CYBERHÁBORÚ
Ezt a fejezetet barátaim miatt írtam, mert állandó vitatémánk a harmadik világháború kapcsán a cyberháború:
A romantikus hacker képe, mely a ’83-as WarGames című filmben például jól kirajzolódik, a következő: van egy fiú, aki hacker, általában jóképű, tartozik hozzá egy lány, együtt söröznek, buli, Fanta, és megmentik a világot. De ahhoz, hogy valaki hacker lehessen, nem feltétlenül kell zseninek lennie, csak sok szakirodalmat kell olvasnia.
A kolozsvári hacker, Butyka Róbert a YouTube-ot például úgy törte fel, hogy olvasta, felfedeztek egy sebezhetőséget az oldalon. Ő csak kipróbálta, hogy a YouTube kijavította-e a hibát, és mint kiderült, nem. Butyka, aki a NASA szerverét is meghackelte, jellemzően úgy bukott le, hogy Kolozsváron a haverjainak eldicsekedte, mit tett, mire képes, és hagyományos módszerekkel, vagyis besúgással elkapták. Ügyes volt, de rettenetesen nagy dolgokat nem csinált.
A hackerek olyanok, mint Columbo felesége -, mindenki hallott már róla, de senki se látta. A hackerek átlagos gyerekek. Ami jellemző rájuk: általában huszonévesek, saját magukat képezik, mert nem lehet beiratkozni semmilyen hackerképzőre, de ott a Google, az interneten minden megtalálható. Általában beszélnek egy vagy két nyelvet, az angol az alap.
A romantikus, magányos harcos hacker képét az információ-biztonsági szakember szerint ma már el kell felejteni, a múlté. Ha ma a hacker bűnözésre adja a fejét, akkor szervezetten teszi. Például profin spammel, mely nagyobb biznisz lehet, mint a drogkereskedés.
Spammeléssel például rengeteg hamis Viagrát lehet eladni egyetlen szobából, és nem kell hozzá kimenni Kolumbiába lövöldözni, bár kell hozzá egy jó csapat. Például egy számítógépes szakember, egy marketinges, aki szépen megírja a spamlevelet, több nyelvre lefordítja. A befutott pénzt át is kell mosni, stb. Az interneten ma már ötven dollárért 24 órára ki lehet bérelni egy spamküldő rendszert.
Vagy ott vannak a hamis adománygyűjtő oldalak. Jönnek az amerikai választások, várhatóan jópáran hamis oldalakkal gyűjtögetnek majd a liberálisoknak. Egy kis cyberbűnözéshez egyébként nem kell messzire menni, külföldön például Râmnicu Vâlceát hackerville-nek hívják, a városból irányít/irányított néhány srác egy olyan rendszert, mellyel Amerikából nyúlnak/nyúltak le pénzeket.
A hackerek viszont nem mind bűnözők, hanem többségük magasan képzett IT-security szakember, és csak a médiának köszönhetjük, hogy ilyen kép él a köztudatban. Az IT-biztonság azt diktálja, hogy tanuljunk tőlük: egy ismerősöm például munkája során nem egy rendszer sebezhetőségét kutatta fel pont azért, hogy a valódi támadásokat ki tudja védeni.
Sok kormány, cég egyáltalán nem veszi komolyan az IT-biztonságot, márpedig ha két ország egymásnak esik, azt nem fegyveres katonákkal teszi, hanem hamis oldalakkal, dezinformálással, kémkedéssel stb.
Hogy a kormányok mekkorát bakizhatnak a biztonsági intézkedések mellőzése miatt, jól illusztrálják az amerikaiak. Amikor az amerikaiak Afganisztánba küldték a méregdrága lopakodó repülőgépeiket, az afgánok kiszúrták, hogy a műholdas kommunikációval ellátott masinák sima, kódolatlan szöveggel kommunikálnak a bázisállomásokkal. Az afgánok egy ingyenes szoftver segítségével rájöttek, hogy az amerikaiak mely területeket térképezték fel, amiből nem volt nehéz kikalkulálni, milyen célpontokat akartak megtámadni, vagy mi érdekelte őket. Az amcsik dollármilliókat költöttek a lopakodó gépekre, de arra már nem futotta, hogy titkosítsák a kommunikációjukat.
Ki kell találni és meg kell valósítani a B és C kommunikációs alternatívákat, mert ha két ország egymásnak fog esni, elsőkén a mobilkommunikációt fogják megbénítani. De nem azzal, hogy lebombázzák a GSM-tornyokat, hanem mindenki telefonjára eljuttatnak egy vírust, ami lehet, hogy már ott van, csak még nem aktiválták.
Oda kell figyelni a titkosításra, az ipari kémkedésre. Össze kell állítani egy hackerlistát, mely alapján, ha gáz van, mozgósítani lehet az IT-szakembereket. A kormány elvégzett már egy olyan felmérést, melyben arra voltak kíváncsiak, hányan állnának be hackerként önkéntesnek, ha megtámadnák Magyarországot. Kiderült, nagyon sokan.
20 jól képzett szakemberrel akkora támadást lehet mérni egy országra, hogy annak elkezdjen csökkeni a GDP-je. Simán hisztériakeltéssel. Például azzal, hogy a meghackelt internetes lap oldalára kiírják, lemondott a miniszterelnök.
A júzert is manipulálják, nem csak a kódot, ezért nem utolsó sorban ki kell elemezni a múlt támadásait, mert rengeteget lehet tanulni belőle. A stuxnet vírustámadás kitűnő példa erre. A vírust Irán ellen vettette be az amerikai és az izraeli titkosszolgálat, amikor kiderült, Irán urándúsító centrifugákat vásárolt, melyeket egy atombunkerben működésbe is hozott. A vírust egymillió dollárért fejlesztették ki, és a centrifugák működésében okozott üzemzavart.
A stuxnetet külsőleg jutatták be a centrifugákat működtető számítógépes rendszerbe egyszerű USB drive-okkal. A külső hordozókat szétszórták abban a városban, ahol a bunker lapult, és azok előbb-utóbb bekerültek a rendszerbe. Ezt a módszert egyébként máshol is előszeretettel használják.
Körülbelül úgy, mintha egy bank épületében vírusokkal fertőzött cédéket szórnánk szét, melyekre a következőket írnánk: fizetési lista, Kiszel Tünde pucér képei, a magyar gárda tagjai.
Nem árt tehát, ha máris hozzászokunk az olyan kifejezésekhez, mint a cyberWar (kiberháború), az e-soldiers (e-katonák), az e-mercenaries (e-zsoldosok) és a cybercrime (kiberbűnözés). De addig is tiszteljük a hackertársadalmat, legalábbis a nem bűnöző részét, mert ők lehetnek a harmadik világháború hősei.
BŐVEBBEN
A hadviselés és a számítástechnika kapcsolata egészen ez utóbbi kezdetéig megy vissza: már az első számítógépeket is katonai célú számításokra építették, és ezt követően a hadseregek mindig az informatika legnagyobb (és rendszerint úttörő) felhasználói közé tartoztak.
A modern fegyver- és kommunikációs rendszerek elképzelhetetlenek és használhatatlanok a komplex informatikai háttér nélkül, de egyre inkább megjelennek a személyi harceszközökben és a harcászati eljárásokban is. (Ma már nem számít különlegességnek, hogy a harctéren tartózkodó katona a csuklójára erősített kis képernyőn valós időben nézze a pilóta nélküli felderítő repülőkről továbbított videoképeket.)
Ezzel együtt a számítógépek és a hálózatok a magánemberek és a civil közigazgatás mindennapjaiba is egyre mélyebben ágyazódnak be. Nem csoda, hogy a számítógépek és hálózatok nemcsak segítői, hanem célpontjai is lettek a támadásoknak – beköszöntött a cyberháborúk korszaka.
A modern hadviselésben a cybertér a háború földi, légi, tengeri és kozmikus színterekkel egyenértékű tartománya. Katonai szempontból nem csupán az internetet és az abba bekapcsolt számítástechnikai eszközöket értik rajta, hanem minden olyan, elektronikai eszközökből és számítógépekből álló hálózatot, amelyek részei egy ország támadó és védelmi infrastruktúrájának.
Mára a nagyhatalmak katonai doktrínáiban is megjelent a cyberháború. A cél az úgynevezett cyberfölény megszerzése, ami három elemből áll: a hálózatba kapcsolt elektronikai rendszerekkel az információ biztosítása a kialakult és a várható helyzetről; az ellenség elektronikus információs rendszerei működésének korlátozása és akadályozása; végül a saját információs képességek kihasználása és megóvása az ellenség cybertámadásaival szemben.
Az elméletet követi a gyakorlat is: az USA légiereje már létrehozta saját cyberparancsnokságát (Air Force Cyber Command), amelynek feladata, hogy fizikai és számítógépes támadó eszközökkel és módszerekkel csapást mérjen az ellenséges ország felderítő rendszereire, katonai távközlési hálózataira és vezetési rendszereire, valamint a kritikus információs infrastruktúrákra (internet, mobiltelefon-hálózatok, az energiaellátás irányító rendszerei).
Mindez nem sokban különbözik attól, amit a hagyományos háborúban a légierőtől várnak el. Konfliktus esetén annak is az a feladata, hogy kiiktassa az ellenség vezetési pontjait, hírközpontjait, kommunikációs infrastruktúráját, képességét, és kivívja a légi fölényt, vagyis ugyanezektől a lehetőségektől megfosztja az ellenfelet.
Mind a megelőző légicsapás, mind a cybercsapás célja az, hogy az ellenséges haderő hosszabb-rövidebb időre vezetés nélkül maradjon. A modern doktrínában már nemcsak a légtérben zajlik a megelőző csapás, hanem azt megelőzősen már a cybertérben is.
Miközben a katonai elmélet pontos definíciókat alkalmaz, a napi gyakorlat már korántsem ilyen egyértelmű. Manapság már a hagyományos fegyveres konfliktusok sem feltétlenül nemzetállamok között zajlanak, hanem különféle érdekcsoportok között – gondoljunk csak az USA terrorizmus elleni háborújára, amelyet „negyedik generációs hadviselésnek” hívnak.
Legyen szó hagyományos vagy cybertámadásról, a hadseregek, terroristák, sőt, a bűnözők is sokszor ugyanazokat az eszközöket és módszereket alkalmazzák – természetesen különböző – céljaik elérésére. De ahogyan nem minden lövöldözés számít háborús cselekménynek, ugyanúgy egy internetes támadás – okozzon bármilyen komoly károkat – nem feltétlenül egy cyberháború eleme. Ha hackertámadás következtében leáll az áramszolgáltatás egy területen, az lehet cyberbűnözők, -terroristák vagy éppen cybertámadás műve. Hogy éppen minek kell tekinteni, az alapvetően a támadók motivációitól, céljaitól és a támadás körülményeitől függ.
A háborúhoz fegyverek kellenek – a cyberháborúhoz pedig értelemszerűen cyberfegyvereket kell alkalmazni. (Kivéve persze azokat az eseteket, amikor a másik fél infokommunikációs infrastruktúrájának fizikai elpusztítása a cél.)
Ezek a fegyverek ugyanolyan jellegűek, mint amilyeneket a „civilek” használnak ahhoz, hogy betörjenek más rendszerekbe, adatokat lopjanak bankoktól, weblapokat módosítsanak.
Ezek az eszközök jóval fejlettebbek, mint azok az interneten keringő kódok, amelyeket gyakorlatilag bárki letölthet magának. A hadseregnek rendelkezésére állnak azok a szakemberek és azok az erőforrások, amelyek lehetővé teszik, hogy új sérülékenységeket kutassanak fel a kereskedelmi és egyedi szoftverekben, kódokat írjanak azok kihasználására, majd kimódolják, hogyan tüntethetik el nyomaikat a támadás után. Ezeket a sérülékenységeket és eszközöket persze nem verik nagydobra – megőrzik őket akkorra, amikor egy konfliktusban szükség lesz rájuk.
A mai polgári informatikai rendszerek annyi biztonsági hibától szenvednek, hogy a katonai nagyhatalmak is biztosan rendelkeznek az ezeket kihasználni képes eszközökkel. Az is biztos, hogy vannak sérülékenységek, amelyeket – akár hírszerzési, akár üzleti okokból – nem publikálnak, és ezekhez olyan saját fejlesztésű, speciális vírusokat, férgeket készítettek, amelyeket nem ismer a világ, és amelyek igen nagy kárt tudnának okozni. Bár a titkos vírusok és egyéb kártevők – éppen ismeretlenségük miatt – kezdetben nagy károkat tudnának okozni, működésük mégsem különbözhet olyan nagymértékben a jelenleg ismert internetes fenyegetésektől. Ebben az esetben pedig előbb-utóbb fel lehet venni a harcot ellenük, különösen, ha a védelemre is nagy erőket lehet mozgósítani. Ha a kiterjedt károkozás, a hálózatok megbénítása a cél, akkor a „cyber-atombombánál” hatásosabb lehet egy jól irányzott, az adott ország internetes infrastruktúrájának kulcselemét leromboló bomba (vagy akár e-bomba).
A cybertámadások formája igen sokféle lehet. Az egyik legnyilvánvalóbb lehetőség az internet nagy részének elérhetetlenné tétele, legalábbis időlegesen. Erre is a fizikai módszer (a legfontosabb nemzetközi kábelek elvágása) lehet a legjobb módszer.
Ha ennél kifinomultabb módszereket akar alkalmazni a hadviselő fél (ahogy a katonai szakzsargon hívja, „sebészi pontosságú támadást végrehajtani”), akkor támadhat egy-egy intézményt, annak kommunikációját vagy hálózatát. Erre számtalan példát láthattunk az elmúlt időszakban, Észtországtól Grúzián át a gázai övezetig. Katonai célpontokról szólva logikusnak látszanak a katonai vezetési pontokon működő hálózatok vagy az utánpótlásokat intéző hálózatok elleni támadások.
Mindezeken túl a civil infrastruktúra, a polgári technológia ellehetetlenítése, blokkolása is a célok között van.
A mobil-, internethálózatok, telefonrendszerek bénítása informatikai eszközökkel egyebek mellett azt készíti elő, hogy a fegyveres támadás esetén a civilek ne segíthessék a védelmet, hiszen ma már egy mobiltelefonnal is lehet mozgóképet készíteni és továbbítani.
A cyberháború célja azonban korántsem csak a pusztítás lehet. Egy nem működő ellenséges hálózatnál stratégiai szempontból sokkal többet ér egy olyan hálózat, amelyen észrevétlenül le lehet hallgatni a rajta átmenő kommunikációt, hasznos információhoz jutva ezáltal.
Ennél már csak az ér többet, ha az adott rendszert a saját céljaim szolgálatába tudom állítani: olyan hamis bemeneti adatokkal látom el, amelyek alapján az ellenoldali döntéshozók rossz – de az én céljaimnak megfelelő – döntésekre jutnak.
Ha elferdített vagy hamis információkkal az egyik fél eléri, hogy az ellenfél katonái vagy a civilek pánikba essenek, demoralizálódjanak, azzal máris közelebb jutott céljainak eléréséhez. Minden esetleges túlzása ellenére jó példa erre a Die Hard 4.0 című film, ahol is az infokommunikációs rendszereket ellenőrzésük alá vonó terroristák a lerombolt Capitolium képét táplálják be az országos tévéhálózatok adásába.
Az információs hadviselés középpontjában már az információ, az információs dominancia megszerzése áll. A dominancia ebben az esetben nem csupán a harctéri információk feletti uralmat jelenti, hanem a közvélemény befolyásolását, megnyerését is.
Minden konfliktusnak legalább két narratívája van, hiszen mindkét fél a saját igazát igyekszik bizonyítani. Ha viszont az egyik fél információs fölényre tesz szert, és így információs dominanciát vív ki – mint tette azt Oroszország a Grúzia elleni konfliktus idején –, akkor gyakorlatilag csak az általa kialakított kép jut a világ közvéleményének tudomására.
„Ha a világot magad mellé tudod állítani, akkor gyakorlatilag neked van igazad” – összegzi a némiképp cinikus tanulságot a biztonsági szakértő.
A cyberhadviselés egyik legfőbb célpontja az infokommunikációs infrastruktúra, így ennek védelme elsődleges fontosságú. Minél nagyobb mértékben támaszkodik egy társadalom az infokommunikációs technológiákra napi működésének során, annál sebezhetőbbé válik a cybertámadásokkal szemben.
Mivel az informatika ma már gyakorlatilag minden iparágban meghatározó szerepet játszik – mind kommunikációs csatornaként, mind pedig az alapműködést támogató technológiaként –, ezért az egyik legfontosabb infrastruktúrának számít a távközlés és az informatika, az energetika és a közlekedés mellett.
A rossz hír az, hogy ezeknek a rendszereknek a védelme még sok kívánnivalót hagy maga után. Önámítás lenne azt gondolni, hogy ezek mentesek lennének az informatika szokásos gyengeségeitől.
Ráadásul kialakult egy ördögi kör: azért, hogy a szolgáltató minél jobb szolgáltatásokat tudjon kínálni, egyre több informatikát alkalmaz, a hagyományos – és alapvetően izolált, így meglehetősen biztonságos – termelői rendszereket összekapcsolják az informatikai hálózatokkal, ami viszont ismét csak növeli a sebezhetőséget.
A veszély valós, még ha attól nem is kell tartanunk, hogy terroristák vagy egy ellenséges állam megbéníthatja egy ország fontos infrastruktúráit olyan módon, mint ahogy a már említett Die Hard 4.0-ban bemutatták.
Ugyanakkor a figyelmeztető jelek szaporodnak: a filmben a „rossz fiúk” behatoltak a közlekedésirányítási rendszerbe, és a lámpákat mindenütt zöldre állítva idéztek elő közlekedési káoszt a városokban.
Egy minapi hír szerint pedig ismeretlen hackerek a texasi Austin városában betörtek az elektronikus közlekedési táblákat irányító informatikai rendszerbe, megváltoztatták a jelszavakat, és néhány forgalomelterelésre figyelmeztető tábla szövegét. Ezek a hackerek szerencsére csak vicces üzeneteket – „Vigyázat, zombiveszély!” – hagytak az autósoknak.
Magyarországon is oda kell figyelni ezekre a veszélyekre, mert a fenyegetettség már nagyon lényeges. A nagy infrastruktúrák központi működést irányító rendszerei viszonlag jól védettek a külső behatolások ellen, ami viszont már korántsem mondható el a szolgáltatási környezetet jelentő rendszerekről (számlázás, ügyfelek adatai). Ezeken keresztül magát a szolgáltatást nem lehet megbénítani, de az előfizetők, felhasználók adatainak megszerzésével igen komoly károkat lehet okozni.
A kormányzat felelőssége a kritikus infrastruktúrák védelmében mindenki másénál nagyobb. Egyrészt azért, mert az állam maga az egyik legnagyobb infrastruktúra-tulajdonos, másrészt pedig azért, mert a szabályozáson keresztül az összes többi infrastruktúra-tulajdonosra képes hatni.
Az állam például azzal is járhatna elöl jó példával, hogy infokommunikációs rendszereinek biztonságáról nem utólag gondoskodik, hanem már a tervezés fázisában figyelembe veszi a várható kockázatokat, és felkészül azok kivédésére. Ez ugyanis nem csupán csökkenti a veszélyeket, hanem jóval kevesebbe is kerül, mint az infrastruktúrák utólagos megerősítése.
Az államnak hasonlóképpen kellene eljárnia, mint az üzleti élet szereplőinek, teszi még hozzá: a nemzeti kritikus infrastruktúrákra vonatkozóan ugyanúgy kellene katasztrófavédelmi tervet (disaster recovery plan) készíteni, mint ahogy egy bank csinál ilyet saját számítóközpontjára.
Az is igaz viszont, hogy állami szinten sokkal nehezebb meghatározni a kockázattal arányos védekezés mértékét. Nemcsak a kockázatok változnak napról napra a nemzetközi helyzet és az informatika fejlődésének következtében, de a káresemények anyagi hatásainak kiszámítása is nehézségekbe ütközik. Egy bank meg tudja mondani, hogy mennyibe kerül neki félnapi leállás, de ki vállalkozik annak kiszámítására, hogy nemzetgazdasági szinten milyen károkat okoz egy országos vasútvonal kétnapos kiesése vagy egy fél megyére kiterjedő egynapos áramszünet?
A biztonságpolitikai tanácsadó szerint csak akkor lehet hatékonyan fellépni a nemzeti kritikus infrastruktúrák védelmében, ha az erőfeszítéseket viszonylag magas szinten összefogja a kormányzat. Magyarországon számos helyen – a CERT-ben
https://nki.gov.hu/intezet/tartalom/kapcsolat/
a Nemzeti Nyomozó Irodában, a BRFK-n és természetesen a Nemzetbiztonsági Hivatalban – is foglalkoznak a cybertérből érkező fenyegetésekkel, illetve azok elhárításával.
Ezek koordinálására, a párhuzamosságok kiküszöbölésére, a védelmi tervek hatékonyságának felmérésére külön intézményrendszerre lenne szükség – én még egy ezzel a feladattal megbízott államtitkárságot, kormányhivatalt is el tudnák képzelni, amely többek között más nemzetek hasonló intézményeivel tartaná a kapcsolatot.
Szabályozni kell az incidensek kezelésének és nyilvánosságra hozatalának folyamatát is. Egy jól működő információvédelmi szervezet nem csupán a már bekövetkezett események felderítésével foglalkozna, hanem aktívan tenne azért, hogy a cybertámadások a lehető legkisebb kárt okozzák.
A cyberterrorizmus és a cyberbűnözés elleni védelem csak globálisan lehet igazán hatékony. Ennek érdekében szükség lenne olyan nemzetközi szerződésekre, amelyek lehetővé tennék a közös fellépést az internet globális infrastruktúráját használó bűnözői csoportok ellen. Ha pedig a cyberbűnözők ellen hatékonyabban tudunk védekezni, akkor egy cyberháború sem okozhat akkora problémát.