Nyáron végigszaladtunk Budapesten, hogy megkeressük a gyenge gyári jelszó miatt védtelen wifi hotspotokat, és akkor még nem sejtettük, hogy a világ egyik legnagyobb túlterheléses – DDoS – támadásában ugyanilyen hibát fognak kihasználni a hekkerek.

A támadók több tízmillió sérülékeny webkamerára telepítették fel a saját kódjaikat, hogy távolról tudjanak utasításokat adni az internetre csatlakozó eszközöknek. Rájöttek ugyanis, hogy a gyári felhasználónév és jelszó mindegyik kamerán ugyanaz, és így elég könnyű volt kívülről belepiszkálni a milliónyi különböző földrajzi helyre telepített webkamerák rendszerébe. Tulajdonképpen egy botnetet hoztak létre, hogy összehangolt támadást tudjanak indítani a kiszemelt áldozataik ellen.

A pénteki DDoS-támadás miatt többek közt a Pinterest, a Spotify, a Playstation Network, a Twitter, a Reddit, a GitHub, az Etsy, a Tumblr és a PayPal órákon át elérhetetlen volt. A hekkerek egy olyan központi szolgáltatót vettek célba, amelytől mindegyik említett cég igénybe vesz szolgáltatásokat.

Érdemes azonban már most eljátszani azzal a kellemetlen gondolattal, hogy ezek a hekkerek egy napon esetleg úgy ébrednek fel, hogy nem a fent említett webes cégeket veszik célba, hanem mondjuk Magyarország teljes online infrastruktúráját.

Valaki éppen azt tanulja, hogy miként lehet leállítani az internetet

– ezt írja blogján Bruce Schneier, a több évtizedes tapasztalattal rendelkező iparági veterán. Azt is felveti, hogy az infrastruktúrát megbénító túlterheléses támadások növekvő összetettsége, kifinomultsága és gyakorisága miatt nagyon valószínű, hogy valamilyen állami szereplő, egy ellenséges nemzet kiberháborús egysége áll az esetek mögött.

Pontosan nem tudni, hogy ki áll a támadások mögött, a sejtéseinket csak valamelyik nagy (és komolyan vehető) titkosszolgálat tudná megerősíteni. Túl könnyű ugyanis álcázni a támadó kilétét, és másra terelni a gyanút, szóval elég komoly felderítő hálózat kell ahhoz, hogy megtalálják a valódi elkövetőt. Jó példa erre a mostani eset, hiszen mint kiderült, akár amerikai állampolgárok által használt eszközök is támadást intézhetnek az Egyesült Államok ellen. A meghekkelt eszközöknek szánt parancsot pedig a világ bármely pontjáról kiadhatják.

A tavaly a BBC-t lelövő, New World Hackers nevű formáció magára vállalta a pénteki esetet, de ezt független források még nem erősítették meg, és az infóbiztonsági szakértők egyszerű imposztoroknak tartják őket.

Szeptember végén is volt már egy hasonló támadás, akkor egy informatikai biztonságról író szakértő, Brian Krebs weboldalát tették elérhetetlenné a kamerákból álló botnettel. Másodpercenként 620 gigabájtnyi forgalmat tereltek a weboldalára.

Verseny az IoT-ért

Most két kártékony program dolgozik azon, hogy minél több internetre kötött (IoT) eszközt megfertőzzön és botnetbe szervezzen. Az egyik a Bashlight, a másik pedig a pénteki támadásért is felelőssé tett Mirai.

A Mirai forráskódját október elején nyilvánosságra hozta egy önmagát Anna-Senpai néven azonosító hekker, tehát a kártékony program innentől szabadon terjeszthető és módosítható. A Mirai és az Anna-Senpai név is a japán Shimoseka című animesorozatból származik, amely a jövőben játszódik, és a történet főhősei az erkölcsrendészetnek dolgoznak. Maga a Mirai szó azt jelenti: jövő.

A botnethez tartozó kód elvileg eltávolítható, de a szakértők szerint csak percek kérdése, hogy az eszközeink újrafertőződjenek.

Még ha nem is ismerjük a támadó kilétét, nagyon fontos, hogy erről a problémáról mindenki értesüljön, és tegyen ellene. 

A gyári jelszó egyszerűsége önmagában is elég nagy baj, és a kínai kameragyártó cég, a Hangzhou Xiongmai elismerte a hibát. A támadás kivitelezéséhez azonban a felhasználók hozzá nem értésére is szükség volt.

Megfelelő, azaz elég bonyolult és egyéni felhasználónév-jelszó páros szükséges a minimális védelemhez, és minden egyes internetre csatlakozó eszköznél, legyen az tévé, mosógép, wifi router, okos termosztát, távirányítható konnektor, nyomtató, számítógép vagy okostelefon, gondoskodni kell a védelemről, hogy idegenek ne férjenek hozzá semmihez.

A mostani támadáshoz elég volt körülbelül 10 millió sérülékeny eszköz, de az iparági megmondóemberek azt jósolják, hogy 

Ez a lenyűgöző szám, amitől az ipar és úgy általában a társadalom működésének javuló hatékonyságát várják a szakértők, egyszeriben a világ legnagyobb időzített bombájává vált. Eddig csak amiatt aggódtunk, hogy a hekkerek által feltört okostermosztátok esetleg ránk gyújtják a lakást. Az már bizonyított, hogy az okos háztartási gépeken is futtathatók zsarolóvírusok, amelyek mindaddig blokkolják a hozzáférést, amíg nem fizetünk váltságdíjat, szóval ez a félelmünk sem teljesen alaptalan. 

Az ilyen egyéni kellemetlenségek, vagy esetleg tragédiák azonban eltörpülnek amellett, amit a botnetekbe szervezett milliónyi eszköz okozhat egy kritikus infrastruktúra megtámadásával. Közlekedési társaságok, állami rendszerek és közműszolgáltatók is áldozattá válhatnak. A kérdés tehát az, hogy az eszközök után az embereket is okosítjuk-e, vagy hagyjuk, hogy mindenki beálljon kiberterroristának ?