Hálózati csaták: a furcsa háború

Nincs hét vagy hónap, amikor nem kap szárnyra hír hackerek és malware fejlesztők egy-egy újabb húzásáról vagy „remekművéről”, amely nem csak otthoni és vállalati felhasználók életét keseríti meg, hanem kormányzatok vagy kormányzati szervek működésében okoz zavart és kelt pánikot. Egyre inkább biztosnak tűnik, hogy egy „furcsa háború” résztvevői vagyunk, ahol hivatalos hadüzenet nélkül zajlanak a műveletek. A célpontok jól ismertek és sebezhetőek, a támadók pedig felkészültek és alaposak.

A háború azért is furcsa, mert nem tisztázottak a szövetségi viszonyok. Nem pusztán hatalmi tömbök összecsapása ez, hanem a tömbökön belül a szövetségesek gyakran egymás ellen is folytatnak olyan műveleteket, amelyek messze túlnyúlnak az elfogadott hírszerzésen és a stratégiai és gazdasági adatgyűjtés kategóriájába tartoznak, és akár egészen meredek húzásokkal igyekeznek a felek előnyhöz jutni (ide sorolható akár Angela Merkel német kancellár NSA-lehallgatása, vagy a német titkosszolgálat akciói a török kormányzat, a francia elnöki palota és az Európai Bizottság ellen).

A műveletek legfontosabb szereplői az orosz, kínai és az amerikai kormányzatok, de nem kell félteni az európai államokat sem, és természetesen a NATO, mint hatalmi tömb, maga is aktív résztvevője ennek a furcsa háborúnak. Angela Merkel a török kormányzattal kapcsolatos botrány kirobbanásakor azt nyilatkozta, hogy „barátok nem kémkednek egymás után” – és ha ez így van, kijelenthető, hogy a kiberhadviselésben egyáltalán nincsenek barátok.

Kibertámadások kormányzatokra szabva

A 2013-2014-es trendeket figyelembe véve, a kormányzatokat érő kibertámadások leggyakoribb módszere (természetesen a klasszikus túlterheléses támadások mellett) az APT malwarek segítségével történő beszivárgások és információ kiszivárogtatások. Az APT (Advanced Persistent Threat) malwarek nagyon fejlett lopakodó és álcázó képességekkel bírnak, céljuk pedig legtöbb esetben a konkrét adatlopás és információszerzés.

Az APT elleni védekezés meglehetősen nehézkes, mivel a támadó kódok álcázási képességeivel és polimorfizmusával szemben a hagyományos, szignatúra-felismerő védelmi technikák és a hagyományos Anti-Vírus/Anti-Malware rendszerek sandbox-vizsgáló módszerei a legtöbb esetben tehetetlenek. APT támadásokkal szemben APT védelmi rendszerre van szükség, azonban ezek a technológiák még nem elterjedtek széles körben, meglehetősen költségesek, magas szintű használatuk pedig komoly szakmai ismereteket igényel.

A kormányzati rendszerek védelmével foglalkozó szakemberek életét egyre inkább megkeserítik az APT támadások, nem csak a felfedezésük és elhárításuk nehézkes, de a sajtóban is egyre nagyobb visszhangot kapnak ezek az incidensek. A kínai „k3chang” APT malware fejlesztői a támadást az európai külügyminisztériumok rendszerei ellen célozták, az APT28 gyaníthatóan orosz gazdái pedig többek között a NATO-t vették célba.

Az NSA-hoz köthető csoport, az Equation által fejlesztett malwarek kormányzati, energia és hadiipari cégeket fertőztek meg és folytattak évek óta adatszivárogtatási műveleteket több, mint 40 országban. A csoporthoz legalább 500 olyan malware köthető, amelyek 10 éve tevékenykednek, hozzájuk kapcsolódik a merevlemezek firmware-be épülő, gyakorlatilag elpusztíthatatlan malware is, amelyet felkészítettek a Seagate, Western Digital, Toshiba és Samsung adathordozókon való működésre is.

Néha lövések is dördülhetnek

Előfordul, hogy a furcsa háborúban igazi lövések is eldördülhetnek. Ez az a pont, ahol a háború kilép a kódsorok közül, és a „hagyományos” módszerek veszik át az uralmat. A módszerek ebben az esetben is széles skálán mozognak, a „fekete” műveletek mellett megjelennek a hivatalos, és elfogadott, (egyelőre) visszatartó szándékú tevékenységek és lehetőségek.

Irán rendelkezik az egyik legnagyobb és legerősebb kiberhaderővel, potenciálja Oroszországgal és Kínával vetekszik (nem csoda, Oroszország jelentős segítséget nyújtott és nyújt Iránnak). 2013-ban holtan találták Mojtaba Ahmadi-t, az iráni kiberhadviselés vezetőjét, két lövés végzett vele. Ahmadi személyéhez fűződik az emlékezetes drón-akció is, amikor az iráni hackerek leszállásra kényszerítették és megszerezték az amerikaiak egyik RQ-170-es Setninel drónját. Mojtaba Ahmadi kivégzéséért Irán az izraeli titkosszolgálatot, a Moszadot tette felelőssé.

2007-ben orosz kibertámadás bénította meg Észtország kormányzati és banki infrastruktúráját. A támadás után létrejött egy olyan javaslat, amely a kiberháborús helyzeteket nemzetközi jogrendszer keretei közé terelni. A dokumentum (Tallin Manual) részletesen tárgyalja az informatikai hadviselés szabályait, többek között kitérve arra, hogy a hagyományos fegyveres konfliktusokhoz hasonlóan el kell kerülni a civil áldozatokat, ennek jegyében például tilos a civil célpontok, különösen kórházak, atomerőművek, vízierőművek vagy gátak támadása - ezt egyébként a genfi egyezmények most is tiltják a hadviselő felek számára. A nem hivatalos NATO anyag másik fontos megállapítása, hogy az informatikai térben vívott háború is háborúnak tekinthető, akkor is, ha nem jár fizikai fegyverek bevetésével. Egy országnak pedig jogában áll egy informatikai támadást fegyverekkel megtorolni, amennyiben a támadás során olyan veszteséget szenvedett el, amely egy fizikai fegyveres konfliktus veszteségeihez mérhető. A Tallin Manual bár nem számított hivatalos NATO dekrétumnak, mégis alapjaiban változtatta meg a NATO kiberháborús cselekményekhez való hozzáállását.

A NATO alapszerződés 5. cikkelye rendelkezik a NATO országok kollektív védelméről, azaz egy tagállam megtámadása az egész szövetség elleni offenzívának számít. 2012 május 16.-án Nick Harvey, a fegyveres erőkért felelős államtitkár brit törvényhozóknak kifejtette, hogy a NATO alapszerződésének 5. paragrafusát egy számítógépes támadáskor ugyanúgy életbe lehet léptetni, ahogyan egy hagyományos támadás esetén, azaz amennyiben kibertámadás éri a NATO egyik tagját, a szövetségnek közösen kell fellépnie az agresszorral szemben. Tehát egy esetleges NATO tagállammal szemben elkövetett kibertámadásra a NATO fegyveres ellencsapással is válaszolhat.

És mi készen állunk?

Természetesen hivatalos információ Magyarország kiber fenyegetettségéről vagy konkrét, folyamatban lévő kibertámadásról nem áll rendelkezésre. Annyi bizonyos, hogy a már említett k3chang illetve APT28 támadások a magyar kormányzatot is érintették, de ezeknek a támadásoknak a mélységéről és eredményességéről semmilyen hivatalos információ nem látott napvilágot, magukról a támadásokról és az ország érintettségéről is a malwareket felfedő amerikai biztonsági cég számolt be a szaksajtóban. Magyarország tehát már rákerült a furcsa háború térképére, ezt felismerve a magyar kormányzat megerősítette a kiberbiztonsági stratégiáját.

Magyarország rendelkezik nemzeti kiberbiztonsági struktúrával és szervezetekkel. A Nemzeti Kiberbiztonsági Koordinációs Tanács alatt működő operatív szervezetek (govCERT, Nemzeti Biztonsági Felügyelet) látják el az eseménykezelő illetve megelőző-felderítő és védekező funkciókat.
A hazai kormányzati kibervédelemben tevékenykedők nemzetközileg is elismert szakemberek, olyannyira, hogy 2013-tól Magyarország és magyar szakemberek vezetik a NATO kibervédelmi munkacsoportját. A NATO minden ősszel kibervédelmi hadgyakorlatot tart, amelyen évek óta Magyarország nem csak, hogy részt vesz, de a Nemzeti Biztonsági Felügyelet munkatársai dolgozzák ki a megoldandó feladatok nagy részét.