2020-12-21 Német János 1.678 487 Technológia
7:16 perc
A napokban olvastam egy részletes cikket a Telex oldalán az alábbi címmel "Minden idők egyik legsúlyosabb kibertámadása rázza meg Amerikát". Összefoglalva arról szól, hogy meghackelték az Egyesült Államokban működő SolarWinds nevű rendszerét, aki kormányzati és ipari beszállítóként működik.
A SolarWinds USA ügyfelei közé tartozik a tíz legnagyobb telekommunikációs vállalat, a katonaságnak mind az öt ága, több minisztérium és kormányügynökség, a NASA, a CDD, az NSA, a posta, a hadiipari beszállítók, a nukleáris fegyvereket fejlesztő Los Alamos Nemzeti Laboratórium, az öt legnagyobb könyvvizsgáló cég és a Fortune 500-as lista 425 szereplője. Szóval nem csekély partneri arzenálról beszélünk.
A hackerek egy ideig észrevétlenek tudtak maradni, ugyanis a támadók a cég Orion nevű hálózatfelügyeleti szoftverének frissítéseibe férkőztek be, és ezen keresztül hosszú hónapokon át hozzáférhettek a programot használó kormányzati intézmények és vállalatok hálózataihoz is. Így közel 18.000 céghez juthattak el, ami nem kevés szám.
Hogy kik voltak, azt még nem tudják. Az oroszokra gyanakodnak, de Donald Trump a kínaiakat tartja felelősnek. Az is lehet, hogy rejtély marad, ahogy lehet az is, hogy mihez férhettek hozzá. Ennek kivizsgálása nemhogy hónapokba, de évekbe is belekerülhet. Márpedig egy ilyen szintű támadás esetében a másodpercek is számítanak. Az tuti biztos, hogy az NSA (National Security Agency - Nemzetbiztonsági Ügynökség) most gőzerővel rajta van az ügyön.
Az USA kormányzata még 15 éve felvértezte magát egy Einstein nevezetű programmal (találó a név szerintem), amely a hackertámadások elleni kibervédelemre hivatott. Bár menet közben fejlesztették, de az elmúlt években elhanyagolták. Annyira, hogy a szoftver jelenleg csak az ismert kártevőket és módszereket képes azonosítani.
Így nem meglepő, hogy eme támadás simán áthatolt az Einsteinen. Ami további érdekesség, hogy mostani állás szerint 2022-ben tervezik a rendszer továbbfejlesztését. A kérdés, hogy ezek után ki akarna várni addig? Ha érdekel a téma, mindenképp érdemes itt elolvasnod a cikket. De előtte olvass tovább, ahol leírom, hogy én hogyan vélekedek a kiberbiztonság témáról.
Ezt a cikket nem megoldásnak szántam, hogy miként védekezzünk az online térben. Inkább gondolatébresztőnek, hogy mennyire védtelen lehetünk, vagy már vagyunk?! Magáról a védekezésről később tervezek egy külön cikket írni, amihez segítségül hívok egy etikus hackert is.
1. Az új arany, az adat. Ezzel szerintem nem mondok újat, hiszen ez már hosszú évek óta így van. Számos felhasználó rendelkezik a számítógépén, vagy okoseszközén tárolt információval, amivel zsarolható, vagy mások számára pénzzé is tehető.
2. Kétfajta weboldal létezik: Az egyik, amit még nem törtek fel, de felfogják, míg a másikat már feltörték. Ezt nem érdemes megcáfolni, mert tényekről beszélünk. Biztosan lesznek akik felháborodnak azon amit most írok, de szakértelem nélkül ne telepíts WordPress CMS-t (vagy Joomla, Drupal - a WordPress itthon a legismertebb) weboldalt és kattintgasd össze magadnak. Ez egy open source keretrendszer, amit azt jelenti, hogy ingyenes és nyílt forráskódú, aminek minden egyes porcikáját bármilyen programozó megismerheti. A hackerek előszeretettel bányásznak az ilyen rendszerekben, mert az alap beállításokat használva és biztonsági intézkedések nélkül könnyen áldozattá válhatsz.
3. Mindenki sebezhető, még az USA is. Lásd a jelen cikket is ezért írtam. Sajnos világszinten akkor szoktak a biztonsággal foglalkozni, amikor már megtörtént a baj.
4. A kibertámadások elleni védelem és az etikus hackerek szerepe már eddig is nagyon fontos volt. A fehérkalapos, vagy más néven etikus hacker "harcol a rosszak ellen", akiket szoktunk feketekalapos hackereknek is nevezni. Az egyik félnek a védelem a célja, míg a másiknak a támadás, rosszabb esetben a rombolás. Mindkettő sebezhetőséget keres, csak más célokkal.
5. Biztonságban vagyunk-e, amint az internetre csatlakozik a digitális eszközünk és kommunikál több alkalmazással, adatbázissal? A válasz sajnos egyszerű (legalábbis nekem szakembernek). Ennek ellenére természetesen nem szabad rögtön a legrosszabbra gondolni, csak be kell tartani az alap szabályokat.
Láttad a Snowden című filmet? Megtörtént esetet mutat be az NSA egyik volt programozójáról, aki most Oroszországban kapott menedéket Putyintól, ugyanis kiszivárogtatta amerikai újságíróknak, hogy az amerikai kormány a világon bárkit képes megfigyelni. Tovább nem spoilerezek, mindenképp érdemes megnézned. De ha már igaz történetek, akkor a nemrég kiadott Társadalmi dilemma című filmet se hagyd ki, amelyet ha jól tudom, csak a Netflix-en tudsz megnézni. Ez a közösségi médiáról szól, illetve arról, hogy miként befolyásolja pl. a Facebook a begyűjtött adatainkkal a mindennapi életünket, amire mi adtunk neki engedélyt azzal, hogy ingyenesen használhatjuk.
6. Egy hacker többnyire nem adott céget szemel ki, hanem algoritmusokkal folyamatosan pásztázza a kiskapukat. Egy nyitott hálózati port, egy jelszó nélküli hálózati beállítás, illetve bármi, ahol bejuthat. Nem is gondolnánk, hogy hány olyan alap lehetősége van, amire nem figyelnek az átlag felhasználók. „Velem úgy sem történhet meg, nem foglalkozom ezzel”, szokott elhangzani. Nem az számít neki, hogy te ki vagy, hanem olyan adatokat keres, amit felhasználhat ellened. Népszerűek az olyan támadások, ahol kriptovalutában (nem lehet lenyomozni a kiberpénz vándorlását) kérik, hogy fizess, ha nem akarod, hogy kiadják az adataidat. Ebben persze vannak átverések is, mert lehet, hogy valójában csak SPAM-ed érkezett.
7. A GDPR (EU-s általános adatvédelmi rendelet) bevezetése nem csak a cégek közötti adatvédelemről szól, hanem a magánszemélyek adatainak és digitális lábnyomának védelméről egyaránt. Sajnos a hazai KKV szektorban még mindig kevesen foglalkoztak a témával, amivel főként az online megoldásokra és weboldali átalakításra gondolok. Ugye ehhez is pénz kell, márpedig amíg nem jelentik fel az adott céget, úgy vélik nincs gond. Sajnos elég rossz hozzáállás.
8. Mint tudjuk az oktatásból több minden hiányzik, de a digitális jóléthez a biztonságos online használatot is tanítani kellene. Átlagosan egy 10 éves hazai gyermeknek már van okostelefonja. Rácsatlakozik egy nem biztonságos Wi-Fi hálózatra és nem kell folytassam, hogy milyen gyorsan megtörténhet a baj. Már vannak ingyen is olyan alkalmazások, amelyek a gyermekek online védelmére szolgálnak. Ezen felül egy megfelelő otthoni router (feladata a számítógép-hálózatok összekapcsolása, az adatforgalom irányítása) segítségével otthon is ki tudunk építeni olyan hálózatot, hogy a gyermekünk ne tudjon akaratlanul adott oldalt meglátogatni és esetleg vásárolni. Összefoglalva kiemelendő az otthoni edukáció, a digitális térre való nevelés. Nincs olyan, hogy majd foglalkozunk vele, sajnos, vagy sem, erre is szükség van.
9. A vírusírtó, a tűzfal és trójai faló elleni védelmi szoftverek használatát a mai napig nem veszik komolyan az átlag felhasználók. Valamilyen programot feltelepítenek, vagy feltelepíttetnek és ezzel letudják. Ne bízd rá a szomszéd srácra, hogy telepítsen valamilyen általa gondolt vírusírtót. Az egyik legismertebb NOD32 vírusírtóhoz az éves licencet 17.262 Ft-ért megkapod. Ne spórolj a biztonsággal, hiszen valószínűnek tartom az autódhoz is meg szoktad vásárolni a minőségi- autógumikat és fékrendszert.
10. Az emberek felelőtlenül telepítik az okostelefon alkalmazásokat. Sajnos a Google Play Store és az Apple Store nem minden esetben garancia a biztonságra. Bár a Google és az Apple komolyan figyelik az adathalász appokat, de mégis vannak olyanok, amik átcsúsznak rajta. Másrészt vannak olyan esetek is, amikor az app olyan engedélyt kér a használathoz, amire egyáltalán nincs szükség pl. névjegy hozzáférés. De sokan elolvasás nélkül simán engedélyt adnak a telepítéshez. A kérdés, hogy abba miért nem gondolnak bele, hogy pl. egy állítólagos hírújság app miért kér engedélyt a tárhelyen levő fotóinkhoz, ha csak egyirányú a kommunikáció.
11. A kisebb vállalatok jó része nem veszi alapul a magas biztonsági kockázatokat (high security risk), amelyet a szoftverfejlesztési fázis megkezdése előtt kellene megalapozni. Sőtt még valamikor a nagyvállatok sem foglalkoznak vele kellőképp. Itt nem a programozók a hibásak. Hiszen egy bizonyos fejlesztési fázishoz nem érdemes képeznie magát a szoftverfejlesztő cégnek. Jöhet a kérdés, hogy de hát akkor tanulják meg és alkalmazzák. A válasz egyszerű, a megrendelőnek olcsón kell a szoftver. A biztonságos fejlesztés már kisebb projektek esetében is lehet emelten költséges. És hát tudjuk, hogy a biztonság másodlagos szokott lenni, amikor a pénz megspórolása fontosabb. Egy etikus hacker itthoni havi nettó fizetése a 7 számjegyet is elérheti. Ezek után gondolom nem kell arról beszéljek, hogy miért keresnek ennyit a senior IT szakemberek.
12. A Google algoritmusa sem tudja minden esetben meghatározni, hogy egy weboldal adott cikke álhír-e, vagyis átverés-e. Akkor egy átlag felhasználó ezt honnan tudná? Az álhírekről és álhír weboldalakról írtam egy cikket, amit itt olvashatsz.
13. Kétlépcsős azonosítás, vagy más néven kétfaktoros hitelesítés. Sokan nem ismerik, pedig az ismert nagy rendszerekben mint a Facebook, vagy a Google fiókjainkban is beállíthatjuk. Ez annyit tesz, hogy ha olyan eszközről és IP címről lépünk be, ahonnan még előtte sosem, akkor küld egy SMS kódot a telefonunkra, amivel visszaigazolhatjuk, hogy mi használjuk. Vagy az ingyenes Google Hitelesítő appot is használhatjuk mindkettő rendszerhez, ami folyamatosan frissülő belépési számsorkódokat generál. Ha bármilyen szoftveres környezethez kapunk kétfaktoros bejelentkeztetést, akkor mindenképp használjuk, mert az alkalmazásával már egy kellő lépést tehetünk a biztonságunkért.
14. Nem véletlen, hogy 2021. január 1-től a hazai bankok tovább szigorítanak az online kártyás vásárlás biztonságos használatáért. Biztosan te is kaptál már a bankodtól e-mailt, hogy milyen változásokra kell felkészülnöd a bankkártyád online használatához. Az elmúlt időszakban egyre több adathalász visszaélések történtek, amikkel kicsalták egyes kártyatulajdonosok adatait. Ezért is van szükség a folyamatos szigorításokra, amely a mi védelmünket szolgálja.
Tájékozódj alaposan (kizárólag hiteles weboldalakról), kérd ki szakértők véleményét (mint pl. rendszergazda, IT szakember, biztonságtechnikus) és ezek alapján mindenképp tegyél lépéseket az online biztonságodért. Zárásként elárulom, hogy van egy rossz hírem a számodra: nincs tökéletes biztonság.