Közelebb vannak önhöz, mint gondolná

Antal Lajos
2012-11-22 06:24
Bizonyára a kedves olvasóval is előfordult már, hogy egy webböngészés közben felugró ablak tartalmát el sem olvasva automatikusan kattintott egy igen vagy elfogadom gombra, esetleg az ablak lezárására szolgáló kis x-re.

Antal Lajos

Mint ahogy az is, hogy ignoráljuk a felugró ablakokat, és nem lepődünk meg, ha számítógépünk lassul, esetleg magától újraindul vagy lefagy. Ha csupán egyedi esetről van szó, azt ilyenkor egy legyintéssel talán el is lehetne intézni. Ha viszont alkalmasint a fenti hibajelenségeket a munkahelyén nemcsak ön, de kollégái is tapasztalják, akkor szinte biztosra vehető, hogy a vállalatot valamilyen informatikai támadás érte. Mivel az ilyen támadások között gyakorlatilag nem léteznek jóindulatú betörések, gyakran ezen a ponton veszi kezdetét a valódi vállalatvezetői rémálom. Pánik, fejetlenség lesz úrrá a teljes cégen, olyan állapot bontakozik ki, amilyenre ma Magyarországon igen kevesen készültek fel megfelelően. Ráadásul a meggondolatlan kapkodás rendszerint még mélyebb szakadékba taszítja az amúgy is sebzett vállalkozást. 

Amíg egy lakásbetörésnél a bűnöző készpénzt, ékszert, esetleg műtárgyakat és műszaki cikkeket zsákmányol, éppen annyit, amennyit a zsákjában vagy az autója csomagterében el tud vinni, addig egyetlen hacker is képes milliárdos nagyságrendű kárt okozni egy kiszemelt – könnyű prédának tűnő, vagy a szemében különösen vonzó – vállalkozásnak. A hacker a behatolás után mindaddig folytatja tevékenységét (értsd érzékeny vagy a konkurencia számára értékes üzleti információk, stratégiák, alkalmazotti adatok, tervrajzok, marketingtervek és hasonlók kiszivattyúzását a célpont rendszereiből), amíg le nem bukik. Egy ilyen típusú betörés sokkal inkább hasonlít tehát arra, mint amikor egy láthatatlan ember határozatlan időre beköltözik valakinek az otthonába, majd ott nagyon sokáig (esetenként akár fél évig is) felfedezetlenül éldegél, közben rutinosan kiszolgálja magát a hűtőből és a tulajdonos pénztárcájából. Adódik a kérdés: mi ebben az újdonság? Miért gondolom azt, hogy most már tényleg ideje foglalkozni egy új fenyegetettségi modellel?

ÚJ KORSZAK
A világ az elmúlt két-három évben óriásit változott, megjelentek ugyanis a színen azok az anyagilag motivált hackerek, akik kifejezetten néhány kiszemelt vállalat értékeire fenik a fogukat. Nem hírnévre, nem a dicsőségre hajtanak, motivációjuk szinte kivétel nélkül a pénzszerzés. Megbízójuk lehet valamelyik piaci versenytárs, de dolgozhatnak önállóan vagy csapatba verődve is azért, hogy például egy cég értékes adatainak visszaszolgáltatásáért pénzt zsaroljanak ki magától a megtámadott célponttól.

Idén nyáron többek között az Aramco (a Forbes szerint 2012-ben a világ legnagyobb olajvállalata) számolt be hasonló esetről: a szaúdi olajipari céget ért kibertámadás során mintegy 30 ezer számítógépet fertőztek meg a hackerek, ezzel jelentős anyagi kárt okozva a társaságnak. Vélhetően ez volt az első olyan „hacktivista” támadás, amelyet igen kimunkált módon, malware kódot felhasználva hajtottak végre. Az Aramco – tekintettel arra, hogy a honlapja sem volt elérhető – a Facebook-oldalán mindvégig tájékoztatta ügyfeleit és partnereit a támadással kapcsolatos fejleményekről. Nem mindenki ennyire őszinte. 

Bizonyos iparágakban, például a pénzügyi szektorban vagy kritikus infrastruktúrák esetében létezik bejelentési kötelezettség a hatóságok felé, de számos más területen működő, áldozattá vált cég soha semmilyen formában nem ad hírt az őt ért támadásokról, inkább lenyeli a veszteséget, mert félti jó hírnevét, fél az ügyfe-
lek bizalmának elvesztésétől. Ezért is nagyon nehéz felmérni a kiberbűnözők által okozott károk mértékét globálisan.  A kiberbűnözés okozta kár – egy pár hónapja kiadott felmérés szerint – világszerte a járulékos költségekkel együtt mintegy 35 százalékkal nagyobb, mint a marihuána, a kokain és a heroin együttes globális piaca.

Ellenpélda lehet az anyagilag motivált hackerekre a manapság sokat emlegetett Anonymus csoport, amely egy általuk kialakított önálló filozófiát követve tevékenykedik a világ több pontján. Ők egy-egy gazdasági jelenség vagy politikai ügy mentén választanak célpontot: általában bankokat, olajvállalatokat vagy kormányzati intézményeket támadnak meg. A nyár folyamán például a sarkvidék megmentése címszóval bénították le az Exxon Mobile olajipari társaság e-mail szervereit, megszerezve több mint 300 azonosítót és jelszót.

A fenyegetettség szintje a statisztikák szerint is folyamatosan emelkedik: a Symantec biztonsági cég adatai alapján 2010-ben 3 milliárd regisztrált támadást blokkoltak, 2011-ben pedig már 5,5 milliárdot, ez közel kétszeres növekedés egy év alatt. Valós veszélyről van tehát szó, amit nem szabad lebecsülni. A hackerek minden vállalatnak jelentős anyagi kárt okozhatnak az informatikai berendezések, számítógépek, hálózatok tönkretételével, nem beszélve arról a kárról, ami az értékes adatok eltulajdonítása miatt érhet egy céget. Jelenleg világszerte a rosszindulatú kódok (malware) terjedésének soha nem tapasztalt felerősödése jelenti a legnagyobb kockázatnövelő tényezőt. A McCaffee adatai szerint 2010-ben 286 millió ismert malware-variánst találtak az interneten, 2011-ben ez a szám már 403 millió volt. Mint a rabló-pandúr játékban, sajnos a bűnözők itt is mindig egy lépéssel előrébb járnak, hiszen lehetetlen elvárás lenne egy vírusirtó céggel szemben, hogy előre álmodja meg, melyik vírus (és annak pontosan melyik variánsa) okozza a soron következő világraszóló informatikai földrengést. A vírusirtók és malware-detektáló eszközök leginkább követő magatartást tudnak kialakítani az ismert támadási mintákra. 

A malware-ek kiemelkedően szofisztikált működését kombinálva azokkal az ismert (vagy részben ismert) sebezhetőségekkel, melyekre a szoftvergyártók még nem adtak ki javítást – ezeket hívja a szakma zero day attacknek vagy nulladik napi támadásnak –, igen ijesztő kép rajzolódik ki.

A rosszindulatú kódok, amelyek útján a támadások végbemennek, jórészt e-mailek formájában vagy rosszindulatú kódot tartalmazó honlapokon keresztül kerülnek be a vállalati rendszerekbe. A hacker nem feltétlenül egyetlenegy céget vesz célba, hanem a lehető legtöbb, számára érdekes címre elküldi a kódot. Ha a megfelelő védelem hiányában ez a kód aztán bejut valamelyik nagyobb vállalati célpont belső hálózatára, onnan a kártevő visszajelzést küld a hackernek a sikeres behatolásról. A kód ilyenkor gyakran saját kis irányító központot hoz létre az elsőként megfertőzött számítógépen, majd titkosított csatornán kommunikál a támadóval, ezzel párhuzamosan pedig a hálózaton belüli többi gépet is elkezdi fertőzni. Az ilyen típusú támadásokat nehéz detektálni, sokszor nincs különösebb külső jelük. Hónapok vagy akár évek is eltelhetnek, mire érzékelhetővé válik, ez idő alatt pedig tetemes mennyiségű információ juthat illetéktelen kezekbe vagy gépekre.

HA ÉG A HÁZ
Ma már nem az a kérdés, hogy egy vállalatot érhet-e kibertámadás, sokkal inkább az, hogy mikor. A kártékony kódok és programok elleni sikeres védelemhez, illetve a hatékony incidensreagáláshoz elengedhetetlen, hogy a vállalatnál meglegyenek a biztonsági intézkedésekhez szükséges alapok. Ez magában foglalja az infrastruktúrát, egy békeidőben elfogadott biztonsági stratégiát (ideértve olyan alapokat, mint a szigorú jelszópolitikát), rátermett technikusokat és rendszeres biztonsági teszteléseket. Szükség van egy felkészült incidensreagálási csapatra is, legyen az külső vagy belső erőforrás. Támadás esetén ennek a technikai csapatnak a feladatai közé tartozik annak blokkolása, a védelem átalakítása, a szolgáltatások helyreállítása és a vírus kódjának visszafejtése. Megfelelő infrastruktúra és szakértelem hiányában ez szinte lehetetlen küldetés. 

Nemcsak az informatika lépett nagyot előre az elmúlt években, hanem az ellene irányuló támadások technológiai színvonala is. Az IT-rendszerek biztonsága sokkal komplexebb feladat lett az elmúlt évtizedekben. Módosult az informatikai rendszerek mérete, összetettsége, kapcsolati lehetőségei – szinte minden jellemzője. Egy dolog nem változott: a támadók rendelkezésére áll most is korlátlanul az idő, képesek megszerezni a kellő erőforrásokat (pénzt, eszközt, tudást). A kérdés csupán az, hogy a védelem oldalán korlátozott erőforrásokkal hogyan tudnak a vállalatok megfelelő védelmet kialakítani és reagálni az őket ért támadásokra.

A szerző a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője
Antal Lajos  a vállalati informatikai biztonságról