Jó páran még mindig úgy gondolnak a vírusok íróira, hackerekre és egyéb netes bűnözőkre, mint unatkozó kölykökre, akik heccből, zsebpénzért dolgoznak. Ehhez képest a kiberbűnözés mára hatalmas üzletté, sőt üzletággá változott, és így is kell ellene védekezni.
Bár az informatikai biztonság témakörével fokozatosan, a 90-es évek derekától ismerkedett meg a világ egyre nagyobb része, a témával már Neumann János is foglalkozott, aki 1949-ben alkotta meg azt a – még elméleti szintű – tézisét, miszerint egy számítógépes program képes lehet önmaga reprodukálására és akár módosítására is. Ez pedig nem más, mint a vírus informatikai meghatározása… Persze a gyakorlati “alkalmazásra” a számítógépek elterjedéséig és a gépeket összekötő hálózatok indulásáig várni kellett. Egyesek szerint az első valódi vírus az internet elődjének tekinthető ARPANET hálózaton terjedő Creeper volt, amelyet egy Bob Thomas nevű programozó alkotott meg 1971-ben. Az otthoni kisgépek első vírusának pedig az 1982-ben készült Elk Cloner-t tartják, amelyet az akkor 15 éves Rich Skrenta írt és floppy lemezeken terjesztett a tanárok bosszantására.
Mindkét fenti példára még az volt jellemző, hogy alapvetően ártalmatlanok voltak, nem volt céljuk a károkozás vagy nyerészkedés, egyszerű kísérletek, csínytevések voltak. Nem sokkal később azonban megjelentek azok a kártékony kódok, amelyek már valóban bosszúságot okoztak, és előkerültek más módszerek is a vírusokon kívül: a közvetlen hackelések, a túlterheléses támadások, az adatlopások, a zsarolások és így tovább. Azok, akik a megfelelő programozói képességük alapján rájöttek, hogy ezt kevéssé legális formában is kamatoztathatják, azt is hamar felfedezték, hogy tudásukkal közvetve vagy közvetlenül pénzt is szerezhetnek. Ha pedig valamiben megjelenik a pénz, ott elindul egyfajta szerveződés is: nem volt ez másként a kiberbűnözés terén sem.
“Mostanra igenis elképzelhetjük a kiberbűnözői világot úgy, mint egy konkrét üzletágat. A legnagyobb csoportok gyakorlatilag vállalati szintű szervezetekké alakultak, ahol bonyolult szervezeti felépítéssel, akár országok közötti telephelyekkel, elosztott feladatvégzéssel működnek” – magyarázta Kovács Zoltán, a T-Systems CTRL SWAT vezetője. “Egy ilyen szervezetben már csak egy egységet jelentenek azok, akik konkrétan a kártékony kódokat írják, vagy a hackeléseket végzik. Mellettük ott vannak azok, akik az áldozatok körének felderítéséért felelnek, zsarolóvírusok esetén a feloldókulcsokat küldözgetik, de tulajdonképpen már sok helyen valódi ügyfélszolgálatok is működnek, ha az áldozatok megkeresik őket. Szintén külön egységet képeznek azok, akik a teljes hardveres-szoftveres infrastruktúrát működtetik, amin az egész szervezet üzemel, akár olyan komoly szinten, mint egy streamingszolgáltatónál vagy sok telephelyes multinacionális vállalatnál.”
A bűnözői csoportok ráadásul manapság már olyan látszatot is kelthetnek a nagyvilág felé, miszerint egy teljesen legális, internetes vagy épp pénzügyi tevékenységekre szakosodott szolgáltatóról lenne szó. “Harmadik világbeli” városokban valódi irodaházakban, céglogók mögött, minden szinten hihetően épülnek fel, vannak részlegek és igazgatók, leszabályozott belső folyamatok és így tovább. “Ez a fajta felépítés többek között azokra a csoportokra jellemző, amelyek adathalászattal, eltérített fizetési csalásokkal, bankkártyás trükközéssel foglalkoznak, itt akár több százan is dolgozhatnak egy teljesen megtévesztő irodai környezetben, egy valósnak tűnő cégnév alatt, ahol konkrét telefonos ügyfélszolgálatok várják a pórul jártakat, hogy még több adatot, és persze pénzt sajtoljanak ki belőlük.”
Kovács Zoltán szerint a legfontosabb csoportoknak már a kiszolgáló infrastruktúrája is úgy működik, mint egy komoly redundanciát kívánó nagyvállalati rendszer. “Bizonyos esetekben azt lehetett látni egy-egy csoport felszámolásakor, hogy egyenesen heartbeat-szervereket alkalmaztak. Ezek olyan eszközök, amelyek folyamatosan figyelik a teljes infrastruktúrát, pingelik a támadó szervereket és egyéb eszközöket, hogy azonnal jelezzenek, amikor valamilyen hiba miatt ezek közül kiesik valamelyik. Ekkor pedig rögtön indulhatott a csoport szerviz-részlege, hogy megjavítsa vagy kicserélje a szükséges erőforrásokat.”
Lassan építkező üzletág
A mára már hatalmassá növekvő, vállalati formában működő csoportok kialakulása valamikor a 90-es évek második felében kezdődött, persze csak lassan és fokozatosan. “Először talán olyan fiatalokról lehetett hallani, akik az ezredfordulóra egyenként kitanultak különféle trükköket, majd pedig megtalálták egymást és úgy döntöttek, hogy csapatban könnyebben vagy épp hatékonyabban működhetnek, ekkorra datálható az első igazán nagy támadások időszaka is” – sorolta Kovács Zoltán. “A kiberbűnözés náluk különféle bankkártya-csalásokkal kezdődött, itt jöttek rá többen arra, hogy konkrét megélhetést biztosíthat számukra, ha erőiket egyesítve ráállnak egy-egy csalási formára. Persze Magyarországon ekkor még jóval kevesebben használtak bankkártyát online fizetésre, ezért ekkoriban itt még nem is vették észre ezt az új veszélyforrást: a külföldi csoportok is főleg az Egyesült Államokra, Nagy-Britanniára, Ausztráliára céloztak.”
A szerveződés következő foka az új évezred első évtizedében az volt, amikor az egyre ügyesebb csapatokban meglátták a fantáziát azok, akik más bűnözési formákat szponzoráltak és menedzseltek: sokan rájöttek, hogy a kábítószer és egyéb hasonló piacok helyett ezt a még sok lehetőséget tartogató területet érdemes behálózni, ezért felkarolták a technológiailag képzett, de üzleti szinten sokszor zöldfülű csapatokat, ekkor indult a mai, üzletszerű működés kezdete.
“Úgy lehet tekinteni a kiberbűnözőkvezető rétegére, mint egy teljesen legális nagyvállalat esetén a befektetőkre, pénzügyi és operatív vezetőkre. Konkrétan a legfelső vezetők gyakran egyáltalán nem is értenek magához az informatikai tevékenységhez, viszont képesek arra, hogy jól működő egységekbe szervezzék a vírusírókat, csalókat és hackereket, biztosítsák a működéshez szükséges erőforrásokat, kialakítsák az egyes szervezeti egységeket és meghatározzák a célokat. Megint csak úgy, mint egy teljesen hétköznapi multicégnél.”
Az egyre komolyabb szerveződésnek egy ideig gátat szabott az, hogy a megszerzett pénzt tisztára kellett mosni, ezzel szintén külön “ügyosztályok” foglalkoztak, amelyek például termékek tömeges felvásárlásával és eladásával, úgynevezett “mule-ok”, azaz öszvérek, tehát közvetítő emberek felhasználásával eltüntették a kicsalt pénzek nyomait. “A legutóbbi fejlődési bumm a kriptopénzek megjelenésétől datálható, hiszen az állami bankrendszereken kívül álló fizetőeszközöket az átváltás pillanatától nehezebb követni” – magyarázta Kovács Zoltán. “A zsarolóvírusok áldozataitól már eleve kriptopénzben kérik a váltságdíjat.”
Pénzgyűjtő és virtuális fegyver
Manapság már szinte naponta hallani olyan központokról, ahol valamilyen szintű csalásra teljes vállalati szintű rendszer épül. Céges és önjelölt “antihackerek” egyre-másra igyekeznek nyilvánosságra hozni olyan szervezeteket, amelyek például Indiában és a környező országokban telefonos ügyfélszolgálattal, hagyományos cégnek álcázva magukat óriási összegeket tesznek zsebre – ráadásul, ha egy-egy ilyen csoportról lehull a lepel, pár héttel később már egy másik városban, új irodaépületből lendülnek támadásba.
“Fontos, hogy a pénzre utazó csoportok mellett legalább ilyen komoly szintre fejlődött a politikai célú támadásokat, kémkedéseket megvalósító kiberbűnözők köre. Ezeket hol rejtve, hol teljesen nyíltan támogatják kormányok vagy meghatározott politikai erők. Az ilyen csoportok érdekeltek lehetnek például olyan rendzavarásban, mint egy adott ország közműveinek, fizikai infrastruktúrájának megzavarása, időszakos leállítása, de ugyanígy sok-sok ezren dolgoznak információlopáson, dezinformációs kampányokon és konkrét kémkedésen is” – sorolta Kovács Zoltán.
Védekezés újratöltve
A fenti hírek darabkái ma már sokfelé megjelennek: akár teljesen általános célú magazinokban, híroldalakon is lehet olvasni lekapcsolt hackercsoportról, politikai célú támadásokról és zsarolóvírussal földre kényszerített nagyvállalatokról. Erre természetesen a legmegfelelőbb reakció az lenne a vállalatok és egyéb szervezetek részéről, hogy még jobban megerősítik a védelmi vonalaikat. Ehhez képest sokan, főleg a kisebb cégek közül úgy vélik, ők túl kis halak ahhoz, hogy törődniük kellene a veszélyekkel. “Ez nem is állhat távolabb az igazságtól” – figyelmeztetett Kovács Zoltán. “A mai támadásoknak már nagy része olyan, hogy célzás nélkül egy nagyon széles célcsoportra veszélyes, zsarolóvírusokat például ugyanúgy kaphatnak kisvállalkozások, de akár magánemberek is, hiszen az egyenként beszedett váltságdíjakból is nagy összeget zsebelnek be a támadók.”
A másik tévképzet pedig az, hogy a biztonsági megoldások azért nem érnek sokat, mert értelemszerűen mindig egy lépéssel a támadások mögött járnak, hiszen először meg kell ismerniük egy új formát ahhoz, hogy utána védelmet dolgozhassanak ki ellene. A szakértő szerint a mai biztonsági megoldások mellett már ez sem igaz. “A legújabb védelmi rendszerek már rég nem csak annyit tudnak, hogy észlelnek egy általuk már ismert támadási formát és gyorsan becsukják előtte a kaput. Egy szervezetnél például figyelhető az is, mikor történik bármilyen szokatlan tevékenység, tehát viselkedés-alapon, a megszokott működéstől eltérő eseteknél is riaszthat a rendszer. Lehet, hogy nem ismerjük például azt a kártékony kódot, amivel betörnek egy vállalathoz, vagy épp social engineering segítségével közvetlenül egy ott dolgozótól kapnak hozzáférést a bűnözők. Viszont azt nagyon gyorsan észlelni lehet, ha például egy pénzügyes munkatárs hirtelen adatokat kezd letölteni egy igazgatói gépről, vagy egy marketinges egyszer csak egy képzettségéhez mérten bonyolult adatgyűjtő scriptet futtat.”
A legfeljettebb védelmi megoldások ráadásul már nem csak manuális módszerekkel tudják felderíteni a hasonló anomáliákat. A T-Systems CTRL SWAT például foglalkozik mesterséges intelligenciára épülő megoldásokkal is, amelyek akár felhasználói beavatkozás nélkül képesek megjelölni olyan szokatlan tevékenységeket, amelyeket még a szakértő szemek sem vennének észre előre. “Az ilyen megoldásoknak köszönhetően igenis van létjogosultsága az egyre fejlettebb támadási formák mellett is a biztonsági megoldások használatának, hiszen még akkor is, ha esetleg már megindult a támadás, kinyílt egy biztonsági rés vagy kikerült egy jelszó, még a konkrét károkozás, adatszerzés előtt van esélyünk lecsapni az eseményre és elhárítani a veszélyt” – foglalta össze Kovács Zoltán.