AZ INFORMÁCIÓS TERRORIZMUS FEGYVEREI ÉS MÓDSZEREI Gyányi Sándor 1) Az információs terrorizmus Az "információs terrorizmus" kifejezés a valódi terrorizmus fogalmának átültetése az információs rendszerek világába. Ahhoz, hogy megértsük, célszerű elsőként megvizsgálni, mi is az a terrorizmus? Terrorizmus [1]: 1. megfélemlítés, zsarolás, bosszúállás céljából elkövetett rémtettek sorozata; 2. politikai okokból végrehajtott merényletek (emberrablás, robbantás, gyilkosság stb ) sorozata. Vagy egy másik definíció szerint [2]: Terror, megkülönböztetés nélküli támadás: minden olyan erőszakos cselekmény, v. azzal való fenyegetés, amelynek elsődleges célja, hogy rettegést keltsen a polgári lakosság körében. Az információs terrorizmus tehát különböző merényletek végrehajtása információs rendszerek ellen. Fontos megjegyezni, hogy egy ilyen akció elkövetése nem jelent feltétlenül terrorista tevékenységet. A különböző számítógépes bűnözők által elkövetett cselekményeket általában anyagi haszonszerzés, a learatott dicsőség motiválja, míg a terroristák politikai, vallási vagy ideológiai meggyőződésből követik el tetteiket. Egy információs rendszer megtámadása, működésének lehetetlenné tétele nagy sajtóvisszhangot vált ki, a terrorizmus egyik legfontosabb motiváló tényezője pedig a minél nagyobb nyilvánosság, ez fontos része a stratégiának. 2) A célpontok kiválasztása Napjainkban nagyon divatos kifejezés az "információs társadalom". Az információ a keletkezése után egyre gyakrabban elektronikus formát ölt, így az információk cseréje is elektronikus eszközökkel, számítógépekkel történik. Azonban az információcsere meggyorsítása az élet könnyebbé tétele mellett veszélyeket is rejt: egyre nagyobb lesz a társadalom függősége. Minél több helyen használják az informatikai rendszereket, annál nagyobb kárt tud okozni egy ilyen rendszer kiesése, ráadásul egyre több bizalmas információt is tárolnak. A nyilvános informatikai hálózatok - amilyen az Internet is - lehetőséget adnak arra, hogy a támadó a Föld bármely pontjáról végrehajtsa akcióját (amennyiben adottak a helyszínen a hálózati hozzáférés paraméterei).
A legnagyobb visszhangot a kormányzati rendszerek megtámadása váltja ki, ezért az ilyen rendszerek mindig kiemelt fontosságúak a terroristák szempontjából. Néhány, a legkedveltebb célpontok közül [3] alapján: Készenléti szolgálatok (tűzoltóság, rendőrség, katasztrófavédelem); Kormányzati rendszerek; Energia előállító, tároló és szállító rendszerek (gáz, olaj, villamos energia); Közmű szolgálatok rendszerei (víz, csatorna); Távközlési rendszerek; Banki- és pénzügyi hálózatok; Közlekedés. 3) Támadási módszerek A támadás alapvető célja az, hogy a célpont működését minél hosszabb időre lehetetlenné tegye. Ehhez vagy át kell venni a célpont feletti uralmat, vagy pedig olyan körülményeket kell teremteni, amelyek mellett a folyamatos működés, szolgáltatás lehetetlenné válik. A célpont feletti uralom megszerzése nem egyszerű feladat, ehhez ugyanis a védelmi rendszereken kell keresztültörni. Egy informatikai rendszerbe távolról, az informatikai hálózaton keresztül behatolni kizárólag konfigurálási vagy egyéb hibák kihasználásával lehet (egy távolról elérhető rendszert feltételezhetően az üzemeltetők igyekeznek védetté tenni). Ilyen hibák lehetnek: Helytelen beállítások az informatikai környezetben (nem hitelesített belépés engedélyezése); Kihasználható programhibák az operációs rendszerben (minden operációs rendszer fejlesztése során követnek el hibát a programozók, az ilyen hibák nyilvánossá tétele után hamar elkészülnek a javítások, a rendszergazda feladata ezek követése); Kihasználható programhibák a szolgáltatásokat megvalósító alkalmazásokban (itt is kiemelt jelentőségű az ilyen hibák, "lyukak" befoltozása); Nem megfelelő adminisztrátori magatartás, az emberi hibák kihasználása (az informatikai rendszerek általában felhasználóhoz kötött azonosítóval és jelszóval védettek, ezekre a felhasználóknak kell vigyázniuk). A fentiek alapján kijelenthető, hogy a célpont feletti uralom megszerzését leggyakrabban az emberi mulasztások kihasználása teszi lehetővé, még a programhibák felhasználhatósága is emberi okokra vezethető vissza. Egy komoly célpontot ilyen módszerekkel megtámadni nagyon komoly előkészítéssel, többrétű tevékenységgel lehetséges. Ennél sokkal kisebb energia ráfordítással is látványos eredményeket lehet elérni, ha a cél egyszerűen csak a célpont működésének lehetetlenné tétele.
A DoS (Denial of Service) támadásokat szokás "Szolgáltatás megtagadásos" támadásnak is nevezni. Ha a támadó fizikailag támad meg egy rendszert és megsemmisíti, akkor is megszűnik a szolgáltatás, azonban a szakirodalom DoS támadásnak kifejezetten azokat a módozatokat nevezi, amelyek a célpont túlterhelésével éri el a működésképtelenséget. Ezért véleményem szerint a lényeget jobban fedi a "túlterheléses támadás" kifejezés. A DoS támadások első változataiban a támadók kevés számú végpontról (általában "feltört" gépekről) indították akcióikat, a kiszemelt célpontot elárasztva olyan adatcsomagokkal, amelyek a célpont informatikai rendszerét túlterhelték. Később megjelentek az elosztott DoS (DDOS: Distributed Denial of Service) támadások is, amikor a támadók már egy sereg végpontról egyszerre indították meg akcióikat. 4) DoS támadási módszerek osztályozása A DoS támadások osztályozását több szempontból is elvégezhetjük. A támadó végpontok száma szerint: "Klasszikus", kevés számú végpontból induló támadás; Elosztott, egy időben nagyszámú, akár több százezer végpontból induló támadás. A támadás módszere szerinti osztályozás: Hálózati rétegben kivitelezett támadás: a hálózati réteg az OSI modell harmadik rétege, az ilyen támadások a célponthoz vezető informatikai hálózat erőforrásait (sávszélesség) terhelik túl; Alkalmazási rétegben kivitelezett támadás: az OSI modell legfelső rétege, a támadó ilyen esetben a szolgáltatást nyújtó eszköz (kiszolgáló) erőforrásait (memória, háttértároló kapacitás, számítási teljesítmény) terheli túl. A DoS támadások történelme során a fenti módszerek valamennyi kombinációja előfordult már. a) Hálózati rétegben kivitelezett DoS támadás A támadó egyetlen végpontból olyan hálózati forgalmat generál, amelynek feldolgozását a célpont nem képes végrehajtani. A támadó végpont általában egy jól megválasztott, jelentős erőforrással rendelkező rendszer. A támadó által generált forgalom általában ICMP (Internet Control Message Protocol) vagy UDP (User Datagram Protocol) csomagok sokasága, amelyek forráscíme könnyen hamisítható. Hatásossága nem jó, mivel a támadás könnyen felfedhető, és a támadó által generált forgalom letiltható. A támadó végpont kiválasztása körültekintést igényel, mivel a támadó és a célpont között húzódó teljes kommunikációs csatornának bírnia kell a túlterheléshez szükséges forgalmat. Az ábra ezt a csatornát mutatja:
Támadó 100Mbit/s 1Mbit/s 10Mbit/s Célpont 1. ábra. A támadási útvonal összeszűkülésének problémája b) Alkalmazási rétegben kivitelezett DoS támadás A támadás során a támadó gondosan megválasztott üzeneteket küld a célpontnak. A támadási módszer a kliens-szerver rendszerekben tapasztalható aszimmetria jelenségét használja ki. Egy kérés elküldése sokkal kevesebb erőforrást igényel, mint a választ előállítani. Ha a valódi világban működő telefonos tudakozóra gondolunk, belátható, hogy a kérdezőnek egyszerűbb feltennie a kérdést, mint a tudakozónak megkeresni a kérdésre adandó választ. A népszerű World Wide Web kiszolgálók a visszaküldött tartalmakat napjainkban már legtöbbször dinamikusan, a kérés feldolgozása során állítják elő valamilyen adatbázisból nyerve a szükséges adatokat. Ha elég sok adatbázis műveletre kényszerül a kiszolgáló, akkor kifogyhatnak az erőforrások. c) Hálózati rétegben kivitelezett DDoS támadás A támadók a célpont kommunikációs csatornájára egy időben nagyszámú végpontról (általában az uralmuk alá hajtott otthoni számítógépekről, népszerű nevükön: zombikról) küldik a csomagokat. A támadók kilétének kiderítése majdnem lehetetlen, a támadó végpontok forgalmának korlátozása úgyszintén. A leggyakrabban itt is UDP vagy ICMP csomagok segítségével történik a támadás. d) Alkalmazási rétegben kivitelezett DDoS támadás A szolgáltatást nyújtó alkalmazást egy időben nagyszámú végpont veszi tűz alá. Nagy mennyiségű végponttal lehetséges akár egy levelező szerver háttértárolóját is teletölteni használhatatlan levelekkel. Ha a célponton kéretlen levelek elleni szűrés is működik, akkor a hatalmas levéltömeg átvizsgálása a processzort fogja túlterhelni, így a kiszolgáló feldolgozási ideje olyan drámaian megnő, ami gyakorlatilag egyenértékű a leállással. 5) Virtuális hadjáratok A virtuális térben szinte állandóan zajlanak támadások. Az átlagember természetesen nem mindig szerez ezekről tudomást, leggyakrabban a filmekben találkozik a cyber bűnözéssel általában jelentősen túlmisztifikálva ezért sokan nem is veszik komolyan. Az alábbiakban összegyűjtöttem néhány konkrét esetet az utóbbi egy év távlatából:
Biztosítási alkuszok elleni DoS támadás, 2007. november November 2-án hajnali 3 órakor elindult a Netrisk.hu Első Online Biztosítási Alkusz Kft kötelező biztosítás-2007 kalkulátora. Az indulást követően, pontban 8 óra 00-kor a Netrisk szervereit rosszindulatú DoS támadás érte, melynek egyetlen célja a Netrisk szervereinek lebénítása, a Netrisk szolgáltatásának elérhetetlenné tétele volt. A támadást délután 17 órakor sikerült elhárítani, és a szolgáltatás ettől az időponttól ismét zavartalanul elérhető. http://www.netrisk.hu/biztositasi_informaciok/publikaciok/hir_bovebben.php?hirid=364 A DoS támadás áldozata nem csak a fenti cég volt, a piac három vezető cégét azonos időben érte támadás. Joggal feltételezhetjük, hogy a támadást nem terrorista szervezetek követték el, sokkal inkább konkurenciaharc gyanítható a háttérben, de a vaklárma esélyét sem lehet kizárni. DNS root szerverek elleni DDoS támadás, 2007. február 2007 február 6-án támadás érte az Internet fontos alapszolgáltatásának, a DNS szolgáltatás gyökér szervereinek (root servers) egy részét. Két root szerver rövid időre megbénult (az ICANN és az USA védelmi minisztériuma által üzemeltetett). Az elkövetők a feltételezések szerint dél-koreai crackerek voltak, az elkövetés eszközei pedig botnetek voltak. Az Internet használók közül kevesen tudják, hogy a domain nevek nem tartoznak a számítógép hálózatok szükségszerű elemei közé, létüket legfőképpen az indokolja, hogy a felhasználók nem szívesen jegyeznek meg bonyolult és hosszú számsorozatokat. A könnyebben megjegyezhető domain nevek számmá (IP címmé) történő fordítását végzik a DNS szerverek, a legfelső szintű domain nevekhez (mint például a "hu", "com") tartozó alapinformációkat tárolják a root szerverek. A 13 ilyen szerver különböző hálózatokban működik, egy részüket fizikailag is elosztott rendszerként valósították meg (a hálózatban egyetlen végpontként működő szerver valójában több, különböző helyen található gép, amelyek terhelésmegosztással működnek). Az elosztott struktúrának köszönhetően stabil működésűek, valamennyi egyidejű működésképtelenné tétele nagyon nehéz feladat. Megtámadásuk komoly eredményekkel kecsegtet - mivel leállásuk után egy nappal gyakorlatilag elérhetetlenné válna a hálózat összes kiszolgálója - így valószínűleg a jövőben is lesznek próbálkozások ez irányban. Az orosz-észt konfliktus, 2007 május 2007. április 27-én a helyi orosz kisebbség tiltakozása ellenére a tallini szovjet második világháborús emlékművet lebontották és áthelyezték. Hamarosan utcai zavargások törtek ki, Oroszország tiltakozott az eset miatt. Az emlékmű áthelyezését követően hamarosan megindultak a cybertámadások. Az észt szakértők szerint sok ezek közül közvetlenül visszavezethető volt orosz kormányzati számítógépekre. A megtámadott célpontok közül néhány:
www.pol.ee www.fin.ee www.riigikogu.ee www.riik.ee www.peaminister.ee www.valitsus.ee www.envir.ee www.sm.ee www.agri.ee (Forrás: ArborNet). Ha megvizsgáljuk ezeket, akkor gyakorlatilag visszaköszönnek a 2. fejezetben felsorolt kedvelt célpontok. A legnagyobb csapást a rendőrség szenvedte el, de a célpontok között ott volt a pénzügyminisztérium, egyéb kormányzati szervek és természetesen a bankok is. A támadások több napig folyamatosan zajlottak, nem kis kárt okozva az észt gazdaságnak. Észtországban rendkívül magas az Internet felhasználóinak száma, a gazdaság is jóval nagyobb mértékben függ az elektronikus kommunikációtól, mint mondjuk Magyarország. Az észtek komoly eredményeket értek el az elektronikus közigazgatás bevezetésében is, így nagymennyiségű célpontot szolgáltattak a támadóknak. Ez a támadás azért is tekintendő súlyosnak, mivel a célpont egy NATO tagállam volt, és az alapszerződés értelmében a többi tagállamnak segítséget kell nyújtania támadás esetén. A katonai szövetség történetében ez volt az első ilyen jellegű támadás egy tagállam ellen, így nem állt rendelkezésre kipróbált eljárásrend. A NATO szakértőket küldött az észtek segítségére, próbáltak bizonyítékokat szerezni a támadók kilétére. Szerencsére a konfliktus kapcsán minden fél kellő önmérsékletet tanúsított, de egy sokkal feszültebb helyzet esetén nehezen megjósolható a végkifejlet. 6) Összefoglalás Ahogy az információ egyre nagyobb értékké válik, úgy szaporodnak el az ezzel kapcsolatos támadások is. A legnépszerűbb nyilvános információs hálózat (Internet) alapjai még a 70-es évekből származnak, így nagyon sok gyenge pont is a támadók rendelkezésére áll. Emellett a felhasználók száma is dinamikusan növekszik, egyre újabb, informatikai szempontból kevésbé képzett rétegek kezdik napi rendszerességgel használni a Világhálót, ők pedig könnyű prédának számítanak a számítógépes bűnözők számára. Az operációs rendszerek is egyre bonyolultabbá válnak, a nagyobb bonyolultság pedig több hibalehetőséget is jelent. Ezek a tényezők együttesen növelik a támadásokra felhasználható eszközök számát, így a közeli jövőben nem várható a támadások számának
mérséklődése. A biztonságosabb jövő érdekében minden fronton küzdeni kell, beleértve az átlagfelhasználó informatikai képzettségének növelését is. Irodalom [1]: Bakos Ferenc: Idegen szavak és kifejezések, Akadémiai Kiadó, Budapest, 2006 [2]: Hadtudományi Lexikon, MHTT, Budapest, 1995 [3]: Kovács László: Az információs terrorizmus eszköztára, in: Hadmérnök, 2007. január. ISSN 1788-1919. http://www.zmne.hu/hadmernok/kulonszamok/robothadviseles6/kovacs_rw6.html