Egészen elképesztő, hogy a világ vezető, pénzügyileg és know how szempontjából is az egyik legjobban ellátottnak gondolt nemzetbiztonsági szervezete, az amerikai NSA már megint adatvesztés áldozatává vált. Nagyon úgy tűnik, hogy valakik nem érdem szerint kapták meg vezető beosztású pozíciójukat az USA (kiber)védelmét szolgálni hivatott ügynökségében...
Lassan nem szivárog, hanem ömlik
Az NSA-tól ugyanis már máskor is loptak el kritikus adatokat. Tavaly a Shadow Brokers hackercsapat az ügynökség egyik szatellitszervezetétől szerzett meg egy olyan kiberháborús arzenált, amit aztán közel 600 millió dollárért kínálgattak a dark weben. Idén pedig a Kaspersky miatt került kellemetlen helyzetbe az amerikai Nemzetbiztonsági Hivatal. Ez utóbbi eset egészen odáig fajult, hogy az amerikai elnök volt kénytelen beavatkozni. Donald Trump utasítására száműzik az orosz fejlesztő termékeit a közszférában használt minden számítógépről.
A Kaspersky-fiaskó kapcsán kiderültek szerint az NSA egyik szerződéses partnerétől az orosz szoftverben lévő backdoort kihasználva nagy mennyiségű kritikus információt nyúltak le hackerek. És, hogy az egész még zavarosabb legyen: a The Wall Street Journal arra is utal finoman, hogy a hackerek használta hátsó ajtó nem volt ismeretlen az NSA előtt. Azt akár az amerikaiak Nemzetbiztonsági Ügynöksége is használhatta kémkedésre.
És akkor ott van még minden NSA-hack "ősanyja", az Edward Snowden nevével fémjelzett eset is. A 2013-ban a Guardian birtokába jutott - titkosnak minősített - bírósági végzés szerint a Verizonnak három hónapon keresztül minden hívásinformációt át kellett adnia a Nemzetbiztonsági Ügynökségnek. Gyorsan kiderült aztán, hogy gyakorlatilag nincs olyan szolgáltató, jelentősebb technológiai cég, melyet ne érintene a valamilyen módon az ügy ráadásul hosszú évek óta. Természetesen mindezt a terrorizmus elleni harcra hivatkozva.
Egy kiszivárgott prezentáció szerint 2007. óta egy sor jelentős technológiai vállalat csatlakozott önként a PRISM-programhoz, és hozzáférést adtak a náluk tárolt adatokhoz: a Microsoft volt az első, aztán jött a Yahoo, a Google, a Facebook, a PalTalk, a YouTube, a Skype, majd állítólag tavaly az Apple is beszállt. Aztán arra is fény derült, hogy a Guardian egy Edward Snowden nevű, egykori CIA- és NSA-alkalmazottól szerezte meg a titkos minősítésű dokumentumokat. Snowden egyébként még ma is tud érdekességekkel szolgálni.
Erre a sokemeletes tortára teszi fel most a habot a napokban kipattant adatszivárgási botrány.
Az elhagyott virtuális lemez esete
Egy, az NSA-hoz tartozó virtuális lemez képe (image) volt nyilvánosan elérhető az Amazon Web Services egyik társzerverén keresztül. Több mint 100 gigabájtnyi, elsősorban az amerikai hadsereg Red Disk kódnevű felderítési projektjével kapcsolatos adatot tartalmazott az információhalmaz. Ugyan az érintett szerver nem volt listázva, de jelszóval levédve sem, azaz bárki, aki rábukkant, beleáshatta magát az amerikai kormányzat titkos dokumentumaiba.
Pontosan ez történt Chris Vickeryvel szeptember végén, amikor szinte véletlenül belefutott ezekbe az információkba. Az IT-biztonsággal foglalkozó UpGuard kiberkockázatokat kutató részlegének igazgatója először el sem hitte, mit talált. Amikor felmérte felfedezésének jelentőségét, értesítette a kormányzatot arról, hogy nagyjából annyira egyszerű hozzáférni az adatokhoz, mint egy URL-t begépelni. És közben olyan dokumentumokról beszélünk, amelyek például likvidálásra kijelölt célszemélyek információit tartalmazták.
A nem biztonságos AWS szerver tartalma egyébként NOFORN minősítést kapott, ami azt jelenti, hogy a rajta tárolt adatok annyira érzékenyek, hogy azt még külföldi, de szövetséges államoknak, állami szervezeteknek sem lehet kiadni. Összesen 47 megtekinthető állományt tartalmazott a kiszolgáló, melyek közül hármat le is tudtak tölteni az UpGuard szakemberei. Ugyanakkor az adatok javához nem lehetett hozzáférni a Pentagon saját hálózatához való csatlakozás nélkül.
A ZDnet abban a szerencsés helyzetben volt, hogy belepillanthatott az állományok némelyikébe, és így kiderülhetett a Red Diskkel való kapcsolat. Ez a felhőalapú hírszerző rendszer még 2013-ban készült el az amerikai hadsereg megbízásából. A 93 millió dollárból tető alá hozott – végül sikertelennek minősített – program abból a célból született, hogy a Pentagon a harctéren szolgálatot teljesítő katonáktól titkosított jelentéseket, drónok és műholdak által készített képeket kapjon elemzésre.
Következmények
Még ha nem is úgy tűnik, az adatszivárgás mint jelenség ellen megpróbált fellépni az NSA. A hivatal szerződéses partnereit például jó ideje komoly büntetés fenyegeti, ha visszavezethető gondatlanságukra, figyelmetlenségükre egy-egy eset. Van olyan partnere az amerikai szervezetnek, aki jelenleg 11 évnyi börtönbüntetéssel kénytelen szembenézni titkos dokumentumok ellopásának vádja kapcsán.
Ennek ellenére az egész világ megtapasztalhatta, milyen az, ha az amerikai kiberfegyverek elszabadulnak. A tavaszi WannaCry ransomware jól példázza, milyen szituációkra kell felkészülni a hackerek kezébe került információk kapcsán. A szerte a világon végigsöprő zsarolóvírus egy Windows-sebezhetőség miatt tudott rekordidő alatt rengeteg számítógépet megfertőzni. Egy olyan sebezhetőség miatt, amit az amerikai titkosszolgálatok felfedeztek és saját céljaikra kihasználtak, de arról nem tájékoztatták a fejlesztőt.
És ugyan a sérülékenységet már hónapokkal a WannaCry elszabadulását megelőzően javította a Microsoft, ennek ellenére sok felhasználó nem frissítette eszközét. Holott Redmond még az extrém hosszúra nyújtott terméktámogatású Windows XP-re – melynek supportja majdnem pontosan 3 éve járt le – is elkészítette a szükséges foltozást. A vállalat éppen ezért úgy vélte, hogy a felelősség elsősorban nem is őket, hanem az amerikai hírszerzési ügynökségeket terheli.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak