A szintén kémkedésre alkalmas Flame vírus analízisén is dolgoztak már, amikor azt az iráni hatóságok, majd a Kaspersky vírusirtógyártó cég a múlt héten a nyilvánosság elé tárta. A CrySyS Lab európai uniós adatbiztonsági projektekben is részt vesz, de elvállal tanácsadói és ethical hacking munkát is, azaz a tulajdonos kérésére törnek fel rendszereket, így tesztelve azok biztonságát.
Éppen egy ügyfelük kérte, hogy segítsenek megoldani egy problémát az informatikai rendszerében, ekkor bukkantak rá a Duqura. – Persze először fogalmunk sem volt, mit kell keresni, annyi volt csak a cél, hogy helyreálljon a biztonság. De úgy gondoltuk, jó lenne tudni, mi volt ez, hogy ne tudjon még egyszer visszajönni, szóval lementettünk ezt-azt. Olyan ez, mint a bűnügyi helyszínelés – idézi fel Bencsáth Boldizsár kutató.
Megkérték az ügyfelet, hadd nézzenek bele jobban a problémába, persze már ingyen, csak saját okulásukra. – Furcsa dolgokat találtunk, és minden arra utalt, hogy célzott támadásról van szó, és hogy ez egy olyan eszköz, amit még senki sem használt. Félelmetes felismerés volt, amikor rájöttünk, hogy a Stuxnethez van köze – mondta a 36 éves, egyébként közgazdaság-tudományi diplomával is rendelkező kutató. – Tudtuk, hogy fontos, de fogalmunk sem volt, mi a célja. Lehetett volna akár egy erőmű bedöntése vagy az elektromos hálózat kilövése is – tette hozzá.
Először az antivírusgyártó cégekhez sem mertek fordulni, hiszen semmiféle nevük nem volt a szakmában, és attól tartottak, hogy nem veszik majd őket komolyan. Ezért úgy döntöttek, szabnak maguknak egy tíznapos határidőt az általuk Duqunak elnevezett vírus elemzésére, és azzal állnak majd eléjük. (A név egyébként onnan származik, hogy a program által létrehozott fájlok a DQ karakterekkel kezdődnek. Ez és a hasonló nevű Star Wars-karakter, Dooku gróf adta az inspirációt.)
|
| Bencsáth Boldizsárnak és Buttyán Leventének csak kiadással járt a cyberfegyver elemzése |
Őrült tíz nap volt, mert, mint mondták, „az élet nem állt meg”. Közben tanítottak, dolgoztak a projekteken, és mindkettejüket család, három-három gyerek várta otthon. Ráadásul egy ilyen vírust vizsgálni kicsit macska-egér játékhoz hasonlít: a program kommunikál a támadóval, „hazaszól”.
– Ha észreveszik, hogy játszadozunk vele, megszakítják a kapcsolatot, és nem tudjuk tovább vizsgálni. És vigyázni kell, a támadó ne szerezzen arról mind eközben információt, hogy ki is vizsgálja, mert a végén még nálunk kopogtatnak, hogy ezt nem kéne –avat be a kulisszatitkokba Bencsáth.
Világhír és konferenciák sorozata, már ha épp van rá pénz
A terv bevált: a kaliforniai székhelyű adatbiztonsági óriás, a Symantec azonnal reagált. – Az ő 8 oldalas jelentésükhöz csatolt 34 oldalas melléklet teljes egészében a munkánk, a mi elemzésünk lebutított változata. Ugyanis az ügyfelünk azt kérte, hogy még arra se legyen utalás a jelentésben, hogy egy magyar labor fedezte fel a vírust, nehogy kiderüljön, hogy náluk bukkant fel – mesélik.
Negyven percük volt a jelentést anonimizálni, így, ha például valahol egy képernyőmentésen, oldalon magyar formátumban szerepelt a dátum a sarokban, annak is mennie kellett. Mégis lebuktak, így kiderült, kié az érdem. Bencsáth ugyanis a blogjára – amelyen egyébként receptek és horgászkalandok vannak – korábban feltett néhány titokzatos üzenetet, amelyek a vírusra utaltak, hátha talál olyanokat, akik szintén rábukkantak. Később hiába törölte, a Google megjegyezte az üzenetet, így a Duqu iránt érdeklődők hamar visszajutottak a CrySyS Labhez.
A munkát ezután sem hagyták abba: kifejlesztettek egy módszert, amellyel kimutatható a kémvírus egy fertőzött számítógépen. Arra is rájöttek, hogy a Windows egy úgynevezett zero-day, azaz senki által sem ismert hibáját kihasználva terjedt a vírus. (Vannak, akik ezeknek a felkutatásából élnek, a feketepiacon a kutatók szerint ötven-százezer dollár egy ilyen hiba ára.)
Szerencse is kellett a felfedezéshez, de ez azért nem lett volna elég Buttyán szerint ahhoz, hogy meglepjék a világot. Egyik kedvenc Pasteur-idézete szerint a szerencse is mindig a felkészült elmének kedvez. A Stuxnet 2010. júniusi „lebukása” óta tudatosan foglalkoztak a kérdéssel. Egy doktorandusz elkezdte kutatni a témát, és egy ilyen típusú EU-projektre is pályáztak, igaz, nem nyerték meg.
A Duqu felfedezése után minden nagy vírusirtó cég felvette velük a kapcsolatot, meghívták őket konferenciákra, látogatásokra. – Nem az a lényeg, hogy a sajtóba bekerültünk, hanem az, hogy most már bárkit fel tudunk hívni, ha kell – mondja Buttyán. Az apró szobában, amelyet a két kutató megoszt, egy mágnestáblára írták fel, épp hová van még meghívásuk. A lista hosszú, és mindegyik helyszín és dátum mellé odaírták azt is, a szervezők fizetik-e a költségeket. – Most volna egy müncheni konferencia, de nincs rá pénze a tanszéknek, és egy projektünkben sincs most forrás ilyenre.
Persze ha nagyon fontos lenne, kifizetném saját zsebből – teszi hozzá Bencsáth. A számítógép-alkatrészekkel és a laikus számára misztikus szerkezetekkel zsúfolt szobában egyébként két gitártok és egy erősítő is van, a falon pedig egy édesvízi halakat bemutató poszter lóg.
Flame: mesterlövész, aki a tábornokra vadászik
Az ismertség már hozta magával a Flame-et. Amikor a múlt héten nyilvánosságra került, hogy újabb kémvírus bukkant fel, a CrySyS Lab már dolgozott az elemzésén, csak ők addig SkyWIpernek nevezték. Azt nem árulhatták el, honnan jutottak hozzá – még azt sem, hogy ők találták, vagy valaki megkereste őket vele,mert a támadás áldozata természetesen nem szeretné nagydobra verni a történteket.
– Egy átlagfelhasználónak nem kell félnie a Flame-től, hacsak nem egy olyan cégnél dolgozik, amely fegyvereket ad el a Közel-Keletre – mondja félig viccelődve Bencsáth. Vannak magyar áldozatok, de valószínűleg őket is azért támadták meg, hogy az említett térséghez kapcsolódó információkat szerezzenek. Az ilyen cyberfegyvereket a mesterlövészekhez hasonlítja a szakértő: nem az egész hadsereget akarja leigázni, hanem csak kilőni a tábornokot.
Becslések szerint ezres nagyságrendű azoknak a számítógépeknek a száma, amelyek fertőzöttek lehetnek a kémkedésre alkalmas programmal, amely már legalább öt éve aktív. A Flame képes a gép mikrofonját bekapcsolva beszélgetéseket rögzíteni, mentéseket készíteni a képernyőről, így e-mail- és chatüzeneteket lopni. Sok más között az internetre nem kapcsolódó mobileszközökről is tud adatokat lopni, a számítógép Bluetooth-kapcsolatát kihasználva. A CrySyS Lab munkatársai szerint is egyértelmű, hogy ezt nem akárki készítette, hanem egy állam egy másik elleni támadáshoz.
– Felmerül a kérdés, hogy akkor mi most a munkánkkal Iránt védjük? Volt, aki azt mondta, ezek legitim eszközök kémkedésre, mi pedig egy állam többmilliós projektjét tettük tönkre – hangzik a kutatók dilemmája. Ráadásul a témában semmiféle nemzetközi egyezmény, elfogadott álláspont nincs még. Ők arra jutottak: egy ilyen program mindenképpen káros, hiszen bárki ellen be lehet vetni. – Amíg nem tudjuk, mi a célpont, kötelességünk vele foglalkozni, hiszen akár Magyarország ellen is használhatják. Ez nemzetbiztonsági probléma is – magyarázza Bencsáth.
Egyébként azt sem tartja elképzelhetetlennek, hogy szándékosan „buktatták le” a Flame vírust készítői. Hiszen már legalább ötéves, feltehetően van egy újabb, jobb verziója. – Veszteség a támadónak, hogy megtalálták a programot, viszont a pszichológiai hatása nagy, hiszen öt éve ott volt, de nem vették észre. Most mindenki azon gondolkodik, vajon mi lehet még ott – teszi hozzá Buttyán.
A cyberháború elkezdődött
– A Stuxnet és a Duqu óta elkezdődött egy mozgás Nyugaton is, sokan felkapták a fejüket a hírre, hogy ezeket akár ellenük is bevethetik. Most mindenki azon gondolkodik, hogyan védhetné meg a kritikus infrastruktúrát, azaz az elektromos hálózatot, vízvezetékeket. De ennek fordítva kellett volna lennie, még mielőtt megtörtént, hogy számítógépes szoftverrel volt képes valaki kárt okozni egy fizikai létesítményben – véli Bencsáth.
Szerinte Magyarországon egyébként megvan a tudás és az infrastruktúra ahhoz, hogy megvédjük magunkat a cybertámadásoktól, ám minden rendszernek vannak gyengeségei, minden szoftverben van hiba. – Létezik tökéletes biztonság, de túl drága, és nem praktikus. Meg kell találni a biztonság elfogadható szintjét, amit még elfogadható áron elérhetünk. Ez már közgazdasági, játékelméleti kérdés is, amivel szintén foglalkozik az egyik kollégánk, akit az amerikai Berkeley Egyetemről csábítottunk haza – mondja Buttyán.
A CrySyS-csapatot jobban érdekli a munka elméleti háttere. A vírust leírni, mint mondják, mérnöki munka, és csak utána kezdődnek az igazán érdekes dolgok. – Minket nem az érdekel, mi lesz holnap, hanem az, hogy mit hoz a holnapután, mik egy ilyen eset következményei, hatásai – mondja Buttyán. A Duqu és a Flame esetében szerinte az a tanulság, hogy a világ összes vírusirtógyártó cége kudarcot vallott, hiszen öt évig ott ült a vírus a gépeken, ráadásul úgy, hogy nem is igazán rejtőzködött.
Ez azt is jelenti, hogy a jelenlegi vírus felismerési módszerek elavultak, nem védenek az ilyesféle célzott támadások ellen, ezért új hozzáállásra van szükség. A CrySyS Lab munkatársai természetesen már dolgoznak egy olyan eszközön, amely képes lehet megelőzni a létfontosságú infrastruktúra elleni támadásokat. Bencsáth szerint most végre van erre igény, pénz és lehetőség. „Mi már tíz éve ezt mondogattuk egyébként, csak akkor még senki sem figyelt.”
Csak angolul!
A labor a jelenlegi formájában 2003 óta működik. Buttyán Levente ekkor tért haza Svájcból, ahol doktori fokozatot szerzett. Átszervezte az addig is működő adatbiztonsági labort, és új szemléletmódot hozott a munkába, és ekkor találták ki a CrySyS Lab nevet is. – A magyar tudományos élet eléggé zárt és belterjes, aminek persze nyelvi okai is vannak. Külföldön azt tapasztaltam, hogy ott sem okosabbak az emberek, csak nagyobb a jövés-menés, pezsgés, kapcsolatépítés – mondta a 42 éves kutató.
Ezt akarta itthon is megvalósítani, ezért több változtatást is bevezetett: a hallgatók és a munkatársak például csak rangos, elsősorban külföldi folyóiratokban publikálnak, és elismert konferenciákra járnak. A szakdolgozókat arra kérik, ha lehet, angolul írjanak, és ha az órák magyarul is vannak, a kivetített anyagok és könyvek angolul.
Azt sem hagyják, hogy az állami ösztöndíjban nem részesülő doktoranduszaik olyan munkából tartsák el magukat, amelynek semmi köze a tudományos munkájukhoz. – Bekerültünk több európai uniós projektbe, amiből van annyi bevételünk, hogy abból fizetjük őket. A mi doktoranduszaink nem dolgozhatnak máshol, de olyan munkából élnek, amit később a tudományos fokozatuk megszerzéséhez is elszámolhatnak – meséli Buttyán.
