Dr. Racskó Péter, Budapesti Corvinus Egyetem, Informatikai Intézet

16-18. o. szogesdrot pelda

A kibertérben folyó ütközetek jobb megértése érdekében szükség van a kiberbiztonság rendszerszintű gyengeségeinek elemzésére, illetve a korszerű támadó fegyverek és a védekezési módszerek áttekintésére.

A kibertér jelenleg az internetet jelenti, akár vezetékes, akár mobil, akár műholdas technológiára épül. Az internet úttörői az 1960-as és 70-es évek amerikai kormányzati elvárásait kielégítve teremtették meg azt a kommunikációs technológiát, amely ellenáll a fizikai hálózat elleni támadásoknak. Az internet kizárólagos feladatának szabványos bitsorozatok, úgynevezett csomagok továbbítását tekintették, amit kiválóan meg is valósított. Az alapelvek az elmúlt évtizedekben gyakorlatilag semmit sem változtak, a hálózat feladata továbbra is a csomagok továbbítása maradt. Sem akkor, sem most nem tekintették a fejlesztők feladatuknak a csomagok tartalmi vizsgálatát, így az internetnek mindegy, hogy jó-, vagy káros üzeneteket továbbít-e. Következésképpen, az információ és az infrastruktúra sértetlenségét minden használónak magának kellene biztosítania.

A számítógép-, tablet- és okostelefon-használók döntő többsége azonban tudomást sem akar venni arról, hogy adatai és eszközei védelme folyamatos feladatot jelentene számukra. A felhasználók úgy gondolják, hogy ez kizárólag az eszköz gyártójának feladata. Viszont, ha valaki figyelmesen elolvassa a szerződések kisbetűs részét is, kiderül, hogy erről szó sincs.

A problémának két megoldása lehet: az egyik az internet központosított felügyelete (aminek még a felvetése is politikai botrány lenne, esélye pedig a nullával egyenlő), a másik pedig az eszközhasználók biztonságtudatosságának és képzettségének növelése. Ez utóbbi nem lehetetlen feladat, hiszen a történelem során az emberek megtanulták bezárni házuk kapuját, őrizetlenül hagyott kerékpárjukat odaláncolni egy oszlophoz, és azt sem híresztelik boldog-boldogtalannak, ha elutaznak, és lakásuk hetekig üresen áll (kivéve azokat, akik még tanulják a Facebook és a biztonságos információmegosztás működését). Ameddig nem jutunk el idáig a digitális térben, a kiberháború mindennapjaink része lesz, amit nem delegálhatunk szakértőkre.

A digitális hadszíntéren alkalmazott korszerű fegyverek

A jelen digitális arzenáljának számbavételekor az ENISA Threat Landscape 2014 jelentés sorrendjét vettük alapul. (1) A lista élén jelenleg a rosszindulatú programok, elsősorban az úgynevezett trójaiak állnak, amelyeket a személyazonosság-lopástól az ipari kémkedésig a legkülönbözőbb funkciók végrehajtására fejlesztettek.

A korszerű rosszindulatú szoftverek sok újdonsággal lepték meg a biztonsági szakembereket. Ilyenek például az alkalmazott nem szabványos titkosítási eljárások, amelyek lehetetlenné teszik az irányító központokkal való kommunikáció megfejtését, vagy a fájl nélküli kódok elterjedése, amelyeket a rendszer nem ír a háttértárba, így felfedezésük a merevlemez vagy más tárolók vizsgálatával nem lehetséges. Megfigyelhető a pontosan célzott adatgyűjtésre szakosodott kémszoftverek gyors terjedése is, a több operációs rendszerben egyaránt működő nem kívánt szoftverek térnyerése, valamint az interneten lévő anonim hálózatok (például TOR) használata a rosszindulatú programok és irányítóik közötti kommunikációban. Új vonás a magas szintű maszkírozás (a programfunkciók legnagyobb része csak a félrevezetést szolgálja), és az öngyilkos hajlam is (azaz ha elkezdik a programot elemezni, az magával együtt örökre titkosítja a tárat, megakadályozva ezzel a védekezéshez szükséges információ begyűjtését).

Naponta mintegy 350 ezer új rosszindulatú szoftvervariáns jelenik meg, és – figyelembe véve a fenti minőségi változásokat is – a hagyományos, a már ismert vírusok felismerésén alapuló antivírus technológia egyre kevésbé hatékony, a létező kártevők csak kevesebb, mint felét képes felfedezni. (2) A maradék, azaz a vírusok nagyobbik fele háborítatlanul lopja adatainkat és használja erőforrásainkat.

A nagymennyiségű új kártékony kód megjelenését az utóbbi években könnyen elérhető, sokszor ingyenes fejlesztő eszközök segítik (nevük a szakzsargonban exploit kit), amelyek lehetővé teszik, hogy a felhasználók minimális programozói tudással is képesek legyenek jól működő vírusokat írni. Nem nehéz kitalálni, milyen üzleti modellek rejtőznek az ingyenes fejlesztő eszközök mögött: minél több az interneten megjelenő vírus, annál nagyobb erőforrásokat kell fordítani ezek semlegesítésére, és annál kevesebb erőforrás marad a nagy halak kifogására.

A legismertebb illegális fejlesztő eszköz a Blackhole (3), amelyet egy orosz programozó készített. Az egyesek által a kiberháború tömegpusztító fegyverének nevezett programot eleinte havi 500 dollárért lehetett bérelni, később ingyenessé tette a tulajdonos, mert megjelentetett egy sokkal többet tudó változatot (Cool), amelyet már havi 10 ezer dollárért adott bérbe. A Blackhole-lal fejlesztett kártékony programok megnézték, hogy egy adott gépen léteznek-e támadható pontok, és ha igen, akkor ezeket jelszavak lopására, banki információk megszerzésére, egyéb programok telepítésére használták. (Megjegyezzük, hogy a Blackhole fejlesztőjét az orosz rendőrség 2014-ben letartóztatta, ami azzal járt, hogy a hasonló szoftverek piaca kiegyenlítődött).

Világossá vált, hogy a ma már széles tömegek számára elérhető, korszerű kiberfegyverek ellen új védelmi stratégiát kell kidolgozni. A jelenlegi, a végponti eszközöket védő eljárások alacsony hatékonyságúak, mert a szoftverfejlesztés és -értékesítés öldöklő piaci versenyében nem létezik gyenge pontok nélküli szoftver. Az internet magasabb szintjén kellene beavatkozni, de mint tudjuk, az internet neutrális, és nincs magasabb szintje, központi irányító szerve.

Webes támadások, célba vett alkalmazások

A lista második helyét a webes támadások foglalják el. Az idén 145 millió rosszindulatú programot terjesztő weboldalt azonosítottak, azonban e támadásoknak csak a 40 százalékát kezdeményezték, a maradék 60 százalék ismeretlen eredetű. A 40 százalék jelentős része rövid életciklusú, átlagosan két napig létező weboldal, ami azt jelenti, hogy az úgynevezett feketelisták használata egyre kevésbé eredményes (feketelistának nevezzük azokat az egyes biztonsági szervezetek által vezetett nyilvános listákat, amelyek a káros szoftvereket terjesztő oldalak címeit tartalmazzák).

A webes támadások után a webes alkalmazások elleni támadások következnek a veszélyességi sorban. Ezeknél egy számítógépes alkalmazás meghív egy weboldalt, amely nem kívánt programot „injektál” az alkalmazásba, elsősorban a Java programokba. Természetesen a támadó weboldal itt is kihasználja a támadott alkalmazás gyengeségeit.

Csökkenő trendet mutat, de még lényeges tényező a zombihálózatok, más néven botnetek elterjedtsége, amelyek akár több tízezer személyi számítógép jogosulatlan felhasználásával küldenek nagymennyiségű kéretlen levelet, vagy indítanak úgynevezett túlterheléses vagy szolgáltatásmegtagadásos támadást egyes fontos szerverek ellen. A csökkenés oka itt a hatóságok és a szoftvergyártók határokon átnyúló közös védelmi munkája: a gazdáiknak Bitcoin virtuális pénzt termelő és bevételszerzésre szintén alkalmas reklámklikkeket generáló ZeroAccess kódnevű botnet kiiktatásában például több ország mellett a Microsoft és a Symantec is részt vett. Sajnos, a hálózat 2015 januárjában visszatért a küzdőtérre. (4)

Ha egy számítógép botnet vírussal fertőzött, a tulajdonos erről a legtöbb esetben nem tud, így nem is tesz ellene. A botnetek ellen csak az irányítási szinten lehet tenni, ehhez viszont szoros nemzetközi és szektorok közötti együttműködés szükséges. Ha sikerül felszámolni az irányító központokat, akkor a botnet előbb-utóbb kihal, mert a szoftverfrissítésekkel vagy a gépek lecserélésével csökken a fertőzött gépek száma. A botnetek kiváló megélhetést nyújtanak létrehozóik és működtetőik számára. A spam- vagy adathalászati levelek írói, vagy egyéb visszaélések kezdeményezői a botnet „tulajdonosától” megrendelik a levelek sokmillió példányos terjesztését, amiért díjat fizetnek. A kéretlen reklámlevelek esetén a díjfizetési modellek azonosak a legális digitális marketing világban alkalmazott modellekkel, azaz kiküldött levelek, kattintások, vásárlások alapján számítják a jutalékot. A botnetek gazdái – tapasztalva az üzlet hanyatlását – a közelmúltban megújították stratégiájukat, és az új botnetekbe nem kis kapacitású PC-ket, hanem nagy kapacitású szervereket igyekeznek bevonni. Ezért aztán természetesen a botnet elleni védekező mechanizmusoknak is meg kell újulniuk.

Fontos szólni még a botnetek üzemeltetőitől szintén igénybe vehető szolgáltatásmegtagadásos támadásokról, amelyek egy-egy szerver működését legális szolgáltatáskérésekkel lassítják le vagy blokkolják. Ezek a támadások a legtöbbször nem öncélúak, hanem például politikai indítékuk van (gyakoriak a kormányzati szerverek elleni támadások) vagy egy versenytárs webes megjelenését gátolják. A szolgáltatásmegtagadásos támadások technológiája hatalmasat fejlődött az utóbbi időben: míg korábban a támadás egy-egy jól meghatározott, szűk keresztmetszetre irányult, az újabb, úgynevezett dinamikus támadások egyszerre több kommunikációs szintet vesznek célba. Illetve megemlékezhetünk azokról az évek óta terjedő zsaroló szoftverekről is, amelyek titkosítják egy számítógép fájljait, majd némi pénzért hajlandók megfontolni, hogy visszafejtsék-e azokat. Mellesleg nem szokták visszafejteni, lényegtelen, hogy fizet-e valaki, vagy nem.

Új technológiák, új veszélyforrások

Az információs és kommunikációs technológiák és működési modellek köre az utóbbi években gyorsuló tempóban bővült. Általánossá vált az okostelefonok használata, amelyek biztonsági szempontból a hagyományos kockázatok mellett újakat is létrehoztak. A telefon számos kommunikációs csatornája (GPS, WIFI, Bluetooth stb.), a számítógépekkel összemérhető adattárolási kapacitása sokféle támadási módra ad lehetőséget. Ugyanakkor az okostelefonok biztonsági védelme messze elmarad a számítógépekétől, ráadásul fizikailag is könnyen ellophatók.
Jelentős kockázati forrás lehet a jövő internetének egyik fő pillére, a dolgok internete (Internet of Things – IoT), ami azt jelenti, hogy sokmilliárd, különféle kockázatokat hordozó eszköz méri és befolyásolja környezetünket.
Gazdasági erényei miatt egyre népszerűbb a felhő alapú számítástechnika, amelyben adatainkat az interneten tároljuk vagy dolgozzuk fel. Mindez ma még ki sem talált támadási módozatokra is lehetőséget ad, de abban biztosak lehetünk, hogy a felhő elleni támadások új fejezetet nyitnak majd a kiberháborúban. (5)
Összefoglalóan megállapítható, hogy a digitális világban a jó oldal egyelőre nem áll nyerésre, bár jelentős lépések történnek a támadások és hatásuk csökkentésére. A sötét erők birtokában igen komoly erőforrás és szakértelem van, és gyakorta nemzetállamok támogatását is maguk mögött tudhatják. Védekezni csak jelentős erőforrások bevetésével, a technikai eszközökön kívül a közönséges felhasználók biztonságtudatának és moráljának radikális javításával, a kibertérben alkalmazható teljes körű jogi szabályozással, erős nemzetközi összefogással, és az eszközgyártók felelősségének növelésével lehet.

Felhasznált irodalom:

1. ENISA Threat Landscape 2014 Overview of current and emerging cyber-threats December 2014 www.enisa.europa.eu Accessed 05/14/2015
2. NTT Group: Global Threat Intelligence Report 2014
http://www.nttcomsecurity.com/en/services/managed-security-services/threatintelligence/, Accessed 05/14/2015
3. http://resources.infosecinstitute.com/cyber-weapon-of-mass-destruction-the-blackhole-exploit-kit/
4. http://www.computerworld.com/article/2877923/the-zeroaccess-botnet-is-back-in-business.html
5. Racskó Péter: A számítási felhő az Európai Unió egén. Vezetéstudomány 43. kötet 2012. január