Nyolc IT-katasztrófa

Akik nem ismerik a múltat, arra kárhoztatnak, hogy újra elkövessék az összes hibáját, szól George Santayana amerikai filozófus aforizmája. Az elmúlt évtized bővelkedett olyan IT-biztonsági katasztrófákban, amelyek fontos tanulságokkal szolgálnak a szakemberek számára. Most nyolc olyan esetet szedtünk össze, amikor a támadók ravaszsága mellett az áldozatok hibáira is szükség volt ahhoz, hogy az akció sikerrel járjon.

2012: Egy szélhámos rászedi a Court Venturest

Hieu Minh Ngo bebizonyította: nem kell magas szintű számítástechnikai tudás ahhoz, hogy betörjünk egy fontos adatbróker rendszerébe, és rengeteg személyes adatra, bizalmas információra tegyünk szert. Néha elég egy kis pimaszság, és pár ügyesen alkalmazott szélhámostrükk. A húszas évei elején járó Ngo meggyőzte a Court Ventures adatbókert, hogy Szingapúrban magánnyomozó, akinek a munkájához van szüksége különböző személyes azonosító információkra. A megszerzett adatokat jó pénzért személyazonosság-tolvajoknak adta tovább, és letartóztatásáig csaknem 2 millió dollárt keresett ezzel a módszerrel.

2014: Összeomlik az Mt. Gox

A kriptovaluták világa ma már tele van átverésekkel, de 2014-ben még viszonylag a korszak elején jártunk, és az egész szakmát megrázta a japán kriptováltó és tőzsde, az Mt. Gox krachja. Az Mt. Goxnak, amely addigra a világ legnagyobb kriptotőzsdéjévé nőtte ki magát, már három ével korábban, 2011-ben meggyűlt a baja a hackerekkel, és az eset nyomán olyan javításokat végzett rendszerén, amelyek a legtöbb fogyasztót megnyugtatták. 2014-ben mégis fizetésképtelenné vált, mert kiderült, hogy sokmillió dollárnyi bitcoin hiányzik az ügyfelek számlájáról. Még ma sem teljesen világos, pontosan mi történt, de úgy fest, hogy a 2011-es támadást mégsem sikerült lezárni, és a támadók tovább dézsmálták a cég pénzét, az Mt. Gox pedig egyfajta piramisjátékot játszva az új betétek megcsapolásával fedezte veszteségeit. Az összeomláshoz a cégnél alkalmazott borzalmas vezetési és biztonsági gyakorlat is hozzájárult: kiderült például, hogy a frissítéseknél minden módosítást a vezérigazgatónak kellett jóváhagynia, így hetekig tartott, míg egy biztonsági javítás működésbe lépett.

2014: A nagy kínai adatlopások: Starwood, OPM, Equifax

A 2010-es évek közepén három nagy intézményt ért támadás: 2014-ben a jó nevű Starwood szállodalánc foglalási rendszerét, 2015-ben az amerikai kormányzati munkaerő szervezésével foglalkozó U.S. Office of Personnel Managementet, 2017-ben pedig a három legnagyobb hitelminősítő intézmény egyikét, az Equifaxot. Mindhárom biztonsági katasztrófa hátterében komoly védelmi hibák álltak. Az OPM például azt hitte, hogy egy „big bang” rendszer-visszaállítással teljesen kipurgálta a támadókat, és nem szúrta ki, hogy azok másutt is megvetették a lábukat a rendszerben. Az Equifaxnál egy SSL tanúsítványt felejtettek el megújítani, a Starwoodnál pedig olyan fokú volt a hanyagság, hogy négy teljes évig nem vették észre a rendszer meghekkelését, és csak azután derült fény a dologra, hogy a céget megvette a Marriott szállodalánc. Ezek az adatszivárgások több millió személyes adatot juttattak a támadók kezébe, és az OPM, illetve az Equifax esetében jelentős részük nagyon érzékeny információ volt. A hatóságok ma úgy vélik, hogy a támadások mögött Kína állt, amely az Egyesült Államok kormányával kapcsolatban álló személyek adataihoz akart hozzájutni.

2016: A Clinton-kampány

Sokan ma is úgy vélik, hogy Hillary Clinton 2016-os elnökválasztási kampányának bukását az e-mailjeivel kapcsolatos botrány okozta. A szóban forgó leveleket Clinton még külügyminiszter korában a személyes szerverén tárolta, de már akkor tudható volt, hogy a kormányzati gépeken nagyobb biztonságban lennének. A választási kampány időszakában aztán egyre több pletyka kelt szárnyra velük kapcsolatban, végül a Wikileaks jóvoltából az összes levél nyilvánosságra került. Hogy történhetett meg mindez? Az ügy hátterében egy klasszikus adathalász akció állt. 2016-ban, amikor Clinton egy Google által üzemeltetett szolgáltatásra telepítette át az adatokat, kampánymenedzsere, John Podesta egy olyan, hivatalosnak tűnő e-mailt kapott, amelyben a Google értesítette, hogy megpróbáltak hozzáférni a fiókjához, és egy megadott hivatkozásra kattintva tudja elvégezni a jelszó visszaállításával kapcsolatos teendőket. Bár egy technikai segítő jelezni próbálta Podestának, hogy az üzenet „nem szabályos e-mail”, a „nem” fatális módon lemaradt az üzenetről. Podesta végül kattintott, és a hackerek kezébe juttatta a bejelentkezési adatait.

2016: Bankrablás Bangladesben

A nemzetközi banki átutalásokhoz kifejlesztett SWIFT rendszert feltörhetetlennek szánták, de egy hackercsoport – feltehetőleg az észak-koreai Lazarus Group – megtalálta a gyenge pontját, amely nem volt más, mint egy fejlődő ország központi bankja, ahol kevesebb pénz jutott a biztonságra. A kiberbűnözők speciálisan kifejlesztett kártékony programokkal átfogó támadást indítottak a Bangladesh Bank ellen, és végül sikerült is hozzáférést szerezniük a SWIFT teminálhoz, amely az ajánlásokkal ellentétben nem a hálózattól elkülönülve működött. Úgy időzítették az akciót, hogy minél kevesebb figyelmet keltsen: Bangladesben pénteken és szombaton nem nyitottak ki a bankok, New Yorkban, ahol a legtöbb SWIFT tranzakciót kezelő Federal Reserve Bank található, a vasárnap szünnap volt, és a Fülöp-szigeteken, ahol tisztára akarták mosni a pénzt, a holdújév miatt volt minden zárva, vagyis a bankok között elvileg nem lehetett „forródrótos” úton kommunikálni. A hackerek abban bíztak, hogy az átutalások automatikusan végbemennek, mielőtt bárki is ellenőrizhetné őket, ám balszerencséjükre az egyik köztes bank nevében szerepelt a Jupiter szó, ami véletlenül egy iráni szállítások miatt szankciókkal sújtott fuvarozó cég neve is volt, ez pedig automatikusan riasztást váltott ki, és az ellenőrzést végző személynek feltűnt, hogy a Bangladesh Bank soha azelőtt nem kezdeményezett hasonló mértékű tranzakciókat. A kibertolvajoknak így is sikerült 20 millió dollárt meglovasítaniuk, de ha nem buknak le, több milliárd dollár lett volna a kár.

2016: Támadnak az IoT-zombik

2016. október 21-én az internet jelentős része elérhetetlenné vált rengeteg európai és észak-amerikai felhasználó számára. Az első hírek arról szóltak, hogy egy hackercsoport térdre akarja kényszeríteni az internetet. Utóbb kiderült, hogy a támadás hátterében jóval kisszerűbb okok állnak, de az akció sikere rávilágított a netes infrastruktúra gyenge pontjaira. A DDoS, más néven túlterheléses támadások általában botnetekre, vagyis meghekkelt számítógépek zombihadseregeire épülnek, amelyek egyszerre próbálnak elérni egy webhelyet. Mivel a PC-ket a biztonsági szoftverek egyre jobban védik, a hackerek az IoT eszközök felé fordultak. A Mirai botnet csomag, amelyet egy amerikai diák írt, nem tett mást, mint megkereste a nyitott telnet kapuval rendelkező eszközöket, és végigpróbált rajtuk néhány tucat olyan felhasználónév-jelszó párost, amit különböző IoT eszközöknél alapbeállításként használtak. Tömérdek kütyüt – legfőképpen CCTV kamerát – sikerült így hadrendbe állítania. Az első támadási hullám a DDoS támadások elleni védelmet kínáló helyeket célozta, de amikor a Mirai forráskódja kikerült az internetre, egy másik felhasználó a DNS szolgáltatásokat nyújtó Dyn ellen indította harcba, és ennek hatása már valóban pusztító volt.

2021: A Parler lebuktatja saját felhasználóit

Az amerikai Parler Twitter-stílusú helynek indult olyan felhasználóknak, akik úgy vélték, hogy politikai nézeteik miatt cenzúrázzák őket a nagy közösségi hálózatok. Igazi – és meglehetősen kétes – hírnévre a Parler a Capitolium elleni támadás során tett szert: kiderült ugyanis, hogy sok támadó itt egyeztette, vagy dokumentálta tevékenységét. Mindezek alapján az Amazon úgy döntött, lekapcsolja a platform tárhely-szolgáltatását az AWS szervereken, egy hacker azonban az utolsó pillanatban még megpróbált minél több adatot lementeni, és ez meglepően könnyűnek bizonyult a hanyag biztonsági rendtartás miatt. Nem világos, hogy a Parler API-ja egyáltalán nem igényelt-e hitelesítést, vagy csak nagyon egyszerű volt megkerülni, mindenesetre a hackernek sikerült a Parler-tartalmak 99 százalékát megszereznie. Ez az anyag pedig igazi kincsesbányának bizonyult. Kiderült, hogy a törlés funkció csak félig-meddig működött (a törölt tartalom megmaradt az adatbázisban), és a metaadatokat sem tüntették el azokról a kompromittáló képekről, videókról, amelyeket a Capitolium ostromlói készítettek egymásról és magukról.

2021: Megbénul a Colonial Pipeline

2021-ben zsarolóvírus támadás érte az Egyesült Államok keleti partvidékének üzemanyag-ellátásában kulcsszerepet játszó Colonial Pipeline-t. Hat napra leállt a cég teljes működése, ami súlyos üzemanyaghiányt és ideiglenes drágulásokat okozott. Egy darabig úgy hírlett, hogy a vezetékek működtetését végző rendszerek bénultak le, de kiderült, hogy „csak” a számlázó rendszert érte a támadás. Vagyis a Colonial fizikailag képes lett volna gázolajat és egyéb üzemanyagot szállítani, csak épp az árát nem tudta volna kiszámlázni. Az eset jól példázta, hogy ma már milyen szorosan összefonódnak a működési és információs technológiák, és arra is rávilágított, hogy egy bonyolult rendszernek számos olyan sebezhető pontja van, ami szigorúan vett mérnöki nézőpontból észrevétlen marad.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!