2018: adatszivárgások, dráguló 0 dayek, átértékelődő tudás

Security-German-Parliament-Building-1044456572-wVisszatekintő és egyben beharangozó poszt 2 in 1. Ha mindenképp mondani kellene valamit azzal kapcsolatban, hogy miről is szólt az elmúlt egy év az információbiztonság területén és csak egyvalamit lehetne kiemelni, alighanem az adatszivárgás egyre félelmetesebb kiterjedése lenne az. Aminek a hatásai ráadásul túlnyúlnak a korábbi adatszivárgási esetek hatásain.

Amikor a mainstream sajtóban is lehet olvasni egy-egy nagyobb adatszivárgásról, nem csoda, ha az olvasó simán csak gördít tovább, annyi fut át a fején, hogy az előző héten 100 millió személyes adatot loptak el innen, most 200 milliót amonnan, a többi meg kit érdekel, egyébként is foglalkozzanak vele az informatikusok. Ez már önmagában eléggé nagy probléma, ugyanis más hozzáállással a felhasználók ilyenkor legalább a jelszavukat változtatnák meg, de a közösségi webes szolgáltatások többsége ezt nem kényszeríti a felhasználóktól.

Ráadásul semmi meglepő nincs abban, hogy egy-egy tényleges adatszivárgás és annak széles körben nyilvánosságra kerülése közt akár évek is eltelhetnek, mivel a lopott adatokat sokszor először a feketepiacon kínálják eladásra.

És ugye vannak azok az esetek, amikor egy többé-kevésbé jól behatárolható kör információi kerülnek ki, konkrétabban politikusok és más, vezető pozícióban lévő személyek elérhetőségei, személyes fotói, levelezésük egy része és talán jobb nem tudni, hogy ezen kívül még mi. Ezt is el lehetne intézni egy vállrándítással, hiszen egyszerűsített megközelítésben az, hogy kikerült pár email-cím, mobilszám és üzenetváltás, nem tűnik különösebben érzékeny információnak. A dermesztő az, hogy valóban semmiről nem lehet azt mondani, hogy biztosan nem érzékeny információ.

Ha nagyon vissza szeretnék menni Ádámig-Éváig, akkor érdemes fellapozni a social engineering és a kormányzati hátterű HUMINT irodalmát, amiben azt találjuk, hogy egy támadó minél többet tud valakiről, annál inkább képes rá, hogy esetleg megszemélyesítse vagy közeli informális kapcsolatba kerüljön az áldozat egy közeli ismerősével, akiből megfelelő műfogásokkal viszont már igenis érzékeny információkat húzhat ki. Ennek a hatása pedig bizonyos esetekben nagyságrendekkel nagyobb, mint amennyire először tűnik. Ezekkel a módszerekkel hírszerzők, ha meg elhárítók kerülhetnek közeli kapcsolatba diplomatákkal vagy olyanokkal, akik érzékony adatokhoz férhetnek hozzá, ami túl bonyolultnak, na meg paranoidnak tűnik ahhoz, hogy igaz legyen, a szakirodalom számára viszont a jelenség abszolút nem új.

Mielőtt a friss német adatszivárgási botrányra rátérnénk, érdemes megtorpanni egy percre és utánaolvasni annak, hogy valóban ennyire rafináltak-e azok, akik számára fontos, hogy érzékeny információhoz jussanak és ezen keresztül egy-egy döntéshozót indirekt módon befolyásoljanak is. A New York Times néhány hónappal ezelőtt hozta a hírt, ami szerint Donald Trumpot máig nem sikerült hozzászoktatni ahhoz, hogy kellően biztonságos csatornákat használjon.

A cikk kiemeli, ami kevesek számára egyáltalán nem új, nagyon sokak számára viszont bőven kémfilmbe illő lehet, csak éppen maga a jelenség unalmasabb annál. Történetesen arról van szó, hogy ha egy támadó aktor le tudja hallgatni, hogy egy célszemély az informális kommunikációja során, akár a magánbeszélgetéseiben általában milyen gondolati sémák jelennek meg, akkor ezt tovább fejve rendkívül értékes információkhoz jutnak a támadók azzal kapcsolatban, hogy az adott vezetőt például milyen érvek mentén lehet meggyőzni, milyen húrokat kell nála megpendíteni ahhoz, hogy egy álláspontra helyezkedjen olyannal, akivel egyébként nem tette volna, egyszóval egyfajta térképhez jutnak azzal kapcsolatban, hogy a célszemély hogyan manipulálható akár a tömegkommunikáción keresztül, akár egy-egy diplomáciai esemény alkalmával. Ha ez történetesen a világ egyik legbefolyásosabb államának vezetőjével történik, joggal ad alapot aggodalomra.

Ami a friss német adatszivárgást illeti, mondhatnánk: változatok pepitában és tényleg. Az ilyen incidensek kivizsgálását ráadásul tovább bonyolítja, hogy ha a támadók tehetik, miért is ne tennék, hogy sokkal több információt lopnak el, valójában viszont csak néhány személlyel kapcsolatos információkra kíváncsiak ténylegesen, azaz kik a tényleges célpontok.

Szó sincs róla, hogy régen minden jobb volt, aztán mostanra ide jutott a világ, sokkal inkább arról, hogy összehasonlíthatatlanul nagyobb és átláthatatlanabb a támadási felület, ami érhet például egy politikust.

Visszatérve a több százmillió felhasználót érintő adatszivárgásokra, ahogy említettük, az ilyen datasetek először a feketepiacon landolnak, majd jóval később válnak széles körben elérhetővé, mondjuk akkor, amikor már gyakorlatilag minden érdekelt fél számára úgyis elérhetőek, még a dark web mélyére sem kell feltétlenül alászállni hozzá.

Érdekes áthallás, hogy éppen most a bejelentett, 0 day sebezhetőségekért fizetett összegek hirtelen többszörösére emelkedtek, amik mutatják egyrészt a különböző platformok kitettségét leginkább, nem feltétlenül például a bonyolultságukat. A bug bounty programok egyre nagyobb és nagyobb összegeket fizetnek, viszont több esetben joggal feltételezhettük, hogy ugyanazt a sebezhetőséget egymástól függetlenül többen is megtalálták, ki is használhatták, el is adhatták a feketepiacon egészen addig, amíg egy etikus hekker be nem jelentette. Ez nem az a terület, ahol megengedhetnénk azt a luxust, hogy gyenge lábakon álló feltételezésekbe bocsátkozzunk, például arra, hogy a sebezhetőség felfedezője esetleg előzetesen ki is használta azt. Viszont találni példát a neten olyan esetre, amikor valaki bejelentett egy sebezhetőséget, nagyon hangsúlyozta, hogy de bizony azt tényleg eskübecsszó’ nem használta ki, aztán kiderült, hogy dehogy is nem. Mindenki elhelyezhető egy képzeletbeli vonalzón, aminek egyik végén a homo economicus van, amelyik a maximális profitot szeretné viszontlátni mindenből, függetlenül például annak etikusságától, a vonalzó másik végén pedig a teljesen altruista ember.

Csak a nyilvánosságra került információkból lehetne nagyon óvatos becslést mondani azzal kapcsolatban, hogy mennyi olyan nulladik napi sebezhetőség lappanghat az olcsó mobiloktól kezdve egészen a pénzintézetek kritikus fontosságú informatikai eszközeiig. Erre nagyon jó példa az NSA néhány évvel ezelőtt kikerült vagy kiszivárogtatott EternalBlue exploitja, ami rekord sokáig lappangott észrevétlenül és alig volt olyan eszköz, amit ne érintett volna, de lehetne még hozni példákat matuzsálemi korú sebezhetőségekre bőven.

Az, hogy mennyi sebezhetőséget jelentenek, majd javítanak is, világos, ahogyan az is, hogy az adott sebezhetőség egy adott szolgáltatásban mennyi ideje lehetett kihasználható. Nem egy esetben viszont kiderült, hogy a sebezhetőséget már ki is használták korábban, éljünk azzal a feltételezéssel, hogy nem éppen az, aki a hibát jelentette, ami azért bárki számára izgalmas pillanatokat okoznak a jövőre nézve.

A blogon korábban már elmélkedtünk róla, hogy magukról a nyomozati módszerekről miért nem nagyon beszélnek a rendvédelmi és titkosszolgálati szervek, teljesen más alapon nyugszik, de például egy-egy kitűnő stratégiát vagy technikát alkalmazó online marketinges vagy éppen background checkinget végző HR-es sem fog mindent elmondani arról, amit a munkájában használ, legfeljebb nagyon felületesen. Shared-intelligence? Létezik is, meg nem is.

Igaz, például a Redditen a vicces nevű, ámde annál komolyabb RBI gyakran gyorsabban megold minimális információk alapján egy-egy bűnügyet, mint maga a hatóság, holott “csak” lelkes önkéntesek használják az RBI-t.

Viszont annak is nagyon sok racionális, érthető oka lehet, hogy egy-egy terület specialistája miért nem tesz ki a kirakatba egy-egy módszert, csak magát a kért információt adja át. Hogy ne is hozzunk bonyolultabb példát, nincs benne semmi meglepő, ha valaki elgondolkozik rajta, hogy mekkora értékvesztéssel jár, ha megoszt valami olyan ismereteket szélesebb körben, ami egyébként csak nagyon kevesek számára ismert. Azon pedig aztán senki se lepődjön meg, ha az átadott ismerettel, azok saját területén való alkalmazásával majd tényleg pofátlan összegeket keres más. Hogy messzebbre ne is menjünk, az egyik legnehezebb meghúzni az értelmes határt azzal kapcsolatban, hogy mennyire jár értékvesztéssel, ha megosztunk valamit, ami éppen attól lesz kevésbé értékes, mert többen tudnak róla. Arról a bosszantó jelenségről meg aztán nem is beszélve, hogy sokszor akár tényfeltáró újságírók, akár különböző cégek konkurrencia figyelésére szakosodott alkalmazottak ezeket a módszereket úgy használják, mintha maguknak kaparták volna ki a gesztenyét, amivel még nem is lenne különösebb probléma. Azzal viszont elvi probléma igenis adódik, hogy például a data journalism területén szakértőként dolgozó data scientistek töredék összeget nem látnak egy kiadó áttételesen szerzett nyereségéből, de valószínűbb, hogy különösebben nem is érdekli őket. Business intelligence? Open-source intelligence? Ipari kémkedés? Eléggé komoly fogalomzavar volt mindig is ezekkel a fogalmakkal kapcsolatban, amit viszont Vadász Pál egészen friss PhD-je próbál helyre tenni (A szemantikus keresés módszerei és alkalmazási lehetőségei a védelmi szférában, a közigazgatásban, illetve a gazdasági életben), megjegyzem, egészen jól.

Summázva, alighanem nem légből kapott kijelenteni, hogy a keménykötésű etikus hekkerek sejthetően éppen a leginkább juicy sebezhetőségek egy részét ugyanúgy nem hozzák nyilvánosságra, mint ahogy nem hoz minden módszert nyilvánosságra egy OSINT-szaki sem, főleg akkor, ha olyan helyzetben van, hogy máshol ugyanazt a szaktudást összehasonlíthatatlanul jobban forintosíthatná. Az más kérdés, hogy ennek a piacát eleve nem könnyű megtalálni, ha pedig csak Magyarországban gondolkozunk, hírek terén nem vagyunk a fact-checking, cégek esetén a céges screening, fontos pozícióba jelölt pályázók esetén pedig a background checking őshazája.

Mindegy is, hogy nulladik napi sebezhetőségről, egy-egy keresési technikáról vagy éppen arról van szó, nincs ebben semmi meglepő, ahogy például teljesen alapvető, hogy egy-egy kiskereskedő sem fogja elárulni, hogy ő honnan szerez árut. Hogy tovább menjek, Hippokratesz eredeti esküszövege is tartalmaz egy azzal kapcsolatos passzust, hogy a szakmán belül a szakmai információk megoszthatók, viszont kívülállóknak nem.

“To hold my teacher in this art equal to my own parents; to make him partner in my livelihood; when he is in need of money to share mine with him; to consider his family as my own brothers, and to teach them this art, if they want to learn it, without fee or indenture; to impart precept, oral instruction, and all other instruction to my own sons, the sons of my teacher, and to indentured pupils who have taken the physician’s oath, but to nobody else.

“oktatom őket ebben a tudományban, ha erre szentelik magukat, mégpedig díjtalanul; továbbá az orvosi tudományt áthagyományozom fiaimra és azokra, akik az orvosi esküt leteszik, másokra azonban nem.

A tudás mindenkié? Ugye, már az ókorban sem volt egyértelműen megválaszolható kérdés. A cikk folytatásában az OSINT egy specializált területét járjuk kicsit körül, amit jobb magyar nyelvű terminus híján nevezhetünk CTI-net a Cyber Threat Intelligence után. Az idei Hacktivity egyik legjobb, – ha nem a legjobb – előadása éppen erről szólt: hogyan lehet jól kihegyezett eszközökkel az adatszivárgásokat időben észlelni, ezeket a megfelelő helyre hogyan érdemes reportálni és hogyan semmiképp sem. Addig is, ízelítő videó Pystemon-PasteHunter-AIL témában erre.

kép: Wired

Szerző: bardóczi ákos

ORCID, Google Scholar ID, ResearcherID, ResearchGate, MTMT.hu? Find me!