Milliószámra születnek a rosszindulatú kódok. Gigabájtnyi adatokat lopnak el a legvédettebb hálózatokból is. Nemrég kiderült, hogy az amerikai elektronikus választási rendszerekbe is benézhettek az oroszok. Erőműveket állítanak le, városrészek borultak már sötétbe hekkerek miatt. A kiberbűnözők és a versenyző nemzetállamok egyaránt ráfeküdtek a kiberkapacitásaik rohamos bővítésére. Hol tartunk mi, hol tartanak ők?
Az elmúlt időben az amerikai választások esetleges orosz befolyásolása kapcsán rengeteg információt szivárogtattak ki az illetékes hivatalokból. A 2016-os év eseményeit feltárni igyekvő James Comey FBI-igazgatót Trump kirúgta, ezzel azonban csak újabb lendületet adhatott a kiszivárogtatók lelkiismeretének, akik pedig attól tartanak, hogy az elnöki adminisztráció éppen el akarja tussolni az ügyet. Eközben azonban a kiberhadviselés nem állt meg, az elmúlt fél évben is újabb trükköket mutatott be. Nézzük tehát, mire számíthatnak a brit, német és magyar választások kibervédelméért felelős szervek!
A WannaCry néven a médiában is befutott zsarolóvírust igazából már vártuk. A kiberbiztonsággal foglalkozó szakértők, vírusirtó cégek tavaly óta jósolták, hogy 2017 a zsarolóprogramok éve lehet. Miközben a WannaCry által fertőzött gépek száma a több százezret is elérheti, a hekkerek bevétele ehhez képest meglehetősen alacsony maradt: a fertőzés harmadik napján alig több mint kétszázan fizettek, körülbelül 50 ezer dollárnyi bitcoin értékben.
A valódi kérdés nem is az, hogy hány fertőzés történt, hanem az: kik voltak elég felkészültek, kik úszták meg a támadást, és miért. Miközben a német metró körül, a jegyautomatáknál leállást okozott, a brit kórházakban komoly fennakadás történt, és még Moszkva is elismerte minisztériumi szintű kitettségét, az amerikai szövetségi kormányzat elkerülte a fertőzést. Végső soron ismert volt a hiba, amelyet kihasználtak a hekkerek, és ez az eset is megmutatta, hogy aki komolyan veszi a karbantartást, az sok kockázatot elkerülhetett.
Sok új elem tehát nincs a WannaCry-történetben. Hol van akkor az újdonság a kiberfrontokon 2017 tavaszán? Többek közt a GlobSecen, a Pozsonyban tizenkettedik éve megrendezett biztonságpolitikai konferencián is erre keresték a választ.
A Time magazin írta meg részletesen, hogy a feltehetőleg orosz titkosszolgálatok által koordinált személyiséglopó akció milyen szinten tart: márciusban jelentették az amerikai szolgálatoknak, hogy közel 10 ezer, fertőzött linket tartalmazó emailt küldtek ki a Pentagon különböző dolgozóinak. A cél többek közt az volt, hogy az emailekben szereplő linkre kattintva a felhasználók Twitter-fiókja felett át tudják venni a kontrollt. Ehhez hihetetlenül kifinomult, teljesen személyre szabott emaileket küldtek ki, tehát a közösségi médiából és egyéb anyagokból alaposan profilozták az áldozatokat. Mindenki a saját érdeklődésének megfelelő kamulevelet kapott, ki-ki az Oscar-díjról, vitorlázásról, vagy épp barbecue szószokról.
Eddig is történtek alkalmi szinten, politikust, nagykövetet érintő Twitter- vagy Facebook-fiókot elrabló műveletek. (Ilyenkor ugyebár nem fake accountot hoznak létre a döntéshozó nevével, hanem az eredeti, saját fiókját szerzik meg egy időre.) Az viszont, hogy tízezres nagyságrendű fenyegetést kapjon a Pentagon állománya, egész más dimenziókat jelent. Gondoljunk csak bele, hogy egy kritikus nemzetbiztonsági pillanatban – katasztrófahelyzet, terrortámadás, Trump elszólása – egyszer csak több tucat vagy akár több száz Pentagon-dolgozó közösségi üzenetei kezdenek el összehangoltan álüzeneteket ontani! Elképesztő káoszhoz, rosszabb esetben akár erőszakhoz is vezethet egy ilyen akció.
A személyiséglopásokkal tehát ott tartunk, hogy ezeket már nemcsak egyéni haszonszerzésre használják, hanem az információs bevetések nemzetállami eszközévé váltak. Nem pusztán zsarolási potenciál miatt néznek bele a fontos emberek vagy a környezetükben dolgozók, családtagok inboxaiba: ahogy látható, a hekkerek ugyanúgy adatgyűjtést végeznek, mielőtt lecsapnak.
A titkosszolgálatok pedig már az információs hadműveletekben készülnek arra, hogy használják ezt az új tömegfegyvert.
Mások még a legalitás határán belül használják a népesség nagy részét – a nyugati országokban tényleg – lefedő közösségi hálózatokból kibányászható információt.
A Cambridge Analytica és az elnökválasztási kampány online részét koordináló Jared Kushner (Trump veje) egész biztosan hozzájárult ahhoz, hogy Trump nyert. Elképesztően hatékonyan targetált közösségimédia-kampányt tudtak folytatni, ehhez pedig megcsinálták a profilozást ugyanúgy, mint bármely alaposabb hekkercsapat – erről maga Kushner számolt be még egy őszi Forbes-interjúban. A kampány közepe táján egy titkos, közel százfős, a Szilícium-völgybe telepített csapatot hoztak létre, amely tolta a Trump-kampány valódi nehéztüzérségét a közösségi médián, online felületeken keresztül. Egész addig elmentek, hogy
a migrációellenes üzenetek esetében például lemérték, hogy az egyik leghatékonyabb módszer, ha azokat a népszerű Walking Dead című sorozat nézőinek vetítik.
A Facebook mint legnagyobb közösségi médiafelület pedig ebben alaposan érintett. A cég április 27-én adta ki az első érdemi belső jelentését, amely az információs műveletek és a Facebook kapcsolatával foglalkozott. Mondhatjuk, nem kapkodtak, hiszen ehhez képest az amerikai szolgálatok hónapok óta erről szajkóztak, és Hillary Clintonnak is egyre határozottabb a véleménye erről. Ennek ellenére a 13 oldalnyi Facebook-jelentésben az „Oroszország” szó még csak nem is szerepel. Az viszont azóta kiderült, hogy a francia elnökválasztásra már rengeteg – alighanem robotok által létrehozott vagy üzemeltetett – fake accountot töröltek, nehogy azok „amplifier”-ként tovább tudják hangosítani az álhíreket terjesztő posztokat. A Facebook bejelentőfelületet is működtetett, több száz bejelentést kaptak gyanús online anyagokról.
Csakhogy ezekkel a cég nincs könnyű helyzetben. Minden szolgáltató meg akarja úszni, hogy neki kelljen eldönteni, mi számít fake newsnak, mivel néhány evidens eset mellett sokszor vékony a határvonal. Például vannak viccoldalak, mint itthon a Hírcsárda, amiket mégse kellene kiszűrni, de az még kínosabb lenne, ha néha valódi politikai üzeneteket minősítene hamisnak egy algoritmus. A hatóságokkal is alakul a konfliktus: arról szól a csata, hogy vajon a Google és a Facebook tekinthető-e vagy sem klasszikus médiafelületnek, hiszen a híroldalaknak egész más, alapvetően szigorúbb törvényeknek kell megfelelniük mindenütt, mint a hivatalosan csak a tartalmat tovább osztó közösségi felületeknek.
Hogy a személyes Facebook-felületen megjelenő válogatott posztok végső soron szerkesztési munka eredményének tekinthetők-e vagy sem, arról komoly vita folyt a GlobSec kerekasztalain is.
Az, hogy a piaci szereplők és az ellenséges titkosszolgálatok kihasználják a fenti bizonytalanságokat, nem meglepő dolog. De vajon mi itt az euroatlanti térségben mennyire vagyunk felkészülve, ha a saját online hálóinkon jönnek ellenünk más, harmadik államok szervei?
Erről a Bundestag, a német parlament informatikai rendszerének 2014-es feltörése állít elénk rémisztő példát. A fertőzött emailekkel operáló orosz technika itt is hatékony volt: azt akarták elérni, hogy minél előbb adminisztrátori – tehát legmagasabb szintű – jogosultságot nyerjenek a belső informatikai rendszerhez. Ez végül néhány napon belül sikerült is feltehetőleg az orosz katonai felderítés, a GRU embereinek. Segítette őket, hogy a német szervezeti struktúra olyan pechesen alakult, hogy a kormányzati védelem magas szintje a parlamentre – mint másik hatalmi ágra – még épp nem terjedt ki 2014 májusában, amikor ez az akció zajlott.
Az elkövetők olyan apróságra is figyeltek, mint hogy a május elseje előtti napon támadtak, mert tudták, hogy a rákövetkező nap munkaszünet lesz, és így legalább 24 olyan óra állt rendelkezésükre, amíg alig van informatikus, aki kiszúrhatná, hogy gyanús adatforgalom zajlik. Végül két hétbe telt, mire észrevették a megfelelő szervek, hogy milyen komoly fenyegetéssel állnak szemben. Csakhogy addigra több, fontos pozíciót betöltő képviselő dokumentumait és levelezését is letöltötték a hekkerek.
Ami igazán félelmetes, hogy három éve Németországban a kormányzat – a Die Zeit riportja szerint – akkor körülbelül tizenöt emberrel rendelkezett a kiberbiztonságért felelős szerv, a BSI részéről, akik bevethetőek voltak hasonló esetekben. Belőlük ráadásul mindössze három főt delegáltak az inkriminált májusi napok elején a Bundestagba. Végül külsős csapattal és más szakértőkkel kiegészülve, a teljes rendszert kihúzva a konnektorból, majd lassan visszaépítve, hosszú napokig tartott a helyreállítás.
Az sem kizárt, hogy az akkor ellopott adatok majd a mostani német választási kampányban fognak valahol kiszivárogni.
Németország a tanulságok levonása után két dolgot lépett meg. Egyrészt a kiberbiztonsági kormányalkalmazottak számának drasztikus emelését, ezres nagyságrendekben. Másrészt a törvényhozás óriási munkába fogott, hogy hogyan lehet egy jogállamban az ilyen eseteket kezelni: elvégre békeidőben, egy másik ország katonai titkosszolgálata támadta meg a kormányzati infrastruktúrájukat.
Az akkori kormányzati válságülésen az a kérdés is felmerült, hogy vajon milyen retorzióval lehet élni. Ez az a problematika, amelyen a mai napig aktívan dolgoznak a szakértők, technikusok és a katonák, hogy a megfelelő szintre kalibrálják az úgynevezett offenzív kapacitást, vagyis azt az informatikai részleget, aki nem a védelemre koncentrál, hanem képes lehet a hekkert meghekkelni, adatokat visszalopni vagy megsemmisíteni, szervereket leállítani és adott esetben a felderítésben is részt venni.
Csakhogy amikor a német Alkotmányvédelmi Hivatal (BfV) részéről elhangzott, hogy ez a kapacitás legyen a BfV-hez telepítve, akkor hirtelen a többi szerv is felébredt, és beszállt a versenybe az új területért, az ezzel járó pénzért és befolyásért, kormányzati kapcsolatért. Miközben úgy tűnik, hogy alapvetően sok országban létezik egy erős katonai titkosszolgálati vonal a kibervédelem területén – a polgári szolgálatoktól a rendőrségen át az ügyészségi nyomozókig, a rendvédelem többi alakulatáig (itthon például a TEK) –, sok helyen felmerül a kérdés, hogy hosszú távon offenzív kapacitással rendelkezzen-e.
Míg régen egyértelmű volt, hogy a fegyverkezés a katonák feladata, és ha háború van, akkor azon a területen a katonák az urak, a kiberháború messze nem ilyen egyértelmű határokkal rendelkezik.
Ráadásul a hibrid hadviselés lényege, hogy megelőző és folyamatos információs hadviseléssel könnyítse meg a valódi katonai lépéseket. Ukrajnában is évek óta épült az orosz média és titkosszolgálatok segítségével a felfokozott hangulat, és ez a teljes pályás intézkedés eredményezte, hogy végül elengedő volt csak néhány zöld emberkét bevetni, és hogy őket kellően hosszú ideig valódi lázadónak lehetett beállítani – ami pedig az ukrán felet bénította meg, hiszen nem mondhatta ki, hogy hagyományos háborúba keveredett. Sőt, ez a mai napig nem történt meg. Mindez azonban nem alakulhatott volna így a rendkívül hatékony orosz információs műveletek, médiatámogatás és társai nélkül.
Vajon egy ilyen esetben lehet-e hatáskört adni nem katonai szerveknek, hogy offenzív kapacitással bírjanak? Egy egyszerű dilemma: a hekkerek tipikusan nem közvetlenül a saját országaik szervereiről indítják a támadást, hanem sok kört téve, más országokból. Ha Berlin elhatározza, hogy a számára látható egyik szervert ellehetetleníti, lehet, hogy végül épp egy indiai vagy más szolgáltatónál futó szervert ér német támadás. Nehéz ugyanis a hagyományos jogi értelemben százszázalékosan bizonyítani egy hekkertámadás eredetét, hogy pontosan mely gépről érkezett. Más példával: a rendőr sem megy át egyik országból a másikba csak úgy, ha épp egy nyomozás szálai oda vezetnek, mivel az ilyen ügyekhez komoly protokollok tartoznak.
A kiberhadviselésben viszont azonnali válaszokra van szükség. A szervert azonnal érdemes leállítani, amikor látszik, hogy az adott német parlamenti képviselői adatai elindulnak az éterben. Ahogy az is biztos, hogy a kiberháború és a stratégiai kommunikáció (StratCom) 24 órás műfajok lettek. Emmanuel Macron csapatának több gigabájtnyi emailjét percekkel a kampánycsend beállta előtt töltötték fel a netre, ilyenkor muszáj rögtön reagálni. De bármely fake Twitter-cunamit is ott helyben kell kezelni, válaszolni, leállítani: nincs idő arra, hogy felébredjen a miniszter vagy illetékes elvtárs, és a több óra alatt összeállított jelentést mérlegelje. Ahogy annak idején, a hidegháború alatt egy atomtámadás viszonzásának eldöntésére is csak percek álltak volna rendelkezésre.
A kiberhadviselés valahol kezd erre a nukleáris műfajra hasonlítani: delokalizált módon kellene gyors, potenciálisan a világ sorsát befolyásoló döntéseket hozniuk a kiberbiztonság és -védelem embereinek. De annak elkerülésére, hogy újabb Dr. Strangelove-okat teremtsünk ezzel, a jogászok, törvényhozás, szakértők és informatikusok komoly együttgondolkodása lenne szükséges.