Internetbiztonság, adatbiztonság – a téma évek óta aktuális, és minden bizonnyal még jó pár évig az is marad. Az interneten ugyanis egyre több személyes adatot igénylő műveletet végzünk – gondoljunk csak az online bankolásra, vagy akár egy bizalmas adatokat igénylő internetes regisztrációra –, emellett a különféle szolgáltatók és hivatalok adatbázisai is jellemzően elérhetőek elektronikusan. Így az adatlopás veszélye is folyamatosan fennáll.
Az Anonymous és a többi hozzájuk hasonló hackerközösség félévente akár négyszer-ötször is próbára teszi az internetbiztonsággal foglalkozó szakembereket. „Munkásságuk” kellő motivációt jelent a legkülönbözőbb internetes szájtok adat- és internetbiztonságának fejlesztésére.
Hackerek és crackerek, hacktivisták
A LulzSecet, az Anonymust, és a többi hozzájuk hasonló csoportosulást internetes berkekben többféle elnevezéssel is illetik: így nevezhetjük őket hackernek, crackernek vagy hacktivistának.
A hacker egy számítógépes kalóz, aki a szoftverek és hardverek működését vizsgálja. Elsődleges célja nem a károkozás, sokkal inkább a biztonsági rések megismerése, felderítése hajtja. A cracker egy adatbázisokba, hálózatokba betörő, behatoló személyt takar. A hackerrel ellenben a crackert az ártó és/vagy a haszonszerzési szándék motiválja. A hacktivista (angolul hacktivist) a hack és az aktivista (activist) szavak keresztezéseként létrejött kifejezés. Jelentése olyan hacker, aki egy bizonyos ideológia alapján, meghatározott céllal tör fel különböző adatbázisokat, weboldalakat.
A hétköznapokban a LulzSecet és a többi hozzájuk hasonló közösséget leginkább hackerekként tartják számon – mondhatni ez a kifejezés terjedt el leginkább –, holott a helyes kifejezés sokkal inkább a cracker, esetenként hacktivista lenne.
A hackercsoportok kezdetei: az Anonymous
A 2003-ban az 4chan fórumán alakult Anonymous a valaha volt legnagyobb és legismertebb hactivista-közösség. A csoport tagjai – elnevezéséhez híven – névtelenségbe burkolóznak. Az Anonymus szerveződéséről szinte semmit sem lehet tudni, annyi bizonyos, hogy szerte a világban vannak csapataik, s vélhetően nincs központi vezetőjük. 2011 júniusában az Anonymous bejelentette saját közösségi oldalának tervét.
Az Anonymous célja az internetes társadalom képviselete, az internetes adatbiztonság fejlesztése. Ennek megvalósulása érdekében törik fel a biztonsági szempontból nem megfelelő, ámde jelentős mennyiségű személyes adatot tartalmazó weboldalak adatbázisait, így mutatják be a kérdéses oldalak biztonsági réseit. Az Anonymous tiltakozik a kormányzati korrupció, a magáncégek visszaélései, és legfőképp az internetes cenzúra ellen; követendő példának pedig a WikiLeaks-et tartja. Az Anonymus támadások terén rendkívül aktív, átlagosan havonta egy vagy két jelentős weboldalt mindenképp feltörnek. Így a következőkben csak a nagyobb támadásokról teszek említést. Az Anonymus egyik első jelentősebb cselekedeteként 2008-ban hadat üzent a Szcientológia Egyháznak, mivel az szerintük kizsákmányolja tagjait. Az eset óriási sajtóvisszhangot nyert, ekkor lettek nemzetközileg is ismertek.
A hackercsoport WikiLeaks iránti szimpátiáját bizonyítja, hogy amikor 2010 decemberének első felében a PayPal és a PostFinance svájci bank WikiLeaks elleni lépéseket fontolgatott, az Anonymous – lojalitását kifejezendő – megtámadta a PayPal és a PostFinance weboldalát. Ugyancsak 2010 decemberében az Anonymous vállalta magára a MasterCard és a Visa honlapjainak feltörését, majd az Apple elleni támadásokat. Saját – meg nem erősített – állításuk alapján behatoltak a NATO szervereire, majd 2011 nyarán támadásokat indítottak az amerikai rendőrség ellen is. 2011 októberében, röviddel azután, hogy az Anonymous csatlakozott az Occupy Wall Street (Foglald el a Wall Streetet) mozgalomhoz, a New York-i tőzsde weboldala került az Anonymous támadásainak kereszttüzébe – igaz, ide csak egy percre tudtak betörni. 2011 novemberében az Anonymus a Mozilla alapítvánnyal karöltve nyilvánosságra hozta 190, pedofil tartalmak birtoklásával és közzétételével gyanúsított felhasználó IP-címét. 2011 novemberében ugyancsak betörtek az izraeli hadsereg honlapjára, majd 2011. december 27-én a Stratfor amerikai biztonsági elemző csoport weboldalát tették elérhetetlenné.
2011. december 22-én jelent meg a hazai médiában az a hír, miszerint az Anonymus finnországi csapata Twitter-üzenetben fenyegette meg Magyarországot a hazai politikai élet eseményeivel kapcsolatos nem egyetértése kapcsán.
Az Anonymous már most, 2012 elején is igencsak aktívnak bizonyul. 2012 januárjának első napjaiban hadat üzent a Sonynak, ugyanis az támogatásáról biztosította a Stop Online Piracy Act elnevezésű kezdeményezést. A SOPA lényege, hogy egy törvény állapítaná meg, hogy mely weboldalak számítanak „nemkívánatosnak”, vagyis a tervezet teljes mértékben figyelmen kívül hagyja az internetes szabadságot. Az egyik finn internetszolgáltató (Elisa) január 8-án letiltotta előfizetői számára a Pirate Bayt. Az Anonymous nemtetszését nyilvánította ki az esettel kapcsolatban: túlterheléses támadással elérhetetlenné tette a kalózellenes jogvédő szervezetek honlapjait.
LulzSec és a többiek
A LulzSec egy a 2011-es év első hónapjaiban az Anonymousból kivált, majd június végén az Anonymousba visszaolvadt hacker- vagy sokkal inkább crackerközösség. Ők – az Anonymousszal ellenben – kizárólag önmaguk szórakoztatása és a gúnyűzés érdekében végezték tevékenységüket. A hat fős csoport nevét a LOLs "laughing out loud" – avagy hangosan nevetni – szó Lulzzá módosult alakja, és a Security-ből (biztonság) képzett rövidítés, a Sec alkotja.
A LulzSec összesen 50 napra „esküdött fel”. Ezalatt feltörték az amerikai Fox tévécsatorna weboldalát, majd közzé tették az X-Factorra jelentkezők teljes névsorát, majd az adminisztrátori, az alkalmazotti és a sales adatbázisát is nyilvánosságra hozták. Egyes értesülések szerint a Sony és a Nintendo elleni támadásokért is a LulzSec tehető felelőssé. Amikor a támadások következtében az amerikai kormányzat bejelentette, hogy háborús bűnnek tekintik a hackertámadásokat, válaszként a LulzSec feltörte az FBI egyik weboldalát. A nagyobb cégek, kormányzati szervek adatbázisai mellett az átlagfelhasználókat sem kímélték. Rendeltek terméket az Amazonasról mások nevében, de több PayPall accountot és Facebook-profilt is feltörtek. Mindezeket követően a DDoS (Distributed Denial of Service = elosztott szolgáltatásmegtagadással járó támadás) támadások kerültek terítékre. Ekkor támadták meg a különböző játékcégek – a Minecraft, a League of Legends és az EVE Online – weboldalait. Utolsó lépésükként a 4chan /b fórumát kezdték el kigúnyolni, s közzétették az oldal 62 ezer azonosító-jelszó párosát.
A LulzSec és az Anonymous mellett még számtalan kevéssé ismert hacker-crackercsoport létezik szerte a világon. Ezek tevékenysége korántsem olyan ismert és jelentős, mint a fentebb tárgyaltaké. Ilyen volt Kínában a Night Dragon, avagy Éjjeli Sárkány nevű hackerhadjárat, melyeknek nyugati energiaipari vállalatok voltak az áldozatai.
A LulzSec színrelépése óriási hajtóvadászatot eredményezett a hatóságok körében. 2011 júliusában 14 Anonymus tagot vettek őrizetbe, de a LulzSec több tagját is letartóztatták.
Internetbiztonság, etikus hacker
A fenti tipizálást követve a hackerek több csoportra oszthatók. Ily módon megkülönböztetünk white-hat-hackert (fehér kalapos hacker), black-hat-hackert (fekete kalapos hacker) és beszélhetünk gray-hat-hackerről (szürke kalapos hacker) is.
A white hat hacker az az internetes szakember, aki magas szintű informatikai tudását felhasználva deríti fel a biztonsági réseket; tulajdonképpen egy biztonsági szakértő, aki felkutatja az egyes weboldalak, adatbázisok gyenge pontjait. Ide tartoznak az Etikus hackerek, akik munkájuk során biztonsági tesztelést és hibakeresést folytatnak, és a Penetration Testerek, akiknek fő feladatuk a veszélyes hibák kiaknázása, a valós veszély meglétének bizonyítása.
A black hat hacker lényegében a cracker fogalmát fedi le; vagyis a black hat hacker kifejezés olyan személyt takar, aki jogosulatlanul, sokszor haszonszerzési célzattal tör be adatbázisokba. A white hat hackerek többsége black hat hackerként kezdte „pályafutását” – ugyanis így lehet a white hat hackeléshez elengedhetetlen tudáshoz a legkönnyebben hozzájutni.
A gray hat hacker a white hat hacker és a black hat hacker kombinációja. A gray hat hacker ugyan jogosulatlanul hatol be az adatbázisokba, miután ezt megtette értesíti az adatbázis tulajdonosát a történésekről, majd felajánlja, hogy alacsony díjért cserébe kijavítja a hibát.
Az internetes biztonság kérdése már az internet korai szakaszaiban felmerült. Így viszonylag hamar megjelent a biztonság tökélyre fejlesztésének igénye is. A cégek egyre gyakrabban kértek fel jellemzően black hat hackereket hálózataik biztonsági réseinek felderítésére – így vált a black hat hackerből white hat hacker. Manapság már egyre több helyen tanulhatunk etikus hackelést. Ilyen jellegű képzéseket Indít Magyarországon a KÜRT Információbiztonsági és Adatmentő Zrt. által létrehozott KÜRT Akadémia, valamint a NetAcademia; de például a Zrínyi Miklós Nemzetvédelmi Egyetem (ZMNE) is felvette kurzusai közé az etikus hacker képzést.
Biztonság? Létezik egyáltalán?
A szinte hetente ismétlődő hackertámadásokból sokan azt szűrhetik le, hogy az interneten sohasem lehetünk biztonságban. Szerintem koránt sem ilyen borús a helyzet. Még így, az oldalfeltörések mellett is az online fellelhető adatok kicsiny százaléka kerül csak nyilvánosságra, ha a LulzSec és az Anonymous nem tevékenykednének, valószínűleg sokkal nagyobb veszélyeknek lennénk kitéve, jó eséllyel senki nem világítana rá a hibákra. Úgy gondolom tehát, hogy ezeknél az akcióknál jobban semmi sem motiválhatja a biztonságtechnika fejlődését.
Felhasznált irodalom:
- Anonymous (group). http://en.wikipedia.org/wiki/Anonymous_(group), [2012-01-17];
- Az Anonymous állítólag feltörte a NATO honlapját. http://index.hu/tech/2011/07/21/az_anonymous_allitolag_feltorte_a_nato_honlapjat/, [2012-01-17];
- Az Anonymus meghekkelte a New York-i tőzsdét. http://index.hu/gazdasag/vilag/2011/10/11/az_anonymus_meghekkelte_a_new_york-i_tozsdet/, [2012-01-17];
- Befejezik a LulzSec hackerei a támadásokat. http://techline.hu/it/2011/6/27/20110627_lulzsec_hacker, [2012-01-17];
- Bodnár Ádám: Magyarországot fenyegeti az Anonymous. http://www.hwsw.hu/hirek/47425/anonymous-hacker-cracker-magyarorszag-biztonsag.html, [2012-01-17];
- Etikus hacker képzés. http://www.kurt-akademia.hu/kepzeseink/etikus-hacker-kepzes/, [2012-01-17];
- Etikus hackerképzés a Nemzetvédelmi Egyetemen. http://eduline.hu/felnottkepzes/2010/7/28/20100728_etikus_hackerkepzes_zrinyi_nemzetvedelmi, [2012-01-17];
- Fogalomtár II. http://www.itbusiness.hu/print/hetilap/tech/Fogalomtar_II.html, [2012-01-17];
- Gálffy Csaba: Csúfot űzött a netes biztonságból a LulzSec. http://www.hwsw.hu/hirek/46887/lulzsec-biztonsag-google-ddos-tamadas.html, [2012-01-17];
- Hacker (computer security). http://en.wikipedia.org/wiki/Hacker_(computer_security) , [2012-01-17];
- Hackertámadás érte az izraeli hadsereg honlapját. http://index.hu/kulfold/2011/11/06/hackeretamadas_erte_az_izraeli_hadsereg_holnapjat/, [2012-01-17];
- Hactivism. http://en.wikipedia.org/wiki/Hacktivism, [2011-01-17];
- http://www.mek.iif.hu/porta/szint/muszaki/szamtech/wan/fuzetek/szotar/html/c.htm, [2012-01-17];
- http://www.mek.iif.hu/porta/szint/muszaki/szamtech/wan/fuzetek/szotar/html/h.htm, [2012-01-17];
- IESZ.hu. Internet Értelmező Szótár. http://www.iesz.hu/szotar/informatika-internet/hacker, [2012-01-17];
- IESZ.hu. Internet Értelmező Szótár. http://www.iesz.hu/szotar/informatika-internet/cracker, [2012-01-17];
- Jogvédő szervezeteket támad az Anonymous. http://index.hu/tech/2012/01/12/jogvedo_szervezeteket_tamad_az_anonymous/, [2012-01-17];
- Leáll a támadásokkal a LulzSec. http://index.hu/tech/2011/06/26/leall_a_tamadasokkal_a_lulzsec/, [2012-01-17];
- LulzSec, Anonymous letartóztatások. http://ipon.hu/hir/lulzsec_anonymous_letartoztatasok/17778, [2012-01-17];
- Megfenyegette a Sonyt az Anonymous. http://index.hu/tech/biztonsag/2012/01/03/megfenyegette_a_sonyt_az_anonymous/, [2012-01-17];
- Meglepő és látványos adatok egy közutálatnak örvendő szervezetről. http://techline.hu/it/2012/1/12/Meglepo_es_latvanyos_adatok_egy_kozutalatna_XBZCV8, [2012-01-17];
- Megújult etikus hacker képzés: egymillió forintos ösztöndíj! http://techline.hu/it/2011/2/15/20110215_etikus_hacker, [2012-01-17];
- Nagy Internet kalauz mindenkinek. A függelék: Szakzsargon. http://www.bibl.u-szeged.hu/~drotos/internet-kalauz/kalauz_a.html, [2012-01-17];
- Operation Payback: kiberháború a Wikileaks miatt. http://index.hu/tech/2010/12/07/operation_payback_kiberhaboru_a_wikileaks_miatt/, [2011-01-17];
- Őrizetben az Anonymous hackercsoport 14 tagja. http://index.hu/kulfold/2011/07/19/orizetben_az_anonymous_hackercsoport_14_tagja/, [2012-01-17];
- Pedofilokat fogott az Anonymous. http://index.hu/tech/2011/11/04/allitolag_pedofilokat_fogott_az_anonymous/, [2012-01-17];
