Olyan időszakot élünk, hogy a különböző kibertámadásokról szóló híradások szinte már egymást érik a vezető hírportálokon. Mára már elképzelhetetlenné váltak választások különböző e-mail szivárogtatások, pártokhoz, kampánystábhoz való betörések nélkül. Emellett, elsőként talán a HackingTeam meghekkelésével nyilvánvalóvá vált, hogy a kormányok, illetve a kormányközeli, kibervédelemmel – és persze, szükség esetén annak feltörésével – foglalkozó magáncégek gyakorlatilag bármilyen információhoz könnyedén hozzáférhetnek, technikai értelemben bárkit könnyedén megfigyelhetnek.
Mindez mára lényegében csak pénz, vagy ha úgy tetszik, akkor a beszerzett kémszoftver licenc mennyiségének kérdésévé vált. Az NSA által is alkalmazott technikákat lassan szivárogtató The Shadows Brokers eközben szép csendben továbbvitte a HackingTeam feltörésével indított folyamatokat. Ráadásul szintet léptek a kiberbiztonsággal összefüggő további problémák is.
A híradások ma már milliárdos nagyságrendű adatlopásokról számolnak be, amelyekben a legnépszerűbb online szolgáltatók is érintettek lehetnek. Azok, akik az online szolgáltatások többségéhez azonos jelszót használnak, szinte biztosak lehetnek abban, hogy valahol, valamikor már ismerté vált a felhasználónevükhöz/e-mail címükhöz kapcsolódó jelszó. Az informatikai cégek bagatell módon hagynak nyitva hozzáféréseket a forráskódokhoz, adatbázisokhoz, felhasználói adatokhoz.
Persze, a másik oldalról, az adatvédelem kapcsán továbbra is rendkívül alacsony szintű a felhasználói tudatosság. Emlékszem, amikor tizenévesként – ez az ezredforduló környékén volt – informatikai szakkörön titokban feltelepítettük a NetBus-nak nevezett szoftvereket az összes számítógépre, majd a legváratlanabb pillanatban indítottunk el korhatáros weboldalakat a kiszemelt, informatika iránt kevéssé érdeklődő, gyanútlan felhasználóknak és vettük át az irányítást az egerük felett, vagy épp vég nélkül nyitogattuk a CD olvasókat.
És persze kiírtuk, hogy mi vagyunk a számítógép, és öntudatra ébredtünk.
Természetesen, egy idő után az informatika szakkört tartó tanár is öntudatra ébredt, úgyhogy egyre nehezebbé vált a kivitelezés és egyre kifinomultabb módszerre volt szükség a sikeres „tréfához.” Azóta sok minden megváltozott az informatika világában, egy valami azonban nem: gyakorlatilag számolatlanul telepítenek ismeretlen forrásból származó alkalmazásokat a felhasználók (például távol-keleti eredetű mobilkiegészítők, kütyük működtetéséhez), nyitnak meg bődületesen felelőtlen módon e-mail csatolmányokat. A felhasználók egy része pedig még mindig csak egyféle jelszót használ a különböző szolgáltatásokhoz, lehetőleg nem bonyolultabbat választva, mint hogy starwars.
A véleményem szerint erre még rá is erősít a média azáltal, hogy egyre nő az alapvetően figyelemfelhívásnak szánt híradások száma. A tévesen kialakult látszat szerint viszont már akármekkora adatszivárgás sem okoz a felhasználók számára kárt, a kibertámadásokkal pedig megbirkóznak a szolgáltatók, vagy végső soron a kormányzati szervek. Az első kép kialakítására persze az érintett szolgáltatók óriási hangsúlyt fektetnek, ha kell, akkor még veszteséget is elkönyvelve.
Minden pénzt megér ugyanis a milliárdos üzleteket bonyolító online szolgáltatásokba vetett bizalom fenntartása. Más kérdés, hogy a súlyosabb károk részben azért nem következtek be idáig, mert a különböző adatszivárgások adatai nem kerültek összekapcsolásra, illetve – egyelőre – nincs elegendő kapacitás arra a kiberbűnözői oldalon, hogy az ellopott adatok, a lehetőségek teljes varienciájával feldolgozásra kerüljenek.
Pedig el fog jönni ez az idő is, miközben a digitális adattartalmak jelen tudásunk szerint addig archiválhatóak, amíg bit a bit. Vagyis végtelenül sok idő van arra, hogy a már megszerzett, de kapacitás hiányában még fel nem dolgozott adatok is értelmet kapjanak, vagyis információvá váljanak.
A folyamatok jelenlegi állása viszont a véleményem szerint egyre aggasztóbb. A kibertámadások az új célpontok (mint amilyenek a politikai pártok, választási rendszerek, kritikus infrastruktúrák) ellen rendkívül hatékonynak bizonyultak, ha pedig folytatódik az eredetileg kormányzati intézmények számára „összegrundolt” zero day sebezhetőségek lassú, de vég nélküli szivárogtatása, akkor ma már minden perc számít a hibajavítások elkészítésében és a felhasználók tájékoztatásában.
Persze az érintett szolgáltatók sem feltétlenül törik magukat a sebezhetőségek azonnali befoltozásában. A Microsoft például évekkel ezelőtt leállította a Windows XP támogatását, mondván a felhasználók váltsanak a valóban alternatívát jelentő Windows 7, majd Windows 10 verziókra. Csakhogy a legtöbb kritikus infrastruktúrában, legyen az egy anyahajó, vagy egy orvosi rendszer nem frissíthető az operációs rendszer szintjén egyik pillanatról a másikra (bár pénzért lehetett extra terméktámogatást venni). A mostani „pánikban” azért mégis befoltoztak pár sérülékenységet.
Egy zero day sérülékenységre vadászó kiberbűnözői csoport eközben órákon belül hasznosíthatja az újabb információkat, főleg, ha az beilleszthető egy már bevált támadási forma keretei közé. Ha csak két nap múlva érkezik a hibát orvosló, hivatalos javítócsomag, akkor már régen késő, miközben a legkritikusabb fejlesztési területeken és környezetben lehet, hogy fel sem telepíthető a hibajavítás részletes, akár hetekig is eltartó tesztelés nélkül.
A gondolatmenetemben érintett sebezhetőségek egy része persze konkrét szoftverekhez kapcsolhatók, ami a valóságban nyilván külön kezelendő az internet és informatikai hálózatok biztonsági problémáitól. A kibervédelemmel kapcsolatos problémákat azért veszem az egyszerűsítés kedvéért mégis egy kalap alá, mert a hálózatba kapcsolt információáramlás teremti meg a szoftvereket érintő biztonsági rések globális és tömeges, végfelhasználókat is érintő kihasználását.
A globális hálózatba kapcsolt dolgok internete, a milliárdnyi okoseszközbe beágyazott szoftvereivel és persze, a beágyazott milliárdnyi sérülékenységével pedig a jelenleg ismert internet végét kell hogy jelentsék. Mára már gyakorlatilag lehetetlen nyomon követni, hogy egy-egy eszköz áramkörei pontosan miként funkcionálnak.
A hardverbe épített, kiberbiztonságot, felhasználói adatok védelmét veszélyeztető funkciók nem új keletűek, mondhatni szakállas viccek, ha poénosak lennének. Az egyik legjobban dokumentált eset volt, amikor a kilencvenes évek végén kisebb botrányt kavart, hogy a Pentium III processzort használó számítógépek lényegében folyamatosan nyomon követhetővé tették egy-egy felhasználó online jelenlétét.
Utópia lenne az okoskészülékek „támadása?” A Braunschweigi Műszaki Egyetem friss tanulmánya szerint egyre több mobilkészülék okosalkalmazása használ ultrahangos jelzéseket(!) annak érdekében, hogy nyomon kövessék a felhasználót. A kártékony, de minimum ismeretlen célú „támadások” a mindennapjaink részévé váltak. Ha tudomásul vesszük, ha nem, ha érdekel bennünket, ha nem. Az adathalászattal pedig már most is minisztériumokat támadnak, kiberbűnözők pedig komplett bankokat fosztanak ki, vagy épp klónoznak le, órákon keresztül. Észre kell venni a különbséget is: mindezt 2005-ben még sikerült megakadályozni. Az információbiztonság területén ma már óráról órára zajlanak a változások.
Mindeközben úgy tűnik, hogy a támadások elindítói, a bűnözői kör soha nem kerül leleplezésre, soha nem kerül felszámolásra. Valahogy az érdeklődő figyelem sem terjed ki már arra, hogy hogyan lehetséges, hogy miközben a híradások tele vannak kiberbűnözéssel, kormányok, gigavállalatok, pártok, szolgáltatók, bankok informatikai rendszereinek megtámadásával, felhasználók adatainak jogosulatlan megszerzéseivel, illegális megfigyelésével, nyomon követésével, egyetlen „valamirevaló” kiberbűnözői csoport peréről, vagy épp bebörtönzéséről sem lehet hallani.
Szinte soha, sehol, semmikor.
Nem hallani arról, hogy azt a bizonyos egymilliárd adatot ki lopta el, ki üzletelt vele, végső soron kik gazdagodtak mások adatainak jogosulatlan felhasználásával. Mármint, most nem a „tízezer eurós” romániai tinihekkerekre gondolok. Ennek a jelenségnek én két okát tudom elképzelni. Az egyik lehetőség, hogy az informatikai rendszerek sebezhetősége mára már túllépett egy kritikus pontot, és gyakorlatilag lehetetlenné vált az elkövetői kör pontos beazonosítása. Vagy a legsúlyosabb támadásokat végrehajtó kiberbűnözői csoportok mögött eleve nemzetállamok állnak.
A véleményem szerint annak az internetnek, ahogyan ma ismerjük, különösen a dolgok internetévé válását követően, rövid időn belül gagyinetté kell válnia. Az egész rendszer, annak minden eleme ordít egy biztonságos környezetet jelentő megújulásért, kérdés, hogy a politikai, gazdasági érdekek elengedik-e valaha is a ezernyi sebből vérző infrastruktúrát, vagy inkább még több pénzt ölnek a foltozgatásra, ahol az nem lehetséges, ott a biztonságosság látszatának fenntartására.
Nemrég egyébként a világ egyik legnagyobb és legnevesebb tanúsítványkiállító szervezetét, a kibervédelem területén is élenjáró Symantecet sikerült elkapni egy hamis Google-tanúsítvánnyal. Egyre több jel mutat arra, hogy a sebezhetőség régen túllépett a védelem vonalain: ma már csak a mézesmáz kezd leolvadni az infrastruktúra valódi állapotáról. A kérdés az, hogy van-e valakinek a tarsolyában alternatívája a gagyinetnek. Ráadásul kérdés, hogy ha ez az alternatíva egy biztonságos környezet lesz – márpedig annak kell lennie – akkor az egyben a totális ellenőrzést is magában kell-e, hogy hordozza?
Úgy tűnik, hogy kormányzatok által készített alternatívája viszont aligha lesz népszerű az átlagos felhasználók körében, akik teljesen visszás módon úgy osztják meg eközben a globális gazdasági szereplőkkel a legszemélyesebb adataikat, mintha nem lenne holnap. Ameddig a felhasználók bizalmát sikerül fenntartani, senkinek az érdekében nem fog állni a jelenlegi rendszer alapjainak újragondolása. Más kérdés, hogy ezzel nem késett-e el végérvényesen a társadalom.
A jelenlegi fejlődési ütem már nem biztonsági keretek között zajlik, hanem a biztonsági keretek próbálják lekövetni a fejlődést.
Ráadásul, amíg az államok lényegében bármiféle társadalmi-politikai következmény nélkül „háborúzgathatnak” a kibertérben, addig ők sem lesznek különösebben érdekeltek a gagyinet meghaladásában. Főleg, mivel ezen a területen úgy tűnik, hogy jóval kiegyenlítettebb esélyekkel érhetnek el „eredményeket,” mint a hagyományos hadviselésben. Egyébként Irán háborút visel Szaúd-Arábiával? Tényleg nem?
Persze az állampolgárok bizalmát élvező gagyinet hatalmas segítség is egyben az arra fogékony kormányok számára az állampolgárok online tevékenységének monitorozására. Ennek a vizsgálatában lényegében mindenki átugrik egy fontos körülményt: egy 2017-ben hatalomra került kormány egészen más eszközökkel és lehetőségekkel rendelkezik, mint egy 2010-es, vagy épp egy 2000-es. Ilyen tekintetben igazából nincsenek összehasonlítható helyzetek, de nincsenek már viszonyítási alapok sem.
Az informatika fejlődése rohamtempó: mire valaki megvizsgálja a témakört, addigra a valóságban már egészen máshol tart a világ. Kis túlzással odáig jutottunk, hogy a gyakorlatban már azelőtt korlátozódhat egy „digitális,” sokadikgenerációs alapjog, hogy egyáltalán felismerésre kerülne, hogy létezik. A jog nemhogy nem követi megfelelő szinten a technológiai fejlődést, hanem még „keretezés” szintjén is csak a nyomában kullog.
Ha pedig a jövőbe nézünk, de a jelenlegi folyamatokból indulunk ki, akkor a véleményem szerint nem túlzás azt állítani, hogy az egydolláros okosakármi megvásárlásakor már nem az okoskütyü lesz az igazi termék, hanem az, aki beregisztrál a weboldalra, megadja a személyes és pénzügyi adatait, bejelentkezik valahonnan az internetre, email fiókjába, és még reklámokat is néz. Vagyis a fogyasztó. De nemcsak termék lesz, hanem ezernyi érdeknek kiszolgáltatott célpont is.
A megoldással én is adós maradok, már csak az egyszerűsítés miatt is. A problémákat egy kalap alá lehet venni a bemutatás erejéig, de a megoldások szintjén csak külön vizsgálhatóak. Egyszerre megoldást keresni az információbiztonságot huszadrangú kérdésnek sem tartó felhasználókra, a biztonsági kérdéseket hátrasoroló, folyamatos időhiánnyal küzdő fejlesztőkre, a nyomon követhetetlen beágyazott technológiákra, a hálózati infrastruktúra sebezhetőségére, és a mindezek fenntartásában legalább részben érdekelt kormányzati magatartásra szinte lehetetlen feladatnak tűnik.
Lehet persze az is, hogy hatalmas törés nélkül, az internet végül lassan válik azzá, amivé a biztonságossága alapján már hosszú ideje tartozik és ez csak azokat fogja zavarni, akik még ismerték, hogy milyen volt az ezredforduló környékén: az újabb generációk már úgyis a gagyinetben fognak szocializálódni. Egyébként furcsa módon az internet technikai és tartalmi értelemben is egy időben kerül „válságba.” Manapság nem pusztán a biztonságossága, hanem, mint információ-forrás megbízhatósága is, egyszerre kérdőjeleződik meg, hiszen a dezinformáció korszakát éljük. Persze az sem csak az interneten terjed.
Summum ius summa iniuria, avagy a legszigorúbb törvényesség a legnagyobb igazságtalanság, vagy másként: a jog méltányosság nélkül jogtalanság, mondta Cicero. Vajon az információtechnológiában a legszigorúbb biztonságosság a legnagyobb ellenőrzést jelentené?
Ha tetszett az írás, akkor ne maradj le a következőről:
