Utánajártunk

58_Wired.jpg
Forrás: ITB
A Wanna Cry tanulságai

Együtt sírt az egész IT-világ

Az egész világon végigsöpört és sokakat térdre kényszerített a Wanna Cry nevű zsarolóvírusos támadás. A szakértők régóta tartottak hasonló IT-s járványtól; a felelősök között van a kódot sokáig saját céljaira használó amerikai ügynökség, az NSA is. A magyar vállalatoknál a régi infrastruktúra régi hibáival találkoznak a szakemberek.

Egy hétköznapi céges tárgyalóban két csillogó szemű, az IT-biztonság legmélyebb berkeiben járatos fiatalemberrel ültem le beszélgetni egy héttel a Wanna Cry zsarolóvírus-pánik kitörése előtt. Aktuális IT-biztonsági kérdéseket feszegettünk, és rákérdeztem, mit szólnak a Vault 7 néven napvilágot látott titkos dokumentumokhoz, mely a CIA nem túl kifinomult hackelési módszereit tartalmazza. A szemben ülő fiatalember – mit sem sejtve, hogy a lényegre tapint – azt válaszolta, hogy a Shadow Brokers kiszivárogtatásai sokkal érdekesebbek, és sajnálja, hogy véget érnek ezek a csomagok, mert nagyon sokat tanultak belőle, szakmailag rengeteget fejlődtek. Egy héttel később a világtörténelem eddigi legnagyobb zsarolóvírusos támadása indult: 150 országot érintett, több mint 300 ezer számítógép esett áldozatául, kórházak bénultak meg, ipari berendezések álltak le, munkafolyamatok szakadtak félbe.

 

Ötéves biztonsági rés

Az NSA, vagyis az amerikai Nemzetbiztonsági Ügynökség munkatársai több mint öt éve fedezték fel a káoszt okozó Eternal Blue kódnevű sérülékenységet. Adatszerző munkájukban pótolhatatlan eszköznek bizonyult, hatásos és lenyomozhatatlan, maga volt a tökéletes fegyver. A kódot ismerő NSA munkatársai tudatában voltak, hogy ha a kód kiszabadulna, káoszt és pusztulást hozna a régebbi rendszerekre. A The Washington Post cikke szerint többször is megvitatták, vajon nem kellene-e a hibát a Microsofttal megosztani, hogy legyen idejük befoltozni a sérülékenységet.

Nulladik nap

A „zero day”, azaz a nulladik napi sérülékenységek jelentik az igazi aranybányát a biztonsági piacon. Mivel a szoftverek, hardverek gyártói erős versenyhelyzetben vannak, sietnek a fejlesztéssel, kivitelezéssel, így nem mindig sikerül tökéletes terméket piacra dobniuk. A friss termékeket szakértők ezrei szedik szét és keresik a hibákat. Amint a hiba megvan, gyorsan cselekednek. Több lehetőség közül választhatnak: maguk használják ki a hibát, saját céljukra; eladják hackereknek a fekete weben; vagy legjobb esetben elküldik az érintett cégek hibavadász programjának. A vállalatok az apróbb hibákért párszáz dollárt, míg a nagyobbakért 30 ezer dollárt is hajlandók fizetni.

Az érintett vállalatok folyamatosan növelik a hibavadász programokban kifizetett díjak összegét, de nem érhetik el az egyébként bűnözői tevékenységből elérhető hasznot. A Microsoft például tavasszal (rövidebb időre) megduplázta a biztonsági hibákért járó jutalmat, 1000–30 000 dollárt (280 ezer–8,4 millió forintot) ígérve értük. A redmonti óriás az Office 365 termékcsaláddal kapcsolatos hibákra összpontosított. A Google szerényebben, de állandóra emelte a kifizetendő összegeket ugyancsak március elején, ők is a webes foltokat keresik. A vállalat adataiból az is kiderült, hogy 2016-ban 3 millió dollár (840 millió forint) jutalmat fizetett ki biztonsági hibák feltárásáért, ebből az összegből a legtöbb kínai, amerikai, indiai és német hibavadászoknak ment (a magyaroknak szerény 9 ezer dollár – 2,5 millió forint – jutott).

 

Az ügynökség érdeke győzött, a kód maradt a kevesek kiváltsága. Egészen addig a napig, amíg a Shadow Brokers nevű hackercsapat azzal nem fenyegetőzött a webes alvilág fórumain, hogy komoly sérülékenységeket hoznak napvilágra. Az NSA vette az üzenetet és szólt a Microsoftnak, mire készüljön. A szoftvergyártó márciusi biztonsági frissítéseiben már befoltozta a hibát. Ezzel azonban még nem rendeződött a helyzet, hiszen nem mindenki telepíti azonnal a frissítéseket; a már nem támogatott, ipari környezetben elterjedt XP-rendszereken még megvolt a hiba.

Majd a Shadow Brokers nemcsak a sérülékenységet tette közzé, hanem azt a kódot is, amellyel ezt a hibát bárki kihasználhatta. Az Eternal Blue segítségével bárki könnyedén bejuthatott a nem védett rendszerekbe. A Wanna Cry támadást elindító hackerek két extra dolgot építettek a kódba: a rendszerekbe zsarolóvírust juttattak be, mely rendkívül gyorsan tovább terjedt. A Microsoft ebben az esetben példásan helytállt, mikor a több éve nem támogatott Windows XP-re is kiadott egy sürgősségi hibajavítást.

 

Zsarolópénz államkasszába?

A szakemberek az észak-koreai hackereket vélték felfedezni a támadás mögött, mely kórházakat bénított meg Nagy-Britanniában: műtéteket kellett átütemezni, más intézményekbe irányították át a betegeket. (Helyi beszámolók szerint az egyik érintett intézményben, amikor a lift nem a kívánt irányba indult el, minden utas hangosan felkacagott, mikor azt mondta valaki: „Meghackelték!”) De parkolóautomaták álltak le, pénzkiadó ATM-ek lettek használhatatlanok.

Petrányi-Széll András, a G Data kommunikációs vezetője szerint is valószínűsíthető, hogy olyan jogi környezetben működő hackerek állnak a támadás hátterében, ahol nem kell tartaniuk a hatóságok szigorú ellenőrzésétől, megtorlásától. Ha Észak-Korea eldöntené, hogy zsarolóvírusos támadásból származó pénzzel szeretné az amúgy igencsak hiányos kincstárát valutával feltölteni, akkor annak semmi akadálya. Egyébként meg igen nehéz minden kétséget kizáróan megállapítani a támadók kilétét.


 

Ki a felelős?

A támadás kapcsán nagyon hamar felmerült az a kérdés, ki a felelős a zsarolóvírus okozta károkért. Az egyik kézenfekvő felelős a Microsoft lenne, aki a hibás kódot gyártotta. A vállalat azonban egyrészt jóvátette a hibát annak gyors javításával, az XP-s rendszerek frissítésével. Másrészt szinte képtelenség hibátlan kódot gyártani. A szoftveróriás elnöke, Brad Smith egy blogbejegyzésben hárított, mondván, a technológiai cégek ügyfeleikkel együtt felelősek a támadásért.

Nagyon gyorsan az NSA-ra, vagyis az amerikai Nemzetbiztonsági Ügynökségre mutogatott mindenki. Petrányi-Széll András szerint az NSA azért is felelős, mert a

felfedezett hibát saját magának tartotta meg, saját céljaira használta fel és nem adta át a Microsoftnak, hogy idejében kijavítsa. Az ügynökség továbbá azért is felelős, mert a hibát nem őrizte megfelelően, így az a kiberbűnözők kezébe kerülhetett.

Minden egyes államnak tudomásul kellene vennie, hogy az IT az alapinfrastruktúra része. Az erőforrások elosztásánál a hatóságoknak figyelembe kellene venniük, hogy ennek az alapinfrastruktúrának a fejlesztésére, a szinten tartására az egészségügyben, az oktatásban is költeni kell.

 

Régi hibák reneszánsza

Noha még a Wanna Cry járvány előtt ültünk le beszélgetni a Silent Signal biztonsági szakértőjével, Varga-Perke Bálinttal, és a cég vezetőjével, Szabó Péterrel, a vírus terjedésének okaira is adtak válaszokat a szakemberek. Neveket nem említve mondták, hogy több esetben tapasztalják az új ügyfeleknél, hogy a tizenéves hibák, melyekre már rég létezik hatékony védelem, még mindig jelen vannak és veszélyeztetik a vállalat működését. Hiába minden gyártói hibajavítás, ha azt nem teszik fel a működő operációs rendszerre, nem frissítenek.

A szakemberek gyakran találkoznak olyan régi rendszerekkel, melyeket képtelenség kiváltani egy újabbal. Ebben az esetben annyit tudnak tenni, hogy körbebástyázzak a meglévő IT-megoldást modernebb védelmi megoldásokkal, és minél inkább izolálják a hálózat többi részétől. Szabó Péter szerint egyébként a vállalatoknak nem a telephelyükön végrehajtott „social engineering” típusú támadásoktól kell félniük, hanem a távolról indított, adathalász jellegűektől. Ugyanis a bűnözőknek is sokkal kényelmesebb és egyszerűbb, ha otthonról, távolról, elfedett IP-cím mögé bújva indítanak támadást a vállalat ellen. Ha az irodába szeretnének fizikailag bejutni, hogy egy számítógéphez hozzáférve szerezzenek adatokat, akkor sokkal nagyobb a lebukás veszélye, sokkal nagyobb kockázatnak vannak kitéve, hiszen már minden iroda előtt van legalább egy kamera, amely mindent rögzít.

A Shadow Brokers hekkercsoporthoz hasonló kiszivárogtatások a biztonsági szakemberek szakmai fejlődése szempontjából is igen érdekesek. Ezeket a hibákat ők is igyekeznek reprodukálni, így ha egy ügyfél IT-rendszerét vizsgálják, akkor tudják, mit és hol kell keresni. Amint megtudják, milyen rendszereket használ az adott vállalat, máris van sejtésük arról, milyen hibákkal találkozhatnak. És sajnos, nagyon sok esetben tippelnek jól – kevés az a cég, ahol minden biztonsági rést befoltoztak.

 

Kevesebb a nulladik napi sérülékenység

Az elmúlt években lassan, de csökkent a nulladik napi sérülékenységek száma – derül ki a Symantec évente elvégzett kutatásából. A vállalat szakértői szerint a stagnálás annak tulajdonítható, hogy a hibavadász programok már vonzó összegeket ajánlanak ahhoz, hogy sokan foglalkozzanak hivatalosan is hibavadászattal. A vállalatok is fejlődnek, a szoftverfejlesztés is egyre profibb módszerekkel történik, sokkal nagyobb a hangsúly a biztonságos kódoláson.

 

A hetedik páncélszekrény

Elenyésző volt a hatása, de az információbizonsági történelem szempontjából érdekes a Julien Asagne nevével fémjelzett Wikileaksen történt kiszivárogtatás is. Március elején jelent meg a Vault 7-es nevű, 8761 fájlt tartalmazó dokumentumcsomag, mely a CIA, 2013–2016 között használt támadási módszereit tartalmazza. Az amerikai titkosszolgálat a nagyközönség által már nehezebben kivitelezhető, gyakran a kiszemelt célponthoz fizikai hozzáférést is igénylő módszereket használt többnyire. Ilyen például a brit titkosügynökséggel, az MI5-val közösen kifejlesztett Weeping Angel, vagyis „zokogó angyal” nevű eszköz, mely a Samsung okostévéit célozta meg – a gyártó azóta javította a hibát. A módszer lényege, hogy a tévéhez fizikailag hozzáférő ügynök egy kódot telepített az eszközre. Ha az ember ránézett a tévére, azt látta, hogy az ki van kapcsolva, holott be volt kapcsolva és minden, a szobában elhangzó beszélgetést rögzített és továbbított a készülék.

A mobileszközökkel egy külön részleg foglalkozott az ügynökségen belül. Annak ellenére, hogy az iPhone csupán 14-15 százalékos piaci részesedést mondhat magáénak, erőteljesen fókuszáltak az almás eszközökre – talán azért, mert ez az eszköz a politikusok, vállalatvezetők, vagyis az elit kedvenc márkája. Nyilván a szórásból az Androidos eszközök sem maradhattak ki. Az viszont a szakembereket is meglepte, hogy a relatív ritka, ipari környezetben használt Scada-rendszerekhez is volt eszközük.