• MAGAZIN
  • BLOGTÉR
  • PODCAST
  • WEBSHOP
  • E-TANANYAGOK
  • FOLYÓIRATOK
  • RÓLUNK
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • WEBSHOP
  • E-TANANYAGOK
  • FOLYÓIRATOK
  • RÓLUNK
Keresés
Bezár
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • WEBSHOP
  • E-TANANYAGOK
  • FOLYÓIRATOK
  • RÓLUNK
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • WEBSHOP
  • E-TANANYAGOK
  • FOLYÓIRATOK
  • RÓLUNK
Pató Viktória Lilla

Digitális Európa, mint a Tanács portugál soros elnökségi prioritása

Az Európai Unió Tanácsának soros elnökségét betöltő tagállamok fél éves rotációban váltják egymást. Korábbi elemzésünkben már írtunk a 2021. január 1-től elnökségi feladatokat ellátó atlanti tagállam előtt

Pató Viktória Lilla 2021.01.19.
Nyáry Gábor

Háború és béke a kibertérben (2. rész)

Nemzetközi normák és jog Blogbejegyzésünk első részében ismertettük az USA hálózatai elleni SolarWind kiberakció részleteit. A károk felderítésére létrehozott szövetségi testület, a Kíber Koordinációs Egyesített

Nyáry Gábor 2021.01.19.
Sándor Lénárd

„A nagyság átka” – versenyben a tech óriások?

Az Óesztendő jogéletében fontos, bár a koronavírussal összefüggő események miatt csak csekély visszhangot kapott eseménynek számított, hogy az amerikai hatóságok versenyfelügyeleti eljárásokat indítottak a Google

Sándor Lénárd 2021.01.18.
Kalas Vivien

Lahti lett Európa Zöld Fővárosa

2021-ben Lahti Európa Zöld Fővárosa. A finn várost ambiciózus klímavédelmi céljainak köszönhetően találta érdemesnek a díjra az Európai Bizottság. Az idei évben egy finn város,

Kalas Vivien 2021.01.18.
Rab Árpád

A deepfake technológia és az amerikai elnökválasztás

Megtettük a végső lépést a hiteltelenség világa felé?

Rab Árpád 2021.01.18.
CYBERBLOG
Nyáry Gábor
Nyáry Gábor
kutató, NKE Kiberbiztonsági Kutatóintézet
Megosztás itt: linkedin
Megosztás itt: twitter
Megosztás itt: facebook
  • 2021.01.13.
Megosztás itt: linkedin
Megosztás itt: twitter
Megosztás itt: facebook
  • 2021.01.13.

Háború és béke a kibertérben (1. rész)

Attribúció

SolarWind, feltámad a NapSzél

Az elnökválasztáshoz kapcsolódó belpolitikai feszültségek, a hét közepén kirobbant véres zavargások most háttérbe szorítanak minden más hírt az Egyesült Államokban. Pedig az előző év végét még egyértelműen uralták azok a fejlemények, amelyek a nem sokkal korábban napvilágra került kiberincidenshez, a SolarWind-támadásként elhíresült hacker akcióhoz kapcsolódtak. Az előzményekről egy Karácsony előtti blogbejegyzésben számoltunk be, az azóta megindult széleskörű vizsgálatok, illetve a szakmai-politikai viták azonban újabb érdekes kérdéseket vetettek fel.

Mint ismeretes, a SolarWind nevű amerikai számítástechnikai cég Orion rendszerfelügyeleti szoftverén keresztül illetéktelenek több tízezer felhasználó informatikai rendszereibe tudtak észrevétlenül behatolni. A hosszú munkával előkészített, rendkívüli körültekintéssel és szakmai felkészültséggel kivitelezett akció során a támadók nem magát az Orion szoftvert, hanem annak rendszeres frissítéseit használták fel arra, hogy rosszindulatú programelemeket juttassanak el az érintett gépekre, illetve hálózataikba. Az így megnyitott hátsó ajtókon keresztül aztán lényegében szabad útjuk nyílt az érintett számítógépes rendszerekhez. Globálisan közel háromszázezer üzleti partnerhez jutnak el a SolarWind szoftverei, és a világ egyes számú hatalmaként számon tartott Egyesült Államok jó néhány fontos kormányszerve is a kiszolgáltatottá vált hálózatgazdák közé tartozik. A károk kiterjedtsége, mélysége vélhetően óriási, bár jelen pillanatban még azt sem lehet pontosan tudni, hogy az illetéktelen behatolók milyen rendszerrészekhez, adatbázisokhoz férhettek hozzá. Sőt, még az akció célja sem egyértelműen tisztázott. És persze tisztázatlan még a támadók kiléte.

Noha a vizsgálatok éppen csak elindultak, a tömegtájékoztatás és a politika köreiben a botrány kirobbanásával egy időben megjelentek az első gyanúsítások. Az akció kiterjedtségére, magas szakmai színvonalára hivatkozva bizonyosan állami szereplőnek tulajdonították a behatolásokat, és az orosz titkosszolgálat, az SzVR korábbról ismert kibercsoportjait nevezték meg támadóként. Az egészen konkrét szereplőket megnevező attribúció alátámasztására a megszólalók egymásra kölcsönösen utaló kereszthivatkozásokkal szolgáltattak „bizonyítékot”. Az információ kiinduló forrásának minden honnét elindulva a The Washington Post című napilap egy, bármilyen bizonyítékot nélkülöző, állítása szolgált. A kiberbiztonsági szakma képviselői már jóval óvatosabban fogalmaztak: a szakterület közmondásosan legnehezebb, leginkább problémás mozzanata ugyanis éppen az attribúció, az egyes kiberakciók elkövetőinek azonosítása. Egy ilyen hatalmas kiterjedésű, szokatlan mélységű kiberincidense esetében pedig hónapokat vehet igénybe a részletek tisztázása. A felfedezést követő napokban tehát még aligha állapítható meg felelősséggel az elkövetők kiléte.

Már csak azért is, mert a kibervilág „szürke zónájában” mozgó egyének, csoportok, állami szervezetek anyagi, emberi és időbeli erőforrásaik egy számottevő részét a nyomaik elfedésére, az illegális műveletek álcázására fordítják. Amiben tulajdonképpen nincs is igazi újdonság: a titkosszolgálatok világa, már jóval a digitális kor előtti időkben is, kifinomult technikákkal igyekezett akcióit álcázni. Ennek egyik koránt sem szokatlan gyakorlata mások (többnyire harmadik felek) felhasználása a saját műveletek fedésére. Ez az angolszász szakmai körökben „idegen zászló alatti” hadműveletnek nevezett eljárás a kiberakciók szférájában sem ismeretlen: más országok hackeralakulatainak ismertté vált módszereit, eljárásait, vagy akár (korábban kompromittálódott, esetleg tőlük illegálisan megszerzett) támadó szoftvereit felhasználva álcázzák magukat valaki másnak az elkövetők. Az egyik ilyen utóbb ismerté vált esetben például, 2019 őszén, éppen orosz hackerek „öltötték fel” mások, egy iráni kibercsoport identitását, hogy egy tucatnyi ország kormányzati és gazdasági szereplőjének hálózataiba férkőzzenek be. Amerikai szakértők szerint egyébként (amit megerősíteni látszanak a Snowden-kiszivárogtatással, illetve a WikiLeaks révén nyilvánosságra került információk) az USA jelfelderítő és kiberakciókra szakosodott ügynöksége, az NSA is előszeretettel (és nagy szakmai-technikai felkészültséggel) használja az ilyen módszereket akcióinak fedésére.

UCG, megalakul a hivatalos tényfeltáró munkacsoport

Az elmúlt napok legfontosabb fejleményeként, az amerikai Nemzetbiztonsági Tanács megalakította a Kíber Koordinációs Egyesített Munkacsoportot (UCG). Az FBI, a CSISA (az amerikai kiberbiztonsági szövetségi hivatal), valamint az ODNI (az amerikai hírszerző szervezetek legmagasabb szintű koordinációs szerve) és az NSA szakértőiből alakult szervezet kapta feladatul, hogy felgöngyölítse az amerikai szövetségi intézményeket ért hackertámadás részleteit, illetve kidolgozza a hasonló esetek megelőzését szolgáló szabályokat és eljárásokat. A szakértői csoport január 5-én rövid nyilatkozatot adott ki. A szervezet feladatait és munkamegosztását bemutató rövid szöveg néhány nagyon fontos megállapítással szolgált.

Mindjárt az elején leszögezi, hogy az már az előzetes vizsgálódás során kiderült, hogy a kormányzati intézményeket, gazdálkodó szervezeteket és civil szereplőket ért, a közelmúltban felfedezett, és most is zajló kiberakcióért (hálózati „kompromittálódásért”) egy APT (advanced persistent threat), tehát lényegében egy állami hacker csoport a felelős. A közlés több fontos és érdekes tényt, illetve mozzanatot is tartalmaz:

  1. Megemlíti, hogy a rendkívül kiterjedt akció, amelynek nyomán állami és magán intézmények hálózatainak tízezrei váltak hozzáférhetővé, koránt sem ért véget az incidens felfedezésével. Ez a részlet többnyire elsikkadt az eddigi közlésekből, pedig ez jelentősen aláhúzza az ügy (elhúzódó) súlyosságát.
  2. Hivatalosan is leszögezi, hogy az akció hátterében egy állami hacker szervezet állhat. Az APT elnevezéssel ugyanis ilyen kiberoperátorokat szokás megjelölni.
  3. Ugyanakkor a felelősnek tekintett APT specifikálására azt a kitételt tartalmazza a szöveg: „likely Russian in origin”. Ami két szempontból is figyelemre méltó. A „likely”, azaz „valószínűleg” szócska elárulja, hogy nem bizonyosságról, hanem csupán feltételezésről van ebben az esetben szó. Külön furcsaság: nem is „feltételezett oroszokat” nevez meg elkövetőként a szöveg, hanem, „feltételezhetően orosz eredetű” kivitelezőket említ.
  4. A legkülönösebb részlet, amiről ráadásul eddig sehol nem történt még említés sem, tovább homályosítja az eddig sem túl erős képet: a szöveg ugyanis azt állítja, hogy a most felfedezett és jelenleg is zajló kiberincidensek „többségéért, vagy egy részéért” felelős a „valószínűleg orosz eredetű” állami hackercsoport. Amiből következik, hogy egy részéért valaki más felel.
  5. A fentebb ismertetett, felettébb gyenge lábakon álló „attribúció” erősen fiktív jellegét maga a bizottsági nyilatkozat húzza alá ezt követően azzal, hogy a csoportot alkotó egyes szervezetek hatásköreinek részletezésénél az FBI-nak rendelve előírja, mint közvetlen feladatot, hogy „gyűjtsön bizonyítékokat, majd a begyűjtött bizonyítékokat elemezze, végül pedig ennek alapján állapítsa meg a további támadók kilétét”. Azaz, nyomozati munkával begyűjtendő bizonyítékok alapján – majd a jövőben – végezze el az attribúciót.

A nyilatkozat tehát hivatalosan is megerősíti, hogy a politika, és a (titkosszolgálati kiszivárogtatásoknál máskor is „kapunak” használt) The Washington Post által lényegében az első pillanatban megfogalmazott és hangoztatott „orosz háttér” inkább tartozik az USA átfogó Oroszország-ellenes geopolitikai stratégiájának szférájába, semmint a tények szikár világába. A valóságos szakmai attribúció, a kibertámadók kilétének felderítése kemény dió.


Források:
Explainer – US Government Hack: Espionage or Act of War? (2020). https://www.reuters.com/article/global-cyber-legal/explainer-us-government-hack-espionage-or-act-of-war-idUSL1N2IY3EH
Hacking the Hackers: Russian Group Hijacked Iranian Spying Operation, Officials Say (2019). https://www.reuters.com/article/us-russia-cyber-idUSKBN1X00AK
Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) (2021). https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure
Latest of the SVR’s SolarWind Hacks (2021). https://www.schneier.com/blog/archives/2021/01/latest-on-the-svrs-solarwinds-hack.html
Russia’s SolarWind Attacks (2020). https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html
Russian Cyber Units. US Congressional Research Service (2020). https://crsreports.congress.gov/product/pdf/IF/IF11718
Schneier, Bruce (2018): Click Here to Kill Everybody. Security and Survival in a Hyper-connected World. New York, W.W. Norton and Company.
With Hacking, the United States Needs to Stop Playing the Victim (2020). https://www.nytimes.com/2020/12/23/opinion/russia-united-states-hack.html

Témakörök: CSISA, FBI, hacker, hackertámadás, hírszerzés, kiberkémkedés, kibertámadás, NSA, ODNI, Oroszország, SolarWind, SzVR, USA

LUDOVIKA EGYETEMI KIADÓ

KAPCSOLAT

1089 Budapest, Orczy út 1. 
E-mail: info@ludovika.hu

HÍRLEVÉL FELIRATKOZÁS

A feliratkozással elfogadom az Adatvédelmi tájékoztatóban közölt feltételeket.

IMPRESSZUM

ADATVÉDELMI TÁJÉKOZTATÓ

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.