Halászat, vadászat -- halőrök, vadőrök 1.: IT biztonság 2010 első negyedévében, 1. rész

Negyedéves összefoglalónk első részének főbb témái: 1. Halászat -- az adatok tengerén 2. Vadászat -- site-ra, szellemi tulajdonra 3. Halőrök, vadőrök -- biztonságpolitika Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Reméljük, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt. 1. Halászat -- az adatok tengerén Januárban történelmi csúcsra hágott az adathalász támadások száma. Az idei év első hónapjában 21 százalékkal több próbálkozást regisztráltak, mint tavaly decemberben -- mutatott rá az RSA Security biztonsági cég elemzése. Az online csalásokról szóló jelentés (Online Fraud Report) szerint 2010 első hónapjában 18.820 támadást észleltek, több mint kétszer annyit, mint egy esztendővel korábban. Valamennyi derűlátásra ad okot, hogy a célba vett márkák száma 2009 decemberéhez képest csak 2 százalékkal emelkedett. Ugyanakkor 35 szervezet most januárban szenvedte el élete első támadását -- ez az adat több mint háromszorosa a decemberinek. Mint a jelentésből kiderül, mind gyakrabban kerülnek a bűnözők célkeresztjébe az amerikai egyetemek. Egyre több esetben találkozni a felsőoktatási intézmények portálját vagy webmail szolgáltatását leutánzó csalárd lapokkal. Továbbra is az Egyesült Államokból indult ki a legtöbb támadás: Amerika részesedése decemberhez képest januárra 12 százalékkal, 57 százalékra nőtt. Ugyan Kína maradt a második helyen, de az itt hosztolt adathalász lapok aránya 17-ről 9 százalékra zsugorodott. A harmadik helyet Dél-Korea, a negyediket Németország foglalta el, 8, illetve 6 százalékkal. És melyek voltak a legnépszerűbb célországok? Egyesült Államok (48 százalék), Nagy-Britannia (34 százalék), Olaszország (5 százalék). Persze az adathalászok magyar vizeken is kivetették hálójukat. Januárban egy hét leforgása alatt kétszer kényszerült arra a CIB Bank, hogy ügyfeleit ilyen támadásra figyelmeztesse. Még szerencse, hogy -- bár a CIB honlapját igazán élethűen sikerült leutánozniuk --, magyarul nem tudtak a bűnözők. Így csalinak szánt, hibáktól hemzsegő, nyilvánvalóan gépi fordítással készült e-mailjüknek -- melyből a VirusBuster munkatársaihoz is jutott -- remélhetőleg senki nem ült fel. Tájékoztatóiban a CIB hangsúlyozta: "az e-maileket véletlenszerűen küldik el nagy mennyiségben interneten megtalálható e-mail címekre, tehát nem a CIB Bank ügyfél-adatbázisában található e-mail címekhez fértek hozzá". Hozzátették: a bank semmilyen esetben nem kéri sem e-mailben, sem SMS-ben az ügyfelei azonosítóit és nem is szólítja fel őket ezek megadására vagy megváltoztatására. Ha nyelvünk ritkasága egyelőre véd is valamennyire, azért nem árt az óvatosság. Kis körültekintéssel -- például jelszavaink gondos megválasztásával -- nagy bajt előzhetünk meg. Mondjuk ezt azért, mert mint a Trusteer online biztonsági cég nemrég közzétett adataiból kiderül, a webbankoló polgárok 73 százaléka használja a számlájához megadott jelszót más, kevésbé érzékeny site-on is. Mi több, a pénzintézeti ügyfelek csaknem fele (47 százaléka) nemcsak a banki jelszót, hanem egyenesen a felhasználónév-jelszó párost alkalmazza más webhelyekre való belépésre. A kutatók azt találták: ha a bank megengedi, hogy az ügyfél maga válasszon felhasználónevet, akkor a "felhasználónév-újrahasznosítás" aránya eléri a 65 százalékot. Ha a nevet a bank osztja ki, akkor valamivel kedvezőbb a helyzet: "csak" az ügyfelek 45 százaléka él ugyanazzal az azonosítóval más site-on. Mi a következmény? Ha valaki véletlenül bedől egy számítógépes bűnöző trükkjének, s kiadja -- mondjuk -- egy közösségi portálhoz használt belépési azonosítóit, akkor a hackernek nagy esélye van rá, hogy ugyanazzal a felhasználónév-jelszó párossal az illető bankszámlájához is hozzáférjen. Legyen legalább három online azonosító-készletünk! -- ajánlja a Trusteer. Egyet csak pénzügyi site-okon használjunk, egyet tartsunk fönn az olyan webhelyekre, ahol nyilvántartják a személyazonosságunkat, végül a harmadikkal a kevésbé érzékeny tájakon szörföljünk! Ez persze még csak az első lépés, hiszen az is nagyon fontos, hogy kellően erős jelszót válasszunk -- olyat, amelyet automatikus módszerekkel (szótárral, próbálkozással) nem lehet feltörni 2. Vadászat -- site-ra, szellemi tulajdonra Szegény embert az ág is húzza. Botrányok, hideg és hó miatti leállások közepette januárban a BKV-ról ráadásul még az is kiderült, hogy site-ja fertőző lapot tartalmaz. A bkv.hu galériáján található "rendesen összekuszált JavaScript kódról elsőként a Buhera blog számolt be. A kártékony program egy orosz domainen keresett további futtatható kódokat. Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője elmondta: a bkv.hu-n talált kód a karácsonyi ünnepek után árasztotta el a világhálót. Meglehetősen kevés biztonsági cég szoftverje ismerte fel -- a VirusBuster közéjük tartozott. Míg kis hazánkban a BKV körül kavargott a por, a világ szeme Amerikán és Kínán volt. Öt kontinensen került a lapok címoldalára: feltehetően Kínából kiinduló "rendkívül kifinomult és jól célzott" hackertámadást intéztek összesen 34 nagy amerikai cég ellen. Először a Google számolt be a szellemi tulajdona elleni akcióról, ám lapértesülések szerint a célpontok között volt a Yahoo, a Symantec, a Northrop Grumman és a Dow Chemical is. A Microsoft tájékoztatóval reagált, melyben megerősítette: a hackerek az Internet Explorer régebbi, 6-os változatának egy újonnan felfedezett sérülékenységét aknázták ki. A szoftveróriás soron kívüli folt kibocsátásával sietett betömni a rést. Ugyanakkor az Egyesült Államok diplomáciai jegyzéket intézett a kínai kormányhoz az eset miatt. Philip Crowley külügyminisztériumi szóvivő közölte: "aggodalmunkat fejezzük ki az incidens miatt, s kérni fogjuk Kínától: magyarázzák meg, hogyan történt, s mit szándékoznak tenni az ügyben". Maga az első számú célpont, a Google március végén bezárta addigi kínai portálját, s az ázsiai ország keresőit hongkongi honlapjára irányítja át. Akár válaszgesztusnak is tekinthető, hogy a kínai hatóságok az incidenst követően, februárban nyilvánosságra hozták: még novemberben bezártak egy céget, amely a vád szerint kémprogram-fejlesztésre és online támadásokra tanított be hackereket. Három személyt letartóztattak, a Black Hawk Safety Net elnevezésű vállalkozást pedig bezárták a rendőrök a Kína középső területén fekvő Hubei tartományban. A Xinhua hírügynökség szerint a cég az ország legnagyobb hacker-kiképző site-ját üzemeltette. Tizenkétezer fizető tagjának hacker eszközöket és trójai programokat kínált, további 170 ezer ingyenes, regisztrált felhasználójának pedig egy szűkítet eszközkészletet. A céget kiberbetörő tanfolyamok szervezésével is vádolják. Jóllehet a Google-incidens lezárult, nem árt, ha a cégek körülnéznek a házuk táján. Bárkit érhet baj: nem kevesebb, mint a programok 58 százaléka ad módot potenciálisan a Google-t ért támadáshoz hasonló hacker-akcióra -- figyelmeztetett egy alkalmazásbiztonságra specializálódott cég, a Veracode. 3. Halőrök, vadőrök -- biztonságpolitika A támadások közepette világszerte szerveződik a védelem is. Március végén tartotta például ötödik éves tanácskozását a számítógépes bűnözésről az Európa Tanács. A strasbourgi konferencia résztvevői a nemzetközi együttműködés javítását szorgalmazták, hogy jobban ki lehessen aknázni a rendelkezésre álló eszközöket, s az országok átvehessék a másutt jól bevált módszereket, kezdeményezéseket. Ugyanilyen fontos a bűnüldözés és az ipar együttműködésének bővítése -- hangsúlyozták. Támogatásukról biztosították a delegátusok az ICANN javaslatát, miszerint szigorítani kellene a domainregisztrációs szabályokat. Mint elhangzott, a rendőrségnek a számítógépes bűnözés elleni küzdelemben fel kellene tudnia használni a WHOIS adatbázist -- persze úgy, hogy ne sértse a regisztrálók személyiségi jogait. Több ajánlást tett a konferencia a felhő alapú technológia elterjedésével összefüggő biztonsági és adatvédelmi problémákkal kapcsolatban is. Az európaiak felszólították a brazíliai Salvadorban áprilisban megrendezendő 12. ENSZ Bűnmegelőzési és Igazságszolgáltatási Konferencia résztvevőit: fogadják el a kiberbűnözés, az elektronikus kémkedés és a kapcsolódó fenyegetések elleni globális akciótervként az Európa Tanács Budapesten 2001-ben lefektetett Számítástechnikai Bűnözésről Szóló Egyezményét. A szerződést eddig 29 -- jórészt európai -- ország ratifikálta, de csatlakozott hozzá az Egyesült Államok is. Portugália és Montenegró a mostani konferencia alatt lépett be a táborba, s Argentína ugyancsak jelezte: elfogadná az egyezményt. Nagy-Britannia, Spanyolország és 17 további állam aláírta, de még nem ratifikálta a szerződést. Rímel az európai konferencián elhangzottakra, hogy Oroszországban megszigorították a domain-regisztrációt. Április 1-jétől csak azonosító okmányok felmutatásával lehet .ru kiterjesztésű domain-nevet bejegyeztetni. Az orosz legfelső szintű domaint kezelő koordinációs központnál magánszemélyeknek az útlevelüket, vállalkozásoknak pedig a cégkivonatukat kell bemutatniuk. Biztonsági szakemberek és az amerikai bűnüldöző hatóságok szerint Oroszország azért olyan népszerű a számítógépes nehézfiúk körében, mert a kontinensnyi államban rendkívül nehéz bíróság elé állítani őket. Így a spammerek, kártevő-terjesztők és társaik szinte büntetlenül tevékenykedhetnek. Az új rendelkezés célja, hogy a kiberbűnözők ne tudjanak olyan könnyen hamis néven domaint bejegyeztetni. Elvégre, ha hamis papírokat is be kell szerezniük, az mégiscsak drágább és tovább tart. Az ugyancsak hacker-paradicsomként számon tartott Kína decemberben vezetett be hasonló szabályokat.