Mindenki lehet áldozat, egyszerűen nincs ma Magyarországon olyan szervezet, akit ne érinthetne adatszivárgás – vagy érintett is már, csak legfeljebb még nem tud róla.
Ezt a nem túl biztató megállapítást Kocsis Tamás kiberbiztonsági szakértő tette, amikor egy rendezvényen arról beszélt, hogyan tudják a vállalatok akár ingyenes eszközökkel is kiszúrni, ha érzékeny céges adataik bukkannak fel az interneten.
Bár a kiberháború elsősorban az államok játszótere, a kereszttűzben magánvállalatokat is naponta ér találat, így lassan már védekezniük is olyan szinten kell, mintha ők maguk is hadban állnának. Márpedig olyan sok a fenyegetés és olyan sűrűek a támadások, hogy egyre kevésbé elég kizárólag a passzív védekezésre hagyatkozni. Érdemes már előre figyelni a veszélyekre és a kockázatokra, hogy ha baj van, időben és hatékonyan lehessen reagálni.
Ennek a proaktív védekezésnek a lehetőségeit járta körül a Black Cell nevű magyar kiberbiztonsági cég rendezvénye, amelyen előbb Kocsis mutatott néhány bárki által használható alapeszközt az adatszivárgások monitorozására, majd egy neves amerikai biztonsági cég, a Recorded Future szakembere adott betekintést a kiberhírszerzés világába.
A kiszivárgó adatok száma évről évre növekszik. 2017-ben 827 millió adatrekord került napvilágra, majd 2018 szeptemberéig 621 millió, de épp szeptemberben derült ki, hogy a Veeam nevű adatkezelő cég hibájából 445 millió rekord volt bárki által elérhető a neten, így a végső szám év végére bőven átlépte az egymilliárdot – idézte a statisztikákat Kocsis Tamás. Idén már most 7 milliárd felett jár a kiszivárgott adatrekordok száma. Csak a januári Collection #1-5 nevű szivárgásban több mint 750 millió rekord, áprilisban pedig 540 millió Facebook-adat került ki, és lehetne még sorolni a súlyosabbnál súlyosabb eseteket.
Mindenféle adattípus veszélyben van, személyes adatoktól érzékeny fájlokon át szoftverek forráskódjaiig. Csak emailcímből 22 milliárd szivárgott eddig ki, jelszóból 19 milliárd, és 17 milliárd további személyes azonosításra alkalmas információ került illetéktelen kezekbe. 14 millió kártya- és más pénzügyi adat is elérhető különféle fórumokban és máshol közzétett adatbázisokban.
Magyar adatból is akad bőven: orosz fórumokból magyar jelszavak milliói tölthetők le, köztük kormányzati oldalak felhasználóinak adatai is. De feltört magyar weboldalakhoz is fillérekért lehet hozzáférést vásárolni. Egy orosz fórumban például egy magyar kamara oldalához árultak távoli szerverhozzáférést biztosító web shellt 20 dolláros (szűk hatezer forintos) áron – amikor Kocsis meg akart bizonyosodni arról, hogy valóban működik a hátsó ajtó, ezért kapcsolatba lépett a hekkerrel, az illető bizonyítékként kitette a csetelésüket a feltört oldalra. De több más oldalhoz is lehet hasonló hozzáférést vásárolni, a morvaikrisztina.hu például már 4 dollárért elérhető volt.
Ahogy a hekkerekről a legtöbbeknek még ma is a sötét szobában, kapucniban-napszemüvegben a billentyűzeten zongorázó alakok jutnak eszükbe, úgy az adatszivárgásokhoz is a hírhedt darknetet, azaz az internetnek az eldugottabb, csak speciális szoftverrel elérhető részét (például a Tor-hálózatot) társítjuk. Persze a darkneten továbbra is folyik illegális tevékenység, és a kutatók ma is aktívan gyűjtik onnan is az információt, de Kocsis Tamás szerint szakmai körben már ki lehet mondani, hogy a darknet halott. Vannak még olyan szegletei, ahol továbbra is folyik a lopott adatok kereskedelme, de nagyon beszűkült ez a terület, és kevés jó minőségű információt lehet onnan gyűjteni. (Rossz minőségűt annál többet.)
2019-ben a darkneten DEA-ügynökök kínálnak eladásra drogot, amit az FBI-osok vásárolnak meg, akik lopott fegyvereket árulnak a hamis pénzzel fizető CIA-ügynököknek
– érzékeltette némileg sarkítva Kocsis azt a trendet, hogy a még aktív darknetes piacterek 60 százalékát már átvették a kormányügynökségek és fedőakcióként működtetik.
Az aktívabb kiberbűnözés a darknet még mélyebb bugyraiba vonult vissza, meghívásos, több ajánlásos rendszerekbe, ahová csak úgy lehet bekerülni, ha az ember belépőként maga is bedob valamilyen lopott árut. A Tor helyett pedig már inkább a Freenet vagy a – magyar fejlesztésű – Zeronet hálózata kedvelt bűnözői körökben. (Miközben ezeket a hálózatokat természetesen továbbra is sokan használják teljesen legális célra, például a cenzúra megkerülésére.) A nevükben ezek is darknetek, de inkább P2P-elven működnek, mint a torrentezés, azaz közvetlenül a felhasználók között mozog a tartalom. Ezeket a nehézkesebb hálózatokat inkább fájlcserélésre használják a bűnözők, emellett biztonságos csetalkalmazásokon keresztül kommunikálnak.
Másrészt viszont a legmélyebben eldugott területek mellett nagyon sok szivárgásos információ érhető el a clearneten, azaz a szabad szemmel látható interneten; illetve a deep weben, vagyis a szintén egyszerű böngészőből meglátogatható, de zárt fórumokban és meghívásos piactereken.
Megtalálni tehát van mit bőven, és a kutakodást nem valamiféle szuperbonyolult célszoftverrel érdemes kezdeni – hanem a Google keresőjével.
Meglepő lehet, de Kocsis szerint a Google az első állomás, ha valaki mondjuk arra kíváncsi, hogy ellopták-e az adatait vagy egy rossz beállítás miatt szabadon elérhetők-e a céges jelszavai. Persze tudni kell jól keresni.
Már csak attól szívrohamot fog kapni, ha a saját szervezetére a megfelelő módon rákeres, mert szinte biztos talál olyasmit, aminek nem kéne ott lennie.
Jó példa erre a népszerű projektkezelő szolgáltatás, a Trello, amelyben a felhasználók gyakran jegyeznek le érzékeny adatokat, pedig ha nem figyelnek eléggé a beállításuknál, a Trello-kártyákat a Google indexeli, így bárki láthatja a tartalmukat. De a Google Drive-ban tárolt dokumentumok is kereshetők nyilvánosan, ha nem megfelelően állítják be rájuk a hozzáférési jogosultságokat.
A Google-ös manuális keresés azonban csak a nulladik lépcsőfok, hiszen lassú és csak a felszínt kapargatja, így inkább szúrópróbaszerű ellenőrzésre alkalmas.
Az adatszivárogtatás egy része manapság a Pastebinhez hasonló szövegmegosztókon keresztül megy. Ezeken az úgynevezett paste-oldalakon bárki egyszerűen és anonim módon tehet közzé bármekkora szöveges tartalmat, és mint minden ilyesmit, ezeket is egyaránt használják teljesen legitim célokra, na meg lopott adatok, sőt akár kártevők terjesztésére is. Ezekre az oldalakra jellemzően akkor kerülnek fel a kiszivárgott adatok, amikor már nem számítanak frissnek, de olyan szolgáltatások is gyűjtik az itt megjelent adatokat, mint a népszerű Have I Been Pwned.
Kocsis Tamás három olyan ingyenes eszközt mutatott, amelyekkel bárki automatizálhatja a paste-oldalak személyre szabott megfigyelését, hogy azonnal értesítést kapjon, ha az ő vagy a cége adatai felkerülnek valamelyikre. Ezek már csak azért is jól jönnek, mert az ilyen szivárogtatások jellemzően néhány óra alatt eltűnnek az oldalakról, így ha pont nem csíptük el őket, nem szerzünk tudomást arról, hogy közkézen forognak az adataink. A paste-oldalakat monitorozó programok viszont rögtön lementik az adatokat.
Ezek az eszközök azonban csak már közzétett, nyíltan elérhető adatokból dolgoznak, eldugottabb helyekre, regisztrációval védett fórumokba nem látnak be. Ehhez már emberi szakértelemre van szükség, az igazán hasznos információ begyűjtéséhez hekkerközösségekbe kell beépülni – itt jön a képbe az élőerős hírszerzés (Human Intelligence, HUMINT) és a kiberhírszerzés.
A kiberhírszerzés (cyber threat intelligence, CTI) lényege ugyanaz, mint a klasszikus hírszerzésé: információgyűjtés és -feldolgozás döntések megalapozásához. Természetesen állami hírszerző ügynökségek is aktívak a kibertérben, de biztonsági cégek is foglalkoznak kiberhírszerzéssel.
Ők a kiberfenyegetésekről gyűjtenek be különféle forrásokból információt, ebből kihámozva azonosítják a biztonsági trendeket és fenyegetéseket – napvilágra került sérülékenységeket, kiszivárgott adatokat, felbukkant kártevőket, új támadókat –, majd mindezt kontextusba helyezve tálalják az ügyfeleiknek, hogy azok jobban megismerjék és megértsék a rájuk leselkedő veszélyeket.
A cégek és más szervezetek a kiberhírszerzési információk alapján tudomást szerezhetnek arról, hogy ki veheti célba a rendszereiket, ehhez milyen módszereket, eszközöket alkalmazhat, és ezekkel milyen sebezhetőségeket kihasználhat ki. Így előre felkészülhetnek a várható támadásokra, illetve minél gyorsabb és hatékonyabb reakciót adhatnak a már bekövetkezett incidensekre.
A kiberhírszerzés egyre növekvő piac, a ReportsnReports elemzőcég becslése szerint a 2018-as 3,8 milliárd dollárról 2025-re 12,7 milliárdra fog nőni. Ennek megfelelően egyre több cég is kínál ilyen szolgáltatást, például a FireEye, a Talos vagy a Flashpoint, de szinte minden nagyobb kiberbiztonsági cég folytat valamilyen kiberhírszerző tevékenységet a Symantectől a Kasperskyig.
A 2009-ben alapított Recorded Future kifejezetten erre szakosodott, ők csak kiberhírszerzéssel foglalkoznak, és elismert névnek számítanak ebben a szegmensben, az ügyfeleik közé tartozik a Fortune 100-as vállalatok 91 százaléka, illetve kormányzati szervek is. A céget egy hónapja vásárolta fel az Insight Partners befektetőcég 780 millió dollárért (222 milliárd forintért), ezzel többek között olyan korábbi befektetőket kivásárolva, mint a Google-anyacég Alphabet (GV) vagy a CIA befektetési részlege, az In-Q-Tel.
A Recorded Future a legkülönfélébb forrásokból gereblyézi össze az elérhető információt, ezek némelyikét automatizálják, míg másokat kézműves módszerrel (emberi elemzőkkel) dolgoznak fel. Több mint 1500 fórumot, 65 fenyegetés-adatbázist, 50 paste-oldalt, darknetes gyűjteményeket, blogokat, közösségi médiát, kódmegosztó oldalakat figyelnek, emellett speciális keresőmotorokat (például a hírhedt Shodant) használnak, és az ügyfeleik belső információit is felhasználják – mondta el Rob Gregg, a Recorded Future rendszermérnöke, aki szintén ellátogatott az amerikai cég magyar partnere, a Black Cell budapesti rendezvényére.
A cégnél sok amerikai exhírszerző: a CIA, az NSA, belbiztonsági minisztérium (DHS) és a titkosszolgálat (USSS) egykori ügynökei is dolgoznak. Közel kétszáz fős belső kutatócsapatuk, az Insikt Group egyik fő feladata, hogy mind a nyílt interneten, mind a darkneten hozzáférést szerezzenek és tartsanak meg zárt hekkercsoportokhoz és kiberbűnözői fórumokhoz, hogy első kézből szerezzék be a legnehezebben elérhető, legértékesebb információt.
Persze ennél kevésbé kémsztoriba illő dolgokat is figyelnek, például olyan barlangrajz egyszerűségű fenyegetéseket, mint a typosquatting (egy cég honlapjára nagyon hasonlító nevű oldal bejegyzése, hogy ezzel csaljanak ki adatokat a gyanútlan felhasználóktól). Az elmúlt év egyre növekvő trendje az ellátólánc-hekkelés (amikor a támadók úgy környékeznek meg egy céget, hogy a beszállítóin keresztül próbálnak bejutni a rendszerébe), ezért az ügyfeleik partnereivel kapcsolatos kockázatokat is felmérik. Kibertéren túli tényezőket is számításba vesznek, például releváns geopolitikai történéseket (tüntetések az adott cég ellen, a cég működését veszélyeztető politikai események egy országban, ahol működik, stb).
Minden begyűjtött információt mesterséges intelligencia segítségével dolgoznak fel ( hiszen a kiberbiztonság területén is egyre nélkülözhetetlenebb a gépi tanulás), hogy össze tudják kötni és kontextusba helyezni őket, és végül egy jelentésben megmutatni, mire kell leginkább figyelni, hol vannak az egyes ügyfeleik prioritásai.
Senki sem sérthetetlen, ezért meg kell válogatni, melyik csatákat érdemes megvívni
– mondta Rob Gregg.