Rájár a rúd mostanában az Egyesült Államokra. Az előző év végét még egyértelműen uralták azok a hírek, amelyek a nem sokkal korábban napvilágra került kiberincidenshez, a SolarWind-támadásként elhíresült hacker akcióhoz kapcsolódtak. A szinte precedens nélküli digitális hírszerzési akcióról mi is több blogbejegyzésben számoltunk már be. A feltehetően hosszadalmas vizsgálat és kárfelszámolás még éppen csak megkezdődött, máris egy újabb kiberbiztonsági válság rázta meg a világ vezető nagyhatalmát. Ezúttal az ország „szíve”, a törvényhozás számítástechnikai rendszer integritása került veszélybe.
Január 6-án a hivatalából hamarosan távozó elnök, Donald Trump több száz híve gyakorlatilag megostromolta a Kapitóliumot, az Egyesült Államok törvényhozásának az épületét, ahol az alsó- illetve felsőházként működő Képviselőház és a Szenátus éppen együttes ülést tartott. A munkanap témája a Joe Biden megválasztott elnökre leadott elektori szavazatok hitelesítése volt, márpedig éppen ez az ügy korbácsolta fel szinte a végletekig az USA közvéleményét megosztó politikai szembenállást. A választási eredményeket megkérdőjelező erőszakos tömeg betört a kiterjedt épület komplexum több részébe, és órákon át szabadon garázdálkodott az amerikai állam egyik legfontosabb intézményében.
Miközben tehát a számos amerikai kormányhivatal számítástechnikai rendszereit „meglékelő” SolarWind akció hosszú távra köti le a kiberbiztonsági szakmai figyelmet, a Kapitólium „elfoglalása” rövid távú krízishelyzettel borzolta az IT-szakértők amúgy is feszített mindennapjait. Abban ugyanis mindenki egyetért: az amerikai törvényhozás épületének időszakos megszállása egy ritkán feltételezett, ám potenciálisan rendkívül súlyos biztonsági problémát idézett elő. Az érzékeny számítástechnikai rendszerek védelmének ugyanis mindennél fontosabb kulcseleme a hozzáférést biztosító eszközök (és persze maguknak a hálózatoknak) fizikai sérthetetlensége. Ahogy abban is teljes körű a szakmai konszenzus: az eszközök és rendszerek feletti fizikai ellenőrzés megszerzése egy potenciális behatoló által – ez valamennyi kibervédelmi szakember igazi rémálma. Amerikai biztonsági szakértők mondása az: ha egyszer illetéktelen személyek ténylegesen hozzáférhetnek a számítógépedhez – akkor az a gép többé már nem a tiéd.
A Kapitólium épületébe betörő, ott randalírozó tömegről készült felvételeken jól látszik: az ellenőrizetlenül mozgó embercsoport a legkülönbözőbb hivatali helyiségekbe, irodákba tudott behatolni, és ennek során lényegében akadálytalanul férhetett hozzá az ott használt számítástechnikai eszközökhöz. Egyes hírek szerint a Képviselőház Elnöke, Nancy Pelosi személyes laptopját is elvihették a behatolók. Azóta kiderült: egy szenátor, a demokrata Jeff Merkley hordozható gépének is nyoma veszett. A támadás során ugyanis a törvényhozás biztonságáért felelős személyzet úgy ítélte meg a helyzetet, hogy az épületben tartózkodó (és éppen a választás eredményeinek hitelesítésével foglalatoskodó) képviselők és szenátorok testi épségének megóvása az elsődleges prioritás. A vészhelyzeti túlélőcsomagok kiosztása, a légző csuklyák felvétele, majd a törvényhozás tagjainak a gyors kimenekítése az épület földalatti alagútrendszerén át minden más intézkedést megelőzött tehát.
Ennek következtében azonban az irodákban található számítógépek biztosítása elmaradt. Szakmai berkekben szinte azonnal záporozni kezdtek a kérdések: pontosan melyik gépekhez (melyik részrendszerekhez) férhettek hozzá a behatolók? Van-e nyoma annak, hogy használták az általuk elfoglalt irodákban található gépeket? Ha igen, akkor milyen műveleteket végeztek rajtuk? Maradt-e nyoma annak, hogy USB pendriveot csatlakoztattak az asztali gépekhez? Ha igen, akkor vajon lementettek-e azokról adatokat, és ha igen, akkor miket? Vagy, ami még ennél is rosszabb eshetőség: telepítettek-e pendrive-okról rosszindulatú kártevőket, amelyek rejtett „hátsó ajtót” nyitnak a megfertőzött rendszerhez?
Az IT-biztonsági szakértők helyzete nem irigylésre méltó. Miközben ugyanis a hálózatokon át történő hackertámadások kivizsgálása és kármentesítése sem egyszerű feladat, de ma már legalább jól bevált eljárási szabályok segítik az ilyen munkát. A – többnyire rendkívül ritka – közvetlen támadások, a gépek, rendszerek feletti fizikai ellenőrzés megszerzése egészen más helyzetet eredményez. Hozzáértő szakember képes észrevétlenül megbontani az asztali rendszereket, hálózatokat, és ott USB-eszközöket elhelyezni a burkolat alatt, mindezt alig néhány perc alatt. Itt pedig órákig szabadon és ellenőrizetlenül mozoghattak a behatolók a törvényhozási épület irodáiban és folyosóin. Elterjed vélekedés, hogy „csak a képzelet szabhat határt annak”, hogy mit lehet tenni egy rendszerrel, amit valóságosan is kézbe kaparintanak a behatolók. A szkeptikusabb kiberszakértők éppen ezért azt mondják: igazán biztos megoldást csak a „felperzselt föld” taktikája jelenthet, tehát a gépek és rendszerek teljes körű kicserélése. Erre azonban itt gondolni sem lehetett; a randalírozók kiszorítása után a Kongresszus haladéktalanul folytatta a munkát, és azóta is az eredeti számítástechnikai rendszereik működnek. Szakértők egy része ugyanakkor állítja: kisebb a baj az elsőre gondoltnál, mivel a Kongresszus tagjainak gépein semmiféle titkos információ nincsen (és onnét nem is érhető el). Tény, hogy a minősített dokumentumokhoz csak külön (ráadásul erősen árnyékolt) helyiségben lehet hozzáférni, ami elméletileg a fejlett „légtér átugrásos” támadások ellen is védetté teszi a külön rendszert. A baj csak az: aki azt hiszi, hogy a kémek modern világunkban is a „nagy betűs Titokra” vadásznak, az alapvetően félreérti a 21. századi hírszerzés jellegét. A világot vezető USA törvényhozásának tagjainál elérhető, nem titkos adatok is igazi információs kincsesbányához juttatják az ellenfeleket. Az ilyen fizikai kontaktusos akciók azonban némi előkészületet igényelnek, és a jelek szerint itt inkább egy céltalanul mozgó, zavarodott dilettánsokból álló tömeg kerítette hatalmába az épületet.
Van azonban még egy szempont, amiről semmiképpen sem szabad megfeledkezni. A probléma korántsem csupán technikai jellegű. Szakértők aláhúzzák: az ember – pontosan úgy, mint bármely nagy szervezet esetében – a kongresszusi rendszereknél is a leggyengébb „informatikai” láncszem. Az egyes irodai gépekhez hozzáférést biztosító jelszavakat itt is előszeretettel írták fel kis öntapadó, és a monitorok keretére ragasztott cédulákra a felhasználók. Ebben az esetben pedig az épület ostroma alatt még csak hozzá sem kellett piszkálniuk a gépekhez az illetékteleneknek – ráérnek arra később is, online elérésen keresztül, a belépési kódok birtokában. Elsődleges, azonnali lépésként tehát valamennyi jelszó haladéktalan megváltoztatását (és a későbbiekben a biztonság-tudatosság erősítését célzó képzések megszervezését) javasolják az IT-szakértők.
A kárfelmérés és kármentesítés azonban ennél jóval összetettebb és elhúzódóbb munka lesz. Az amerikai törvényhozás épületének, irodáinak alapos és átfogó kiberbiztonsági ellenőrzése most alapvető feladat. Amíg ez meg nem történik, addig ugyanis azt kell feltételezni, hogy az amerikai állam egyik legfontosabb szervének a gépei, hálózatai – „kompromittálódtak”, illetéktelenek számára hozzáférhetővé váltak. És ez a SolarWind-hekkelésnél is súlyosabb krízisnek számíthat.
Források:
Capitol attack’s cybersecurity fallout: Stolen laptops, lost data and possible espionage (2021). https://www.zdnet.com/article/capitol-attacks-cybersecurity-fallout-stolen-laptops-lost-data-and-possible-espionage/?fbclid=IwAR3bC53J_pshVbPVSBTDqhyesBAtWNT0fE9twrKcUuF6gK3qn4_Rc6730Jc
Capitol Hill riot exposes Congress’ operational and cybersecurity frailties (2021). https://www.cyberscoop.com/capitol-hill-unrest-trump-cybersecurity/
Capitol Siege Shines Light on Vast Underground Tunnel Network (2021). https://www.thedrive.com/the-war-zone/38593/evacuations-during-capitol-siege-shine-light-on-vast-underground-tunnel-network?fbclid=IwAR3FBG72B5q2BVRLbwhTIFSpjnor1H9WuX4tUxnh6XMN4pyDVF-b0TGkP18
Cybersecurity and the Occupation of the Capitol (2021). https://www.lawfareblog.com/cybersecurity-and-occupation-capitol
Don’t worry about the cybersecurity fallout of the Capitol breach (2021). https://www.protocol.com/enterprise/no-cybersecurity-fallout-capitol-breach
Exploring cybersecurity, Capitol Hill style (2017). https://cisac.fsi.stanford.edu/news/exploring-cybersecurity-capitol-hill-style
Post-Riot, the Capitol Hill IT Staff Faces a Security Mess (2021). https://www.wired.com/story/capitol-riot-security-congress-trump-mob-clean-up/
The physical breach of the Capitol building opens a cybersecurity Pandora’s box (2021). https://www.scmagazine.com/home/security-news/data-breach/the-physical-breach-of-the-capitol-building-opens-a-cybersecurity-pandoras-box/