis márciusban hozták nyilvánosságra a GhostNet néven ismert kémhálózat feltérképezésének eredményeit. A kutatások szerint ez a legkiterjedtebb és legveszedelmesebb hálózat, amit valaha észleltek a weben: a Ghost RAT nevű kémprogram ugyanis 103 országban több mint ezer jól védett, kormányzati és ipari vállalati szerveren telepedett meg. A program a védelmi rendszerek, tűzfalak megkerülését követően képes a megtámadott számítógép eszközeit felhasználva akár hang- és képfelvételeket készíteni és azokat egyenesen a megfigyelőkhöz továbbítani (a New York Times szakírója nemes egyszerűséggel "Big Brother spyware"-ként definiálta a Ghost RAT-ot). Az egyetem kutatói valószínűsítik, hogy a hálózat központja Kínában található, erre utal, hogy bizonyítottan megfigyelés alatt tartották a dalai láma irodáját, valamint az, hogy német és más európai cégek gépein és a Kínát övező távol-keleti országok kormányzati szerverein is találtak Ghost kémprogramokat. A Pentagon katonai vezetői a kémhálózat felfedezését követő hetekben jelentették be, hogy az állami informatikai rendszerek elmúlt fél évben elszenvedett károsodásait közel 100 millió dolláros költség mellett állították helyre. Összességében nem túl meglepő ez egy olyan ország esetében, amely éves szinten 200 milliárd dollárt költ kutatás-fejlesztésre.

Hogy a GhostNet politikai megrendelésre született-e, arra nincs bizonyíték - Kína mindeddig egyetlen informatikai támadással kapcsolatban sem ismert el politikai felelősséget. Bár igaz, hogy a cyberbűnözés terén Kína verhetetlennek tűnik, az informatikai hírszerzés a fejlett országok titkosszolgálati szervei számára is régóta elengedhetetlen eszköz. Az internetes biztonsági termékeket forgalmazó McAfee 2007-es, a NATO és az FBI közreműködésével készült virtuális bűnözési statisztikája szerint körülbelül 120 ország végez államilag szponzorált informatikai kémkedést. A kémkedések elsődleges célpontja az Egyesült Államok, a CIA már 1996-os jelentésében tényként kezelte a dél-koreai, német, francia hírszerzés ipari kémkedésre tett informatikai kísérleteit. Bizonyítékokkal álltak elő feltételezhetően az orosz kormány által szponzorált, az IBM és az ExxonMobil fejlesztési terveire irányuló hackertámadásokkal kapcsolatban, míg Japán esetében az egyetemeken végzett kutatói kémkedést emelik ki, amit a jelentés számos ítélettel zárult példával támaszt alá.

Ám a legtöbb vitát a mai napig az Echelon néven ismert, eredetileg Nagy-Britannia és az Egyesült Államok által 1947-ben létrehozott kémhálózat váltja ki - az azóta digitalizált megfigyelőrendszer üzemeltetésében Kanada, Ausztrália, Új-Zéland is részt vesz. Kitartóan tagadják létezését, de 2001-ben, egyéves kutatómunkát követően kiadott jelentésében az Európai Unió megállapította: az egyszerre több millió kommunikációs tranzakció megfigyelésére alkalmas monumentális kémhálózat igenis működik. Noha az Echelon által alkalmazott megfigyelési technológiáról keveset tudni, bizonyosan nem (vagy nem csak) kémprogramok segítségével megfigyelőhálózatként funkcionál. A tagországok központi kommunikációs egységeinek lehallgatásán keresztül képes a régiók nemzetközi adatforgalmát rögzíteni, az információkat pedig óriási műholdak közvetítik a feldolgozóegységek felé. Az unió némileg túlzó jelentése szerint "ha lehetőségük van rá, hogy megfigyelőegységeiket bárhol a Földön telepítsék, a rendszer lényegében minden telefont, faxot és egyéb adatátviteli formát képes megfigyelni a rendelkezésre álló hatalmas kapacitású műholdak segítségével". Ma legfeljebb annyi bizonyos, hogy a hálózat kulcsszavak összekapcsolódásának elemzésével szűri a releváns, további analizálásra érdemes kommunikációs vonalakat, a rögzített információkat pedig hatalmas kapacitású szervereken tárolja. Bár az unió inkább a személyiségi jogok sérülése miatt aggódik, egyes tagországok szerint az Echelont a politikai, bűnüldözési és diplomáciai célok mellett ipari kémkedésre is használják. Ám mivel elvileg nem létezik, kémkedni sem lehet vele.

Figyelmébe ajánljuk