Kiberbűnözők, kiberterroristák, hektivisták

Kapj el, ha tudsz!

  • Bakóczy Szilvia
  • 2013. február 10.

Tudomány

Mi a hackerkedés? Az informatika csúcsa? Színtiszta bűnözés? Számítógépes tolvajlás, egy informatikai rendszer feltörése, ami után szabadon használják és eladják a megszerzett adatokat? A valóságban hackernek számít ma már az is, aki éppen az ilyen betörések ellen nyújt védelmet. Előbbit fekete, utóbbit fehér kalapos hackernek hívja a szakma.

A hacker szó mára gyűjtőfogalom lett. "Biztonsági szakembert éppúgy értünk alatta, mint bűnözőt - állítja Keleti Arthur, az Informatikai Biztonság Napja főszervezője, az Önkéntes Kibervédelmi Összefogás alapítója. - Ezért is fontos különbséget tenni etikus és nem etikus hackerek között. Az etikus hackerek az informatikai rendszer kommandósai, akik bármikor bevethetők. Megbízásra dolgoznak, ha kell, rendszereket próbálnak feltörni, ha kell, alkalmazottak megbízhatóságát tesztelik, van úgy, hogy hetekre beköltöznek egy irodába, és a szemetet is átkutatják, hogy kiderüljön, miként kezeli a cég az érzékeny információit. A lényeg, hogy megtalálják a hibát bármi áron, még mielőtt a rendszer sebezhetőségét a fekete kalapos hackerek fedeznék fel. Ha pedig problémára bukkannak, megpróbálnak megoldást is adni rá." Ami biztosan összeköti a hackereket, az a szerteágazó informatikai tudás mellett az adrenalin és a munkamánia. Zágon Mihály (vezető biztonsági tanácsadó, Deloitte Zrt.) egyike az etikus hackereknek. Az adrenalinról a következőket mondja: "Ez akkor jelentkezik, amikor feldereng egy lehetséges útvonal az adott rendszer mélyére. Ha ez valóban kihasználható, akkor jön az a tipikus jackpot érzés, amit minden hacker ismer, amikor ő előbb fedez fel egy olyan hibát, amit mások nem biztos, hogy javító szándékkal kerestek volna meg. Ez történik, ha például egy cég megbíz minket, hogy vizsgáljuk meg azokat a külsős szakértőket, akik - ha korlátozottan is, de - hozzáférést kaptak bizonyos adatokhoz, nem férnek-e hozzá más, titkos dokumentumokhoz is egyben. Ehhez a feladathoz sokszor két hét és több ember napi 10-12 óra munkája szükséges, de a végén megmondható, mennyire biztonságos az adott hálózat, és mit kell tenni annak érdekében, hogy még biztonságosabb legyen."

Úgysem lesz baj

Vannak, akiket egészen más motivál: kíváncsiságból, ügyességük fitogtatásáért vagy pénzért, megrendelésre törnek fel valamilyen rendszert. "A kiberbűnözők adatlopásra vagy adathamisításra szakosodtak. Rengeteg példát lehet hozni erre. Az Epszilon nevű, marketinggel foglalkozó amerikai cég közel négymilliárd üzleti és nyolcmilliárd személyes tranzakciót tárolt vásárlásokkal kapcsolatban. A hackerek a rendszer mögött meghúzódó címadatbázisnak egy részét lopták el, így hozzájuthattak az USA legbefolyásosabb embereinek és vállalatainak adataihoz. - magyarázza Keleti Arthur. - A kiberterroristák még ennél is veszélyesebb hackerek, ők ugyanis az emberéletre törnek, tevékenységükkel akár tömegkatasztrófát is előidézhetnek. Vírustámadás lehet például az egyik magyarázata annak a 2008-as spanyol légi katasztrófának, amelyben 154 ember vesztette életét. Szintén fekete kalapos hackerek az úgynevezett hektivisták, akik a megszerzett információkból politikai előnyt kovácsolnak, vagy ideológiájukhoz támogatói bázis kiépítését remélik. Az Anonymous csoport tevékenysége miatt idén októberben az olasz rendőrség informatikai rendszereiből 3500 különösen bizalmas, bűnüldözéssel kapcsolatos stratégiai és műszaki információ szivárgott ki."

A probléma nem mindig az informatikai rendszerek sebezhetőségében keresendő. "Elképesztő hibákat követnek el sokszor maguk az IT-s szakemberek is, pedig nyilván jót akarnak - mondja Keleti Arthur. A legjobb példa erre az admin/admin felhasználónév/jelszó páros, vagy amikor ezt variálják az 123, 1234 stb. jelszavakkal - holott nagy valószínűséggel ez az első, amit kipróbál az, aki be akar törni a rendszerbe. Keleti szerint hasonló veszélyt jelent az adatok mentésének hiánya, az emberi hiszékenység és a megbízhatatlanság. "Nekem itthon mindegyikkel nagyon rossz tapasztalataim vannak. A vállalatok többsége sem emberi, sem anyagi erőforrást nem különít el IT biztonsági feladatokra. A vezetők azt gondolják: miért épp velük történne bármilyen baj? De mit várhatunk el a gazdasági élet szereplőitől addig, amíg nem teszik fel maguknak azt a nagyon egyszerű kérdést, hogy mi van, ha tönkremegy a számítógépem? Hogyan pótolom az adataimat? Nem vesznek külső winchestert, nem készítenek mentéseket, mert sajnálják rá a pénzt és az időt, és mert nem tartják a támadást vagy az adataik elvesztését reális veszélynek. Ugyanez igaz a titkosításra. Szinte mindenki szabadon mászkál a laptopjával, amin tömegével vannak fontosabbnál fontosabb információk a cégéről vagy a privát életéről. Ha a gépet bárki kikapja a kezéből vagy a tulajdonosa elveszíti, az adatok egy amatőr számára is könnyedén hozzáférhetők lesznek." A magyarok biztonságtudatos magatartásáról Tóth László (senior manager, Deloitte Zrt., informatikai biztonság és adatvédelem üzletág) más véleményen van. "Külföldön szerzett tapasztalataim szerint a probléma nem speciálisan magyar - állítja. - Egy átlaghalandó máshol sem titkosítja az adataihoz való hozzáférést, és nem csinál biztonsági mentést a fontos dokumentumokról. Primitív jelszavakat választ, és még ha a cégén belül jelentős összegeket is fordítanak az IT biztonságra, nem gondol bele, hogy egy okostelefon vagy egy tablet majdnem ugyanannyi érzékeny információt tárol, mint bármelyik számítógép a közelében. Pedig ezeken az eszközökön ma már megtalálható például a teljes céges levelezésünk. Ezzel együtt egy vállalat életében a legnagyobb veszélyt a rendszerek biztonsági szintjére inkább a gondatlan rendszergazda és a fejlesztő jelenti." Az okostelefonnal kapcsolatos veszélyekről Keleti Arthurnak hasonló véleménye van. "Elképzelni sem tudják sokan, mi mindent telepíthetnek a telefonokra a hackerek egyetlen perc alatt. Létezik olyan kémprogram, ami folyamatosan működteti a telefon kameráját, és a felhasználó környezetéről háromdimenziós képeket küld egy központnak. Amikor aztán sor kerül például a letartóztatásra, az FBI emberei ugyanolyan biztonsággal mozoghatnak az adott helyen, mint azok, akiknek a környezet régóta ismerős terep. Gondoljuk csak el, hogy mit eredményezhet, ha az ilyen alkalmazásokat nem a bűnüldözés, hanem a bűnözők használják fel."

Nyisd meg!

A támadások egyik tipikus esete, amikor a fekete kalaposok hiszékenységünket kihasználva szereznek hozzáférést az adatainkhoz. A szakma ezt social engineeringnek nevezi. "A legegyszerűbb és leggyakrabban alkalmazott formája, amikor a felhasználónak egy megtévesztő levelet küldenek, és megpróbálják rávenni, hogy kattintson egy linkre, vagy telepítsen egy programot a számítógépére, amin keresztül aztán a támadó átveheti az irányítást az adott gép felett - magyarázza Tóth László. - Az ilyen támadás annál hatékonyabb, minél több információval rendelkezik a támadó a célpontjáról. Persze nem minden támadó ilyen alapos, Magyarországon is volt rá többször példa, hogy tört magyarsággal írt, jól láthatóan automatikus rendszer segítségével fordított levéllel próbáltak meg félrevezetni banki internetes szolgáltatást használó ügyfeleket." A netes támadások miatt egyesek arra jutottak, hogy fontos ember ne tartson semmit a neten. Tóth László szerint ez ma már nem életszerű. "Be kell tartani az alapszabályokat, ennyire egyszerű. Lehetőleg ne használjon senki céges számítógépet magánügyekre. Frissítse mindenki a rendszereit, az adatai megosztására pedig fokozottan figyeljen. Sokféle támadásnak vagyunk kitéve, ezzel együtt elég az egészséges paranoia. Az egészségtelen paranoiát meghagyhatják nekünk, szakembereknek."

A fekete kalapos hackerek ellen az USA, Nyugat-Európa, Ázsia és a Közel-Kelet egyes országai kiberrendőrségeket, a kiberteret figyelő katonai egységeket hoztak létre, így próbálva csökkenteni a kiberbűnözésből fakadó károkat. Nincs olyan nagyhatalom, amelyik ne venné ma már ezt komolyan, egyre több pénzt csoportosítanak át a fizikai fegyverekről az információs rendszerek védelmére, Anglia például 2011-ben jelentette be, hogy 650 millió angol fontot áldoz a kibervédelemre; a modern kori hadviselés ugyanis ma már vitathatatlanul ezen a területen zajlik. Tekintettel a sebességre, amivel ez a világ változik, és tekintettel a bűnözők, támadók, hackerek viszonylag alacsony költségeire, a kiberbűnözés a legnagyobb társadalmi problémák egyikévé kezd válni. Egy tavalyelőtti kimutatás szerint a kiberbűnözésből eredő károk elérték a 388 milliárd amerikai dollárt, ami 100 milliárd dollárral több, mint a kokain-, marihuána- és heroinkereskedelemből származó becsült összbevétel. A törvényi szabályozás Keleti szerint külföldön is lassabban reagál a fejlődésre, de azért ma már megvannak a sikeres bűnüldözés jogszabályi keretei. Magyarországon azonban nincs friss és a kor szellemének megfelelő információbiztonsági törvény, ráadásul ehhez jön az erőforráshiány, vagyis az informatikai bűnözés felderítésében vagy megakadályozásában érdekelt szervek különösen nehéz helyzetben vannak. "A jövő másik nagy kérdése, hogy mihez fognak kezdeni a fekete kalapos hackerekkel - teszi hozzá Keleti Arthur. - Vannak, akik szerint nem kellene szigorú büntetés, mivel a többség a kamaszkorban lett hacker, minden rossz szándék nélkül. Vagyis jó útra lehetne őket téríteni, és az lenne mindenkinek az érdeke, hiszen a tudásuk nekik is hatalmas. Elképzelhető az is, hogy egyre kevesebben lesznek, az etikus hackerek száma ugyanis folyamatosan nő, az Egyesült Államokban például már javában kezdik a hackerkedést bevezetni a kötelező tananyagba, illetve kisiskolásoknak is szerveznek hackerversenyeket, hogy a különleges képességű diákok tudását a társadalomnak hasznos célok felé irányítsák."

Itthoni szabályozás

Magyarországon a 2001. évi CXXI. törvény értelmében a számítástechnikai rendszerek és adatok elleni bűncselekmények - azok típusától és súlyosságától függően - egytől tíz évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbírsággal büntethetők. A törvény kimondja azt is, hogy nem büntethető az, aki tevékenységét a hatóság előtt felfedi, és a bűncselekményhez elkészített programot, kódot, jelszót vagy adatot a hatóságnak átadja, valamint lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

 

Leghack

Az internettörténelem legnagyobb adatlopását a Sony szenvedte el 2011-ben. Az első támadás a cég online játékhálózatát, a Sony Playstation Network-öt érintette, ahonnan ellopták a mintegy 77 millió regisztrációból álló adatbázist. Két héttel később ugyanaz a hackercsapat a Sony Online Entertainment Network hálózatában 24,6 millió felhasználó fiókjához szerzett hozzáférést, amivel bankszámla- és hitelkártyaadatok is az internetes bűnözők kezére kerülhettek.

Idén robbant ki az Onity-zárak körüli botrány is. Cody Brocious amerikai hacker egy filléres eszköz felhasználásával az előadásán azt demonstrálta, hogy milyen könnyedén nyitható közel négymillió szállodaajtó zárszerkezete. A behatolás ráadásul semmilyen nyomot nem hagyott.

Hátborzongató az egyesült államokbeli milwaukee-i "414-esek" esete: a tettesek a Manhattani Onkológiai Központ számítógépes rendszerébe behatolva átprogramozták az ott kezelt rákbetegek adatait. Tettüket később a csoport egyik 17 éves tagja vallotta be a sajtónak.

 

 

Sikeres magyar etikusok

Tavaly is megrendezték a hackerolimpiának számító CyberLympics világversenyt. A versenyt az EC-Council hívta életre 2011-ben azzal a céllal, hogy növelje az információbiztonsági tudatosságot. A három fordulóból álló selejtezők kontinensenként több hónapig tartottak, a döntőbe a nyolc legjobb csapat került be. Európából két csapat jutott tovább - mindkettő magyar. A Deloitte Magyarország Zrt. IT biztonsági szakembereiből álló csapata bronzérmes lett, a PR-Audit Kft. csapata a hatodik helyen végzett. A győzelmet a Deloitte színeiben induló holland csapat szerezte meg.

Figyelmébe ajánljuk