2013. április 30.
Buttyán Levente, a CrySyS Lab vezetője abból adott ízelítőt a legújabb Műhelyben, hogy milyen komoly következményei lehetnek a célzott hackertámadásoknak.
A CrySyS Lab a Villamosmérnöki és Informatikai Kar Hálózati Rendszerek és Szolgáltatások Tanszékén működő adat- és rendszerbiztonsági laboratórium. A csoport kutatási tevékenysége főként az IT biztonságára, szűkebben a vezetékes és vezeték nélküli hálózatok és beágyazott rendszerek biztonságára terjed ki, ami az elmúlt időben meglehetősen fontos témává vált.
Pár héttel ezelőtt az internet lassulása volt tapasztalható, ami egy célzott túlterheléses hackertámadásnak tudható be. Az ezeket az atrocitásokat indító csoportok többnyire lelkes amatőrökből, és egy-két profiból állnak. Bármennyire is elszántak ezek a hacktivisták, nem kell attól félnünk, hogy a teljes világhálót megbénítják. Lehetséges egy-egy szervert leterhelni úgynevezett denial of service (DoS – szolgáltatás megtagadás) jellegű támadásokkal, amelyekkel elérhetetlenné lehet tenni egy szolgáltatást. A lassulást okozó incidensnél például egy webszerver erőforrásait egyszerre több irányból indított kérésekkel annyira leterhelték, hogy a legitim kéréseket nem tudta kiszolgálni. Körültekintő tervezéssel azonban lehet az effajta támadások ellen védekezni. A nagyobb szolgáltatások általában nem egyetlen fizikai szerverről működnek, hanem többről elosztottan, amelyek között terhelésmegosztás működik. Ha az egyik leterhelődik, akkor átirányítják a forgalmat más szerverekhez. Összességében a hacktivisták önmagukban nem képesek jelentős kárt okozni. Sok esetben a támadások célja pusztán a figyelemfelhívás.
Egyre gyakoribbak viszont a nagyobb szabású célzott akciók. 2007-ben vélhetően Oroszország indított DoS támadást Észtország ellen politikai okokból. Számos helyi kormányzati oldal, köztük a védelmi, és a külügyminisztérium honlapja, valamint vezető napilapok és bankok oldalai váltak elérhetetlenné, ami azért okozott hatalmas károkat, mert Észtország élen jár az internet alapú technológiák használatában, és kiterjedt e-kormányzatot működtet. A NATO is elkezdett foglalkozni a hasonló esetekkel. Ma már egy ilyen támadás háborús cselekménynek is számíthat. Ha hasonló atrocitás ér egy országot, az akár kinetikus válaszlépést is vonhat maga után. Tehát a kibertérben történt támadásnak fizikai megtorlás lehet a következménye. Nem minden esetben egyértelmű, hogy kitől származik az offenzíva. Lehet technikai oldalról keresni a bűnöst, például, hogy milyen hosztokról érkeznek kérések, de ez nem perdöntő, mivel a támadók használhatnak úgynevezett zombi hosztokat, más néven botnetet. A világon bármelyik felhasználó gépét feltörhetik, átvehetik fölötte a hatalmat, és onnan távirányítással indíthatják a támadást. Ezt jellemzően spamkampányokra vagy DoS támadásokra használják. Kutatók infiltráció segítségével próbálják meg átvenni a hatalmat a botnetek fölött, és kideríteni, hogy honnan kapják a parancsot, de ez sok estben nehézkes. Ezenkívül abból lehet következtetni a delikvensre, hogy mi a támadás célja, és kinek áll érdekében az.
Egy másik mostanában történt kiberháborús cselekmény a Stuxnet nevű vírus, amivel egy iráni urándúsító üzemet fertőztek meg. A vírus a vezérlő számítógépeket támadta meg, és úgy módosította a PLC-ket, hogy azok túlterheljék az urándúsító centrifugákat. Ennél az esetnél is csak spekulációk vannak azt illetően, hogy kinek állt érdekében hátráltatni az iráni atomprogramot. Annyi bizonyos, hogy a vírus megírásához és teszteléséhez olyan információkra és technikai háttérre volt szükség, amelyekhez valószínűleg csak államilag szponzorált szervezet által lehetett hozzáférni. Érdekes kérdés, hogy a dropper hogyan jutott be a rendszerbe. Feltehetően USB kulcson keresztül történt az internetkapcsolattal nem rendelkező létesítmény megfertőzése.
A CrySyS Lab álatal elemzett Flame nevű malware (rosszindulatú szoftver), bluetooth-on keresztül szivárogtat ki adatot egy Internet kapcsolattal nem rendelkező fertőzött gépről. Hogyha a számítógépen van bluotooth, a vírus bekapcsolja azt, megpróbálja felderíteni, ki van a környezetében, és broadcast üzenetekben kiküldi az áldozat gépéről kigyűjtött adatokat. Tehát elég a fizikai közelség az adatok kinyeréséhez egy olyan gépről is, ami nincs az internetre kötve. Ezek a malware-ek akár több évig is aktívak lehetnek, mielőtt felfedezik azokat. Ezt figyelembe véve megállapítható, hogy a jelenleg rendelkezésre álló antivírus termékek nem elég hatékonyak. A CrySyS Lab ezekkel problémákkal is foglalkozik. „Innovatív megoldásokat keresünk a célzott támadások hatékony detektálására, és az ilyen incidensekre való felkészülésre, hogy legyen egy kész terv arra az esetre, ha észrevesszük, hogy feltörtek” – mondta Buttyán Levente.
A cikk szerzője László Zsófia. Megjelent a Műhely XI/6. számában.
Fotó: Székely Zsolt