Gondolkoztál már azon, mennyiért vehetsz bankkártyát a dark weben? Tudod, mi a különbség az amerikai választások és az iráni atomprogram befolyásolása között? Esetleg azon, hogyan védheted meg magadat a hackerek támadásaitól? Ha érdekelnek a válaszok, olvass tovább, és tudj meg többet a XXI. század egyik legnagyobb fenyegetéséről, a kiberbűnözésről.
Ízelítő a Büntető Eljárásjogi és Büntetés-végrehajtási Jogi TDK idei első üléséről, ahol Koczka Tamás, a Tresorit biztonsági mérnöke tartott előadást.
A feketepiac
Adja magát a kérdés, hogy mégis miben különbözik a feketepiac egy hagyományos e-kereskedelmi platformtól, mint az eBay vagy az Amazon. A differenciálást egyrészről az áruba bocsátott termékek mibenléte adja. A feketepiac alapszintjén orvosi adatok, drogok, kiberfegyverek, hagyományos fegyverek, pénz, bankkártyaadatok, hamis útlevelek, gyógyszerek, szteroidok cserélnek gazdát.
Azonban vannak olyan területek, amelyeket még a feketepiacon is tiltanak, ezeken például emberölést, embercsempészetet rendelhet a vevő, esetleg gyermekpornográfiához, fegyverekhez, prostituáltakhoz vagy mérgekhez juthat.
Magához a platformhoz – ahol csak elektronikus pénzzel történik a fizetés – általában Toron és más anonimizáló programokon keresztül lehet hozzájutni. A kereskedelem működése hasonlít a már fent említett oldalakéhoz, az vásárlók elégedettség alapján értékelik az eladókat és a termékeket.
Az egyik legismertebb oldal a Silk Road volt, amely 100 millió dolláros éves forgalom mellett működött. 2013-ban kapcsolták le.
Az árak széles skálán mozognak ezeken a platformokon. Bankkártyát 1-2 dollárért (20-400 dollárért, ha előre tudható, mennyi pénz van rajta), PayPal fiókot 20-200 dollárért, játékfiókot akár 1000 dollárért, egészségügyi biztosítószámot pedig már fél dollártól találhat a felhasználó. Szolgáltatások terén is változatosak az árak, egy szerver feltörése 500 dollártól, közösségimédia-fióké pedig 200 dollárért rendelhető meg.
Adatszivárgási botrányok
Csak a 2017-es évben több százmillió ember személyes adata szivárgott ki különböző cégektől. A GDPR jelentőségét mutatja, hogy míg pár évvel ezelőtt egy British Airways szintű botrány, amelyben a felhasználók bankkártyaadatai kiberbűnözőkhöz kerültek, körülbelül csak 500 000 font bírságot jelentett volna a vállalatnak, ma a per kimenetele akár egy 500 millió fontos büntetés is lehet.
A FriendFinder Networks egy felnőtt párkereső oldal, amelynek kiszivárgott adatai feltehetőleg családokat tettek tönkre. 412 millió felhasználójuk adatai kerültek a hackerek kezébe. Az Aadhaar adatbázis – indiai állampolgárok adatait nyilvántartó állami adatbázis – feltörésével több millió ember adatai kerültek ki, míg az Equifax amerikai hitelintézet 143 millió ember adatát veszítette el.
A Facebookkal összefüggő hírek kapcsán fontos látni, hogy a platform visszaélésszerű magatartása a működéséből adódott, és alapvetően legális volt. Amikor egy applikáció elkérte a felhasználó hozzájárulását, az ismerősei adataihoz is hozzáférést kapott, így egyre több embert értek el az alkalmazások. Elméletileg a világon bárkihez el lehet jutni egy hetes láncolatban, tehát logikusan minél több ember adatait kapták meg a cégek, annál többet fizettek a Facebooknak.
Kiberhadviselés
Ha valaki sérülést vagy valamilyen biztonsági rést talál egy terméken, három lehetősége van: eladja azt a gyártónak, egy harmadik félnek vagy egy kiberfegyver-dílernek. Az eladó részéről ez teljesen legális, hiszen neki semmi köze nincs ahhoz, hogy kinek adják tovább az információt.
Így eshet meg, hogy egy Windows szerver feltöréséért félmillió dollár, weboldalért 250 000 dollár, iPhone-ért 1,5 millió dollár, androidos telefonért 250 000 dollár, egy egyszerű telefonkódért pedig 15 000 dollár ütheti az ember markát.
Az állami és piaci szektor közötti különbségeket kitűnően szemlélteti, hogy az USA választási eredményeket összesítő oldalának replikáját egy tizenegy éves fiú tíz perc alatt törte fel, míg egy közönséges iPhone feltöréséért akár 1,5 millió dollárt is elkérnek.
Az igazi kiberhadviselés magasabb szinten játszódik, mint az amerikai választások befolyásolása. Utóbbi esetben annyi történt, hogy az orosz ügynökök Hillary Clintont becsmérlő hirdetéseket adtak fel például a Twitteren. Lecsupaszítva a dolgot: nem túl etikus módon embereket vettek rá az általuk preferált magatartás tanúsítására.
Ezzel szemben klasszikus cyber warfare volt például a Stuxnet. Ez 2010-ben jelentősen lelassította Irán atomprogramját, mivel az Egyesült Államok és Izrael által kifejlesztett kiberfegyver (egy számítógépes vírus) tönkretett 1000 darabot az urándúsító centrifugák közül, és közben megfertőzött 200 000 számítógépét világszerte.
Hogyan legyél biztonságban?
Koczka Tamás e témát három részre osztja: online biztonság, eszközbiztonság és az adatok biztonsága.
Az online biztonság kapcsán fontos látnunk, hogy habár még nincs jobb megoldás a jelszavaknál, a legnagyobb veszélyforrást mégis ezek jelentik a számunkra. Több tucat weboldalra regisztrál az ember tipikusan ugyanazzal vagy nagyon hasonló jelszóval, és ha a hackereknek egy oldalt sikerül feltörniük, a többire már gyerekjáték lesz bejutniuk. Napjainkban egy jelszó feltörése sok esetben nem igényel nagy erőfeszítést. Körülbelül 10 000 dollárért vásárolható már olyan gép, ami 350 milliárd próbálkozást végez el másodpercenként egy Windows jelszó feltörése során.
Nem mindig a jól ismert ajánlások, például hogy legyen nagy- és kisbetű, szám, illetve szimbólum a jelszóban, a célravezetőek.
Ám mivel muszáj jelszavakat használnunk, fontos tudni, mi teszi őket nehezen feltörhetővé:
- A hosszúság a legfontosabb. Összehasonlításként: amíg egy kis és nagybetűket tartalmazó, tízkarakteres jelszót 27 óra, addig egy 12 karakterest azonban 292 év alatt lehet kitalálni.
- Lehetőleg 12-14 karakterből álljon a jelszó. Jó trükk, ha a kedvenc mondatod első karakterei összeolvasásából kreálsz egy szót, például: It should be Easy to Remember that → ItshbeEatoReth1
- Segíthet a magyar szavak használata, bár az ügyesebb bűnözők már több nyelvű jelszólistákat is használnak.
- Semmiképpen ne használj egyszerű szavakat csak 1-2 extra karakterrel a végükön.
- Több jelszókezelő program is létezik (pl. LastPas, 1Password, KeePass), amelyek minden oldalhoz generálnak egy biztonságos jelszót, azt lekódolja, így a felhasználónak csak a menedzserhez kell tudnia a jelszót (annak viszont érdemes erősnek és egyedinek lennie).
- A böngészők jelszómegjegyzési funkciójáról érdemes tudni, hogy használatuk esetén a böngészőnkbe belépve bárki hozzáférhet a jelszavainkhoz (illetve a böngésző gyártója is kiadhatja őket a hatóságoknak).
- A jelszavak folyamatos cserélgetésével is érdemes vigyázni, ha ez azzal jár, hogy folyton felírjuk az új jelszót, mert így könnyebben hozzáférhet más is. Akkor érdemes új jelszót kitalálni, ha a régit feltörték — ezt megnézheted a Have I been Pwned? oldalon.
Néhány további tipp, hogy biztonságban légy
Nagyon fontos, hogy ha nem látod a https-t a weboldal előtt a címsorban, semmiképp ne menj tovább, ne írd be a jelszót, ugyanis ilyenkor nem csak te és a célszerver láthatja azt. A Chrome ezt már magától jelzi, azonban a Firefox még nem. Ez a fő probléma a publikus wifikkel is, ezeket is csak fenntartásokkal használd, különösen akkor, ha kiírja a böngésződ, hogy nem biztonságosak.
Ajánlatos időben frissíteni a szoftvereket is. A hackerek rendszerint megnézik, mik a frissítésben kijavított hibák, és azokon keresztül támadják meg a régi, még nem javított szoftverrel futó eszközöket.
Ha hezitálsz az iOS és Android között: az iOS a biztonságosabb a gyorsabb frissítések miatt — sok akár 2012 óta nem frissített androidos készülék is használatban van.
Segíthet, ha letakarod a kamerát az eszközödön, de ettől még ne felejtsd el, hogy a mikrofonodra ugyanúgy rá tudnak csatlakozni a hackerek, ha egyszer bejutottak a rendszerbe.
Sokat segít a biztonságod növelésén a multifactor authentication (többlépcsős azonosítás) bekapcsolása, ami belépés során a jelszavad megadásán felül egy plusz azonosító kódot küld a telefonodra, így a hackerek pusztán a jelszavad ismeretében nem tudnak belépni a fiókodba. Ezt a legtöbb szolgáltatás támogatja, érdemes bekapcsolni.
Fontos, hogy tudatosan használjuk az informatika adta lehetőségeket, és vigyázzunk személyes adatainkra. Okos jelszóválasztás, kamera letakarása, szoftverek frissítése és egyéb közismert taktikák használata ajánlott, mivel ezek nem igényelnek nagy energiabefektetést, de jelentősen növelik a védelmi fokot egy hackertámadás során.