Kémek, zsarolók és kukkolók - Vadásznak ránk a világhálón

Mennyire könnyű valakit meghekkelni? – kérdezte 2013-ban a New York Universityn tanító Adam Penenberg oknyomozó újságíró, s hogy választ kapjon, megbízta a Trustwave Spiderweb etikus hekkercsapatát, hogy mindössze a neve ismeretében próbáljon meg betörni a gépébe, és szerezzen róla annyi információt, amennyit csak tud. Az eredmény: egyik előadásán váratlanul kikapcsolt a személyi számítógépe és az okostelefonja, Twitter-fiókján mindenféle fura üzenetek jelentek meg, az Amazon pedig kipostázott neki száz gumipókot, állítólag ő rendelte. Hogy a bankszámlájáról nem tűnt el minden pénz, az csakis annak köszönhető, hogy a hekkerek visszafogták magukat, s elegendőnek találták azt bizonyítani, hogy belenyúltak a bankszámlájába, és rendelkeznek minden jelszavával.

Lesben

A Pando magazin beszámolója szerint a hekkerek a nyilvános információk felkutatásával kezdték az akciójukat, s már Penenberg nyilvános közösségi profiljait és más fórumokat átnézve is sok mindent megtudtak. Megszerezték a lakcímét, találtak a lakásáról készült képeket, születési dátumokat, e-mail-címeket, telefonszámokat, és egy későbbiekben nagyon hasznosnak bizonyuló információt is: a feleségének van egy pilatesstúdiója. Ebből már profilt tudtak alkotni Penenbergről, és ki tudtak dolgozni egy módszert az ébersége kijátszására. Először a lakcímét felhasználva azonosították az otthoni wifihálózatát, s menten fel is törték, így pedig be tudtak lépni az e-mailfiókjába és a netbankárrendszerébe. A mailbox különösen értékes egy hekkernek, hisz nem csupán olvasgathatja a leveleket, de legtöbbször a közösségi média és más szolgáltatások is a személyes e-mailen keresztül adnak lehetőséget arra, hogy helyreállítsa valaki az elfelejtett jelszavát – így gyakorlatilag szabad lett a pálya.

A támadók e-mailes adathalászattal is próbálkoztak. Itt az első kísérletük nem sikerült, Penenbergnek ugyanis esze ágában nem volt letölteni a tőle – a híres és tapasztalt újságírótól – szakmai útmutatást kérő középiskolás leány zsengéit. Az éppen új alkalmazottakat kereső felesége viszont bedőlt annak az álpilates­edzőnek, aki tömörített fájlban küldte el neki állítólagos video-önéletrajzát: amikor letöltötte, a hekkerek már benn is voltak a gépében (és korántsem kell ehhez zip vagy rar fájl, egy ártatlannak látszó doc vagy pdf csatolmányban is rejtőzhet kémprogram). Amíg az asszony fent volt a neten, mindenhez hozzáférésük lett: jelszavakhoz, tárolt dokumentumokhoz, e-mailekhez és persze a pénzügyi információkhoz is.

Valamivel később Sophie Curtis, a Telegraph IT újságírója is etikus hekkereket bízott meg, hogy jussanak be a gépébe. Ők is sikerrel jártak. A kolléga Twitteréről megtudták a munkahelyi e-mail-címét, a fotóiból pedig egy-két olyan információt is szereztek, amivel személyre tudták szabni a támadásukat. Először potenciális informátorként keresték meg az újságírót. Bár nem válaszolt az e-mailjükre, nem vette észre, hogy van a levélben egy nagyon kicsi fotó is (mindössze 1×1 pixel), aminek az a célja, hogy „ujjlenyomatot” vegyen a gépéről: azaz megállapítsa, milyen operációs rendszert, böngészőt, bővítéseket és biztonsági szoftvert használ. Ha egy e-mailben fotó van, a fogadója kapcsolatba lép a küldő szerverével, hogy letöltse a képet – ekkor nyílik a hekkereknek is lehetősége hozzáférni az adatokhoz. Curtisnek az volt a szerencséje, hogy a Gmail ilyen szempontból más: ott a Google előre letölti a képet, így nem kerül ki információ a gépről. A hekkerek persze nem adták fel: küldtek egy kamu Linked­In-üzenetet arról, hogy egy nem létező kollégája kapcsolódni szeretne hozzá a közösségi hálón. Ezt az üzenetet úgy kódolták, hogy akár elfogadja, akár elutasítja az új kapcsolatot, interakcióba lép a hekkerekkel, és tudtán kívül elküldi nekik gépe adatait. Ezután megkeresték egy újabb e-maillel: egy állítólagos aktivistacsoport valami világméretű szivárogtatásról számolt be neki. Hogy hozzáférjen a részletekhez, le kellett töltenie egy rar fájlt. Megtette, s már benn is voltak a gépében.

Zuckerberg is óvatos

Mit lehetne tenni a kémkedők megfékezéséért? – függetlenül attól, hogy bűnözőkről vagy épp a titkosszolgálatokról van szó. Itthon kiderült, hogy a Nemzeti Védelmi Szolgálat lehallgatta a Blikk bűnügyi riporterének telefonját. Jávor Benedek EP-képviselő pedig a Facebook-oldalán számolt be arról, hogy többször visszahallotta a saját telefonbeszélgetéseit. Pintér Sándor belügyminiszter a nyár elején arról beszélt, hogy nincs olyan magyar állampolgár, akit ne lehetne törvényesen megfigyelni – a magyar szabályozás szerint maga a miniszter is mindenféle külső kontroll nélkül engedélyezheti a nemzetbiztonsági célú titkos információszerzést. Edward Snowden kiszivárogtatásaiból pedig az is tudható, hogy több nemzeti titkosszolgálat vígan csereberéli egymás közt az állampolgárairól összegyűjtött információkat.

Nyáron megjelent egy fotó a Facebook-vezető Mark Zuckerbergről is, s a hátterében azt lehet látni, hogy a laptopján letakarta ragtapasszal a kamerát és a mikrofont – jelezvén, hogy a hekkerektől félni nem egyszerű paranoia. „Egy ideje divat lett matricát ragasztani a számítógép kamerájára. Az egyetlen ok, amiért nekem nincs ilyenem, hogy naponta tucatszor szkájpolok a tanítványaimmal, és macerás lenne folyton leszedni és visszaragasztani” – mondta erről Ethan Zuckerman internetaktivista, a bostoni MIT egyetem közösségi médiaközpontjának vezetője, amikor nemrég a Közép-európai Egyetemen beszéltünk vele. Persze léteznek olyan kémprogramok is, amelyek akár a kamera működését jelző LED-lámpa bekapcsolása nélkül ki tudják figyelni, hogy mit csinálunk épp a számítógép előtt. Az olyan titkosszolgálatok, mint az amerikai NSA és a brit GCHQ, a Prism és az Upstream programokon keresztül figyelték a felhasználók telefonos és internetes kommunikációját. Edward Snowdentől tudjuk, hogy a titkosszolgálatok szoftverei még a kikapcsolt telefon mikrofonját is tudják használni. Technológiailag tehát nincs akadálya, hogy feltűnés nélkül belemásszanak bármelyikünk gépébe.

Magyarországon is használ a számítógépek megfigyelésére alkalmas szoftvereket a titkosszolgálat. Az Index tavalyi cikke szerint az Információs Hivatal és a nemzetbiztonság 2008 óta közel 600 millió forintért vásárolt szolgáltatásokat a Hacking Team nevű olasz fejlesztőcégtől, s az is kiderült, hogy kiterjedt levelezést folytattak a Gamma Group nevű cég vevőszolgálatával a FinFisher/FinSpy megfigyelőprogramról. E program lehetőséget biztosít a neten aktív emberek azonosítására, webmailhozzáférésre, weboldalak és szoftverek feltörésére, de még az interneten folyó beszélgetések (például Skype) lehallgatására is. Ráadásul a vírusirtók jelentős része észre sem veszi, amikor ezt telepítik.

De hiába vannak a technológia adta lehetőségek, Zuckerman szerint a legtöbb ember túlbecsüli a titkosszolgálati megfigyelések mértékét. Persze ha valaki szerepel a terrorgyanús személyek megfigyelési listáján vagy kényes adatokat kezel, akkor nagy valószínűséggel próbálkoznak nála. „Van egy barátom, aki a Snowden-dokumentumokon dolgozott, ő rendszeresen cserélte a gépét, hogy nehezebben tudják követni” – mondja, hozzátéve, hogy másoknál ez a veszély jóval kisebb. „Nem hiszem, hogy én például elég érdekes lennék az NSA-nek, holott sok politikussal és aktivistával vagyok rendszeres kapcsolatban.”

Házilag is működik

Távolról sem csupán a titkos-szolgálatok használnak a magánszféránkba tolakodó rosszindulatú szoftvereket, azaz malware-eket, rengeteg bűnöző is él az internet kínálta lehetőségekkel. Tavaly felfüggesztett börtönt kapott az Egyesült Királyságban egy férfi, aki a BlackShades nevű malware segítségével fért hozzá mások webkamerájához, és azon keresztül figyelte szexuális életüket. A kitartó kukkoló átlagosan napi 12 órát töltött a gép előtt, nehogy lemaradjon a 14 megfertőzött gépen elérhető látnivalókról. A Black­Shades – akárcsak a többi távoli hozzáféréses trójai (RAT), például a DarkComet – a Windows operációs rendszereket támadja, a gyanútlan felhasználók pedig e-mailek csatolmányaként vagy fertőzött oldalakat meglátogatva töltik le, de előfordulhat az is, hogy a malware a böngészők plug-injainak gyengeségeit kihasználva telepíti magát a számítógépre. Az ilyen programok teljes hozzáférést adnak a számítógéphez, többek között jelszavak eltulajdonítására és a tárolt fájlok lemásolására is lehetőséget nyújtva. A Torontói Egyetemen működő Citizen Lab beszámolt arról is, hogy a szíriai ellenzéki erők több tagját is a BlackShades programmal figyelték meg a kormányerők. Mások egyszerűen szórakozásból használják a RAT programokat, belenyúlnak áldozataik gépébe, váratlanul megnyitnak oldalakat, eltüntetik a start gombot, és nézik, hogyan reagálnak a megtámadottak. A BlackShades ára mindössze negyven dollár, és kezdő hekkerek is tudják használni.

Persze ez még mindig nem jelenti azt, hogy mindannyiunkra leselkedik egy online ragadozó. Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője például azt mondja, hogy azokat támadják, akiktől olyan információ szerezhető, ami megéri a megfigyelésükbe és lehallgatásukba fektetett pénzt és időt. „Az információ is termék, beszerzésének legalitásától függetlenül a keresleti oldal ugyanúgy befektetés/kockázat/hozam analízist végez, mint ha ásványvizet vagy vécépapírt vásárolna” – mondja. Egy tök ismeretlen ember gépére – akinek a vagyoni helyzetét sem ismerik – csak olyan módszerekkel próbálkoznak, melyek egyszerre nagyobb merítést is lehetővé tesznek: tömegesen küldött e-mailek csatolmányaiba vagy obskúrus honlapokra rejtett malware-ekkel. A TorrentLocker mal­ware például úgy választ áldozatokat, hogy belép a fertőzött gépben talált levelezési listára, és elküldi magát személyes e-mailnek álcázva a talált címekre. A Symantec becslése szerint az effajta adathalászati támadások teszik ki a hekkertámadások nagyjából 91 százalékát. Mivel az e-mailt biztonságos kommunikációs formának tekintik, ott a tűzfalak sem annyira aktívak; a szolgáltatók kiszűrik ugyan az ilyen levelek nagy részét, de korántsem mindet. A Fehér Ház számítógépes rendszerének egy kevésbé őrzött részébe is úgy sikerült bejutni orosz hekkereknek, hogy egy alkalmazott gyanútlanul megnyitotta egy e-mail csatolmányát.

Veres-Szentkirályi szerint egy átlagos felhasználó gépét három okból érheti támadás: ugródeszkának használnák, a banki adatokhoz próbálnak hozzáférni, vagy pénzt akarnak kicsalni, kizsarolni. Az első esetben a megfertőzött gépekkel spameket küldenek, hirdetési csalásokban vesznek részt (reklámokra kattintanak vagy oldalakat töltenek le, ezzel azt a látszatot keltve, hogy elérte a célközönségét a hirdetés), esetleg túlterheléses támadásokat (DdoS, Distributed Denial of Service) követnek el, hogy szervereket vagy weboldalakat tegyenek elérhetetlenné. A banki adatok lopása ma már ritkább, hiszen a legtöbb pénzintézetnél bevezették a kétlépéses azonosítást, amikor szükség van, mondjuk, telefonos megerősítésre is, mielőtt a pénzt átutalnák – nem mintha ez önmagában százszázalékosan feltörhetetlenné tenné a bankszámlánkat. Neal Hindocha, a Trustwave biztonsági szakértője már három éve megtalálta a módját, hogy lekövesse, milyen mozdulatokat végez ujjával a gyanútlan felhasználó az okostelefonján: az x és y koordináták mentén fel tudja térképezni az áldozat képernyőjét, és az adott készülék és operációs rendszer ismeretében belövi, hogy pont milyen számot vagy karaktert érint meg a felhasználó, amikor beírja a jelszavát. Hindocha azt is jelezte, hogy mindez aránylag sok időt vesz igénybe, így csak akkor érdemes alkalmazni, ha egy konkrét személy telefonjáról kell valami nagyon fontos információ.

Annál gyakoribb a harmadik eset, a zsarolás. Egy időben a támadók különböző hatóságok, például a Nemzeti Nyomozó Iroda képviselőiként tüntették fel magukat, és jelezték a felhasználónak, hogy kalóztartalmak letöltésén kapták, így büntetést kell fizetnie. Az efféle programok újabb generációja már sokkal agresszívebb: az úgynevezett crypto-ransomware-ek ugyanis zárolják a számítógépet, és csak akkor hajlandók „visszaengedni” a felhasználót, ha fizetett. Áprilisban a veszprémi kórház rendszerét érte ilyen támadás. A napokban pedig több lap írt az Adolf Hitler nevű zsarolóvírusról, amely egy órát ad a felhasználónak, hogy kifizesse adataiért a „váltságdíjat.” A felhasználók egy 25 euró értékű Vodafone feltöltőkártya számának megadásával tudják megszüntetni a zárolást –ha nem teszik meg, a hekker törli a gépen talált fájlokat. Van, hogy többet akarnak a zsarolók; az első ilyen program, a félmillió gépet megfertőző Cryptolocker például 400 eurót, de a jelenleg is aktív Cryptowall akár 5000 dollárt is, ráadásul a kommunikáció proxikon vagy titkosított, TOR kliensen keresztül történik, a fizetségüket pedig bitcoin elektronikus fizetőeszközzel kérik, így a tranzakciót nem is lehet lekövetni.

A Symantec óvatos becslése szerint a felhasználók évente átlagosan ötmillió dollárt fizetnek „foglyul ejtett” tartalmaikért. Összességében nagyobb biznisz a hekkereknek, ha a gépünk ugródeszka: Rimóczi Oszkár, a digitális hirdetések minőségbiztosítására szakosodott Enbrite.ly ügyvezető igazgatója azt mondja, az egyik legkifizetődőbb hekkertevékenység a hirdetési csalás, amely a Hirdetők Világszövetsége szerint hamarosan akár évi 150 milliárd dolláros forgalmat is lebonyolíthat. „Ha ezek a jóslatok beválnak, a drogkereskedelem után a második legnagyobb piaccá válhat, már ami az illegális tevékenységeket illeti” – fogalmaz Rimóczi. Ez pedig azt jelenti, hogy ha nem is vadászik valaki célzottan az információinkra, a kereslet fenn fog maradni a gyengén védett számítógépek iránt.