Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Magazin: Előadó
Sarnyai Tibor
Sarnyai Tibor
újságíró
  • 2020.12.22.
  • 2020.12.22.
Magazin / Előadó

Jéghegy, amelynek kiterjedését még megbecsülni sem lehet

A FireEye által nemrég felfedezett, a céget magát is érintő támadás olyan mérföldkő a kiberbiztonság történetében, mint az ukránok ellen használt NotPetya vírus vagy az Irán ellen bevetett Stuxnet. A sztori krimibe illő.

Karácsony előtt, december 22-én online eseményen osztotta meg a közelmúltban történt Sunburst/FireEye kiberincidens részleteit Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője és Nemes Dániel, a FireEye magyarországi forgalmazójának, a biztributornak az elnöke.

Harc a kibertér uralásáért

Krasznay Csaba kiemelte, a kibertér olyan közlegelő, melyet több ország is megpróbál saját érdekei szerint uralni. Senkié és mindenkié, mint például a világűr, amelynek birtoklásért folytatott harc például térdre kényszerítette a Szovjetuniót a 80-as években. A kibertér eredetileg amerikai találmány, amelyről először Kína vált le – létrehozva saját nemzeti internetét. Oroszországban ugyancsak ez a folyamat zajlik, miközben komoly vita alakul ki az ENSZ-ben, hogy a nemzeti vagy a globális kibertér az üdvözítő. Eközben az átlagos netezők is azt érzik, hogy a „kiberközbiztonság” folyamatosan romlik – sok államnak éppen ez áll az érdekében. Jelenleg a szakértők 50 országot tartanak nyilván, amely rendelkezik olyan offenzív fegyverekkel, amivel akár kritikus infrastruktúrák ellen is támadást tud indítani a kibertérben. Ezek közül kerül majd ki nagy valószínűséggel a FireEye elleni incidens elkövetője is.

Kivételt tesz a FireEye

Nemes Dániel, a gyártó hazai képviselője ismertette, hogy a FireEye két hete tette közzé: támadást észlelt a hálózatában. A FireEye szinte sosem beszél olyan esetekről, ahol a vizsgálat még folyamatban van, és ezt javasolja az ügyfeleinek is. Ennél a támadásnál azért tett kivételt, mert itt kibertámadásra képes eszközök kerültek ki a cégtől. A támadók ugyanis a Mandiant tanácsadó üzletágához jutottak be, ahol olyan digitális eszközöket tárolt a cég, amelyekkel az ügyfelek kérésére próbatámadásokat végeztek a FireEye munkatársai. Ezekkel az eszközökkel azt tudták például felmérni, hogyan juthatnak be támadók az ügyfél hálózatába, illetve ha bejutottak, mihez férhettek hozzá. Az eszközök bár ismert sérülékenységeket használtak ki, újszerű, eddig nem ismert módon.  A FireEye ezért, éppen a nem FireEye ügyfelek védelme érdekében a betörésről szóló közleménnyel egyidejűleg közzétette a saját fegyvereit hatástalanító eszközöket is.

Precíz, lassú, megtervezett művelet

Bár egyelőre mindenről csak valószínűsített értesülések vannak, sajtóhírekből tudni lehet: a támadók a SolarWinds nevű cég Orion szoftverét használták, hogy behatoljanak a FireEye rendszerébe. A FireEye erről, az Orionban talált sérülékenységről elsőként az FBI-t értesítette. A sajtó időközben azt is kiderítette, hogy minden valószínűség szerint egy gyenge jelszó használatával jutottak be a SolarWinds infrastruktúrájába, majd több frissítésbe csomagolták azt a kódot, amellyel kompromittálni voltak képesek az Oriont használó ügyfelek hálózatát. A szoftvert 30 ezer ügyfél használja, a rosszindulatú szoftvert tartalmazó javítófoltot összesen 18 ezer cég töltötte le. A SolarWinds Orion magyar elterjedtsége nem nagy, az elérhető információk szerint hazai használói – elsősorban nemzetközi cégek magyar leányvállalatai – között olyanok is voltak, akik nem frissítették a szoftvert.

A támadók sehol nem okoztak károkat és ügyeltek arra, hogy ne maradjon utánuk nyom. A hírek szerint a támadók válogatósak voltak, mindössze 40 olyan célpontról hallani, ahol a telepített hátsó ajtót kihasználták, és bár ez a szám várhatóan nőni fog, valószínűleg semmiképpen sem nagyságrendekkel. Ezek elsősorban állami intézmények, illetve technológiai és IT-biztonsági cégek. Egy olyan jéghegyet látunk – hangsúlyozta Nemes Dániel –, amelynek megbecsülni sem lehet a kiterjedését, de már a víz fölötti rész is sokkoló nagyságú. A sajtó sem fukarkodott a jelzőkkel, sok szalagcím kezdődött azzal, hogy ez lehet a világ eddigi legnagyobb, ismert kibertámadása.

Krasznay Csaba mindezt azzal egészítette ki, hogy az incidens kapcsán az USA kormánya az oroszokra mutatott, Putyin ezt természetesen visszautasította, Donald Trump pedig a Twitterén a kínaiakra terelte a gyanút. Nemes Dániel szerint biztos, hogy nem a FireEye volt az elsődleges célpontja ennek a titkosszolgálati műveletnek, viszont ha a FireEye-t nem támadják meg, a cég nem veszi észre villámgyorsan a támadást és nem hozta volna a betörés tényét nyilvánosságra, ma sem tudnánk róla semmit, a titkosszolgálati akció az elmúlt 9 hónaphoz hasonlóan zavartalanul folyna, az áldozatok tudtán kívül.

Mit lehet most tenni?

A panelbeszélgetésen a két szakértő kitért arra is, mit lehet most tenni. Nemes Dániel kiemelte, tanulságos lesz végül egyben látni majd, hogy összesen hány gyártó hány eszközét érintette a támadás. Másrészt talán sikerül megváltoztatni azt a nagyon elterjedt gondolkodásmódot, miszerint minden támadást ki kell védeni. A FireEye évek óta azt mondja, hogy feltörhetetlen rendszer nincs. Ehelyett azt érdemes elérni, hogy betörés esetén minél lassabban tudjanak haladni a hálózatban a támadók. Ezzel párhuzamosan pedig minél gyorsabban vegyük észre, hogy megtámadtak bennünket.

Ami a gyakorlati teendőket illeti, ma és holnap minden szakembernek át kell néznie a rendszereket, és frissítenie érdemes, amit csak lehet. Később érdemes lesz elgondolkodni, hogyan lehet a leghatékonyabban növelni a szervezet rendszereinek védelmét. Fontos a saját szakemberek megfelelő kiképzése, de ugyanilyen lényeges a felhasználók okítása is.

Állami szinten pedig fontos lépés lesz az új kiberbiztonsági stratégia megalkotása – tette hozzá Krasznay –, hiszen az incidens kapcsán arra is számíthatunk, hogy az USA és szövetségesei (így Magyarország is) a közeljövőben ellentámadást indítanak a vélt elkövetők ellen. Ezeket az időket pedig érdemes minél felkészültebben várnunk.

Témakörök: FireEye, kiberbiztonság, kibertámadás, Krasznay Csaba
CYBERBLOG

Az információbiztonsági auditálás fontossága

A cél, hogy azonosítsák a sebezhető pontokat.

CYBERBLOG

„Kiber”olvasmányok a karácsonyi pihenés idejére

Könyvajánló a kibertérből.

ÖT PERC EURÓPA BLOG

Az európai kibertér jövője

Sikeres lesz-e a Közös Kiber Egység?

nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT