Talán kezdjük egy érdekességgel: manapság a zsarolóvírus-támadásokat elkövető bűnözői csoportok információs szolgáltatást üzemeltetnek, ahol az áldozataik felvehetik velük a kapcsolatot, és mintha tisztességes IT-szolgáltató cégek lennének, „ügyfélszolgálati” vonalat tartanak fenn az „ügyfeleiknek”, mondjuk úgy, „tárgyalás” céljából. Ezeken a csatornákon keresztül az áldozatok tulajdonképpen alkudozhatnak a támadókkal, hogy mennyit hajlandók fizetni azért, hogy egyrészt visszakapják a titkosított adataikat, másrészt, hogy az esetlegesen ellopott adataik ki ne szivárogjanak „valahogy”. Roppant cinikus módon a bűnözői csoportok a kommunikációban korrekt üzleti nyelvet használnak, mivel ők is „üzletemberek”, akik „szeretnék megoldani ezt a problémát”.
Egyre jobban híznak a „szégyenlisták”
A bűnözői csoportok felületeire napi rendszerességek kerülnek ki az áldozatok adatai. Az első körben alapadatok: név, weboldal, ország és tevékenységi kör, majd később – ha a tárgyalások úgy, vagy éppen nem úgy alakulnak – az áldozatoktól ellopott adatok is elkezdenek szivárogni. Először akár csak a metaadatok (hány fájl, mekkora méretben), aztán pedig az éles adatok (benne gyakran személyes és különleges adatok is) tömegével: akár több 100 gigabájtnyi méretben, több akár százezres nagyságrendű fájl formájában.
A bűnözők célja egyértelmű: minél nagyobb nyomást helyezni az áldozatokra annak érdekében, hogy azok fizessenek, sőt ezzel már a jövő áldozatainak is üzennek: „Így járhatsz te is!”
Meg kell jegyezni, hogy az áldozatok adatai többnyire a támadások után napokkal, vagy 1-2 héttel később kerülnek ki ezekre a „szégyenlista” weboldalakra, általában azért, hogy növelje a támadó zsarolási potenciálját. A zsarolóvírus-csoportok leginkább a támadás kivitelezése után egyből, közvetlenül zsarolják meg az áldozatokat, és ez a fajta nyomásgyakorlás, illetve az adatok kiszivárogtatása abban az esetben történik meg, hogy az előzetes alkudozás nem vezet eredményre.
Még mindig nem szabad fizetni a bűnözőknek!
Itt tegyünk egy fontos megjegyzést: a fentiekkel együtt, vagy ezek ellenére senkinek nem ajánljuk, hogy fizessenek a bűnözőknek, több okból sem! Egyrészt ezzel arra motiválják őket, hogy folytassák ezt a tevékenységet, hiszen lám, jó bevételt szereznek belőle. Másrészt ez kommunikációnak sem jó a szervezet szempontjából, hiszen így az áldozat ezzel kijelöli magát „jól fizető kuncsaftnak”, így ne lepődjön meg, ha később újra áldozattá válik – az úgynevezett hackerbecsületszó, amire a zsarolók hivatkoznak néha a leveleikben, a szervezett bűnözés világában nem létező fogalom.
További ellenérv, hogy vélhetően igen rossz szemmel nézné a pénzügyi osztály, illetve a könyvelés, amikor váltságdíjat kellene lekönyvelnie.
Rossz forgatókönyvből bőven akad
Egyes biztonsági cégek, tanácsadók és informatikai vállatok, illetve lelkes amatőrök is gyűjtik a nyilvánosságra kerülő adatokat a különböző bűnözői csoportok vagy egyes biztonsági portálok összesítő oldalairól, napi rendszerességgel figyelve ezeket. IT-cégeknél, illetve biztonsági tanácsadó cégeknél. Ennek egyértelmű az oka: senki sem szeretné ezen a listán találni valamelyik ügyfelét.
Jegyezzük meg, hogy az már alapesetben egy rossz forgatókönyv, ha így derül ki a dolog, mert ez azt jelenti, hogy az esemény már vélhetően napokkal ezelőtt megtörtént, de a szervezet vagy nem tudott róla, vagy nem vette komolyan.
Amikor pedig egy cég adatai elkezdenek szivárogni, akkor az már egyértelmű bizonyíték arra, hogy az incidens megtörtént, másrészt a szervezet nem kezelte ezt a helyzetet a súlyának megfelelően, és nem vizsgálta ki az ügyet. Ilyenkor az időfaktor miatt – a rendszer működése és a támadók esetleges tevékenységének köszönhetően bizonyítékok semmisülnek meg – az utólagos vizsgálatok várható sikeressége is drasztikusan csökken.
Nem feltételezném, hogy bármelyik szervezet szándékosan hallgatna el ilyen incidenst, mivel az súlyos hiba lenne. Ezt a hatóságok – pl. NKI, NAIH, SZTFH – az eljárásaik során komoly súlyosbító körülménynek ítélik, mivel az incidensek bejelentése adott határidőn belül kötelező, és ennek elmulasztása a későbbi büntetési tételt is befolyásolja, természetesen szignifikánsan felfelé. Másrészt ez az érintettekkel, az ügyfelekkel szemben is roppant aggályos, mivel ez komolyan károsítja azt a bizalmat, amit az ügyfelek a szervezettel szemben éreznek, abban a tekintetben, hogy jó kézbe adták-e például az érzékeny egészségügyi adataikat. Ezzel együtt az idén áprilisi történet állatorvosi ló abból a szempontból, hogy hogyan kell elrontani egy ilyen helyzetet.
Nem áprilisi tréfa volt: magánegészségügyi adatok kerültek ki
Az április eleji eseménynél úgy tűnik, hogy az internet népe vette észre az incidenst a fent említett forrásokból, és roppant kínos volt, hogy egy felhasználó a szervezet üzenőfalán kérdezett rá, hogy ezzel kapcsolatban nem fognak-e tájékoztatást kiadni. Már érzékeny adatok szivárogtak ki az interneten, amikor a szervezet vélhetően valóban realizálta a támadást, és reagálni kezdett rá.
Sajnos a helyzetet a cég ezután is rosszul kezelte, még három héttel később is egy roppant rövid, semmilyen konkrétumot nem tartalmazó adatvédelmi tájékoztató volt kint az oldalukon (elrejtve a menüpontok között), annak ellenére, hogy ekkor már a szivárgás miatt bőven ismerhető volt, hogy a technikai adatok – például jelszavakat is tartalmazó fájlok (!) – mellett – különleges személyes adatnak számító (!) – egészségügyi adatok nagy mennyiségben szivárogtak ki.
Véleményem szerint ilyenkor sokkal célravezetőbb az őszinte és pontos tájékoztatás, mivel ezzel lehet némileg visszanyerni a bizalmat, másrészt ezt a hatóság is pozitívabban értékeli.
Hogy lehet „időben” detektálni egy hasonló támadást?
Felvetődik a kérdés, hogy hogyan lehet egy ilyen támadást megelőzni, vagy „időben” detektálni.
Elsősorban fontos a pontos és alapos üzemeltetői munka: a szolgáltatások jó beállítása, a szoftverek, alkalmazások frissítése kiemelt fontosságú. Ehhez a témakörhöz tartozik a hálózati határvédelem szükségessége (tűzfal, VPN, egyéb hálózati kapcsolatok védelme), továbbá a megfelelő, frissen tartott végpontvédelem.
Tekintettel arra, hogy minden támadás nyomokat hagy, így ezeket a rögzíteni is lehet (és kellene is), és elemezni is szükséges: azaz egy komolyabb értékeket jelentő szervezetnél mindenképpen szükséges központi naplógyűjtő és -elemző rendszer alkalmazása. Itt ki kell emelni, hogy ezek alapos beállítása szükségszerű, enélkül a biztonsági rendszer nem fog megfelelően működni!
Bizonyos nem szokványos esetek (például adminisztrátori felhasználó létrehozása, normál jogosultságú felhasználó adminisztrátori csoportba léptetése vagy magas jogosultságú inaktív felhasználó aktiválása) azonnali riasztást kell eredményezzenek. Egy riasztórendszer beállítása lényegesen több annál, mint egy szoftverlicenc megvásárlása és a központi kiszolgáló telepítése. Megjegyezzük, hogy ez a terület az elmúlt években sokat fejlődött, és manapság akár szolgáltatásként is megvásárolható.
Mindezen védelmi rendszerek beállításának támogatásához elengedhetetlen a rendszeres sérülékenységvizsgálat. Ezek életszerűen szimulálják azt, amit támadók is csinálnak: felderítik a műszaki hibákat, és megpróbál hozzáférni a rendszer érzékeny részeihez, adataihoz.
A sérülékenység vizsgálatok eredményeit elemezve el lehet hárítani a technikai hibákat, illetve segít olyan üzemeltetői, fejlesztői gyakorlatok kialakításában, amelyekkel megelőzhetők a zsarolóvírus-támadások. Emellett a tudatos készülés arra is rávilágít, hogy milyen technikai fejlesztések szükségesek egy ilyen probléma esetleges kárelhárításához.
Ahogy a régi forgácsolómondás is tartja: „Jobb ma egy szemüveg, mint holnap egy üvegszem!”, azaz készüljünk tudatosan előre ezekre a típusú támadásokra, mivel a trendekből úgy tűnik, hogy sokáig velünk maradnak.
(Szerző: Erdei Csaba | Kép: Unsplash, Flickr)
