Csúfot űzött a netes biztonságból a LulzSec
Az ideológiai céllal oldalakat feltörő, illetve túlterheléses eszközökkel leállító Anonymous csoportból kiváltak a tevékenységet csak szórakozásból űzők. Ők a Lulz Security, céljuk pedig csupán bemutatni az internetes biztonság meglepően gyenge állapotát - és csúfot űzni a kárvallottakból.
Úgy tűnik, visszatértek a kilencvenes évek, újra rendkívül divatos lett feltörni a különböző vállalatok és online szolgáltatások weboldalait - legalábbis eddig erről szól 2011 első hat hónapja az IT-biztonság szempontjából. A kilencvenes évekhez viszonyítva azonban lényegesen több felhasználói adat van ma az interneten, így a visszaélések nem csak a különböző cégeknek okoznak kárt, hanem már a felhasználót is érintik.
Tipikus példa erre Aaron Barr esete, aki a HBGary biztonsági cég élén indított korábban támadást az Anonymous ellen, remélve, hogy be tud férkőzni a titokzatos szervezet soraiba. A történet azonban visszafelé sült el, aminek a HBGary, és személyesen Barr is komoly kárát látta: feltörték az összes személyes oldalát, beleértve a LinkedIn-, Twitter-, vállalati e-mail- és online fizetésre használt fiókját is, amelyekhez ugyanazt az azonosító-jelszó párost használta. Persze a kétes megítélésű biztonsági szakembert nem kell sajnálni - a történet azonban jól mutatja, hogy egy felhasználói név - jelszó párosítással mennyire messzire lehet jutni manapság.
Szabad rablás
A LulzSec valódi jelenség: a rejtélyes csoport büszkén vállalja a különböző betöréseket és DDoS-támadásokat, saját Twitter-csatornájukon keresztül pedig folyamatosan tudatják a nagyvilággal a friss áldozatok nevét. Az áldozatok sorát az amerikai Fox tévécsatorna oldala nyitotta, amelyről sikerült megszerezni az ottani X-Factor jelentkezőinek teljes névsorát, később pedig az oldal adminisztrátori és alkalmazotti fiókjainak, valamint a sales adatbázisának egészét tették nyilvánossá.. A második nagy hal a mára közröhej tárgyává vált Sony lett, a LulzSec hozzáfért a japán vállalat teljes belső infrastruktúrájához. A csoport saját bevallása szerint a teljes adattömeg letöltése heteket vett volna igénybe, ezért csak az érdekesebb elemeket, valamint véletlenszerűen néhány adatbázist szedtek le és teregettek ki, köztük a rendszerek strukturális felépítését és mintegy 3,5 millió kupont, amelyeket online zenevásárlásra lehetett (volna) felhasználni is.
A csoportnak látszólag csak kihívásokra volt szüksége, így miután az amerikai kormányzat bejelentette, hogy háborús cselekménynek tekinti a hackertámadásokat, a LulzSec gyakorlatilag azonnal feltörte az FBI egyik weboldalát, és egy hozzá köthető biztonsági céghez is behatolt, ráadásként pedig az amerikai szenátus webszerverét is kompromittálta, amelyet csak a mém-trollokra utaló "Problem?" kommentárral hozott nyilvánosságra. A csoport hozzáállását jól mutatja, hogy az egyik biztonsági cég "feltörhetetlen" oldalának feltöréséért kínált pénzjutalmat elutasította. A nagyvállalatok és cégek adatainak kiadása mellett azonban a lenézett, tudatlan átlagfelhasználó alázására is nagy hangsúlyt fektetett a LulzSec, ennek megfelelően többször felhívták a közönséget a kiadott azonosító-jelszó párosok próbálgatására különböző szolgáltatásokban - a twitteres visszajelzések szerint meglehetős sikerrel. Így van, akinek Facebook-profilokra vagy PayPal-fiókokba sikerült bejutnia, vagy Amazonról termékeket rendelni mások nevében.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A betöréseket megunva a LulzSec a DDoS támadások felé fordult, saját, az Anonymous Low Orbit Ion Cannon (LOIC) hálózatáról eltérő rendszerét felhasználva. Az áldozatok közé ezúttal inkább a változatos játékcégek kerültek, a Minecraft, League of Legends és az EVE Online login-szerverét is tűz alá vették - ez utóbbi két cég esetében a gyenge terheléselosztás miatt a weboldalt is magával húzta. Ez a lépés is jól mutatja, hogy a LulzSec nem fogja magát vissza akkor sem, ha elsősorban a felhasználónak okoz kárt - összhangban a csoport meglehetősen anarchista hangvételével.
Ezzel vág egybe a LulzSec legújabb hobbija, a 4chan /b felhasználói fórumának folyamatos kigúnyolása - mint ismeretes, ebből a csoportból nőtt ki az Anonymous, és a LulzSec is. A csoport közzétett mintegy 62 ezer azonosító-jelszó párost is, amely valószínűleg a fórum látogatóinak adatait tartalmazza, bár arról egyelőre nincs szó, hogy a LulzSec ezeket honnan szerezte. A legvalószínűbb, hogy az adatokhoz brute force támadással jutottak hozzá - erre utal, hogy a megszerzett jelszavak 16 karakternél rövidebbek és egyikben sincs nagybetű, ez a csoport által használt rainbow table korlátozásaiból eredhet.
Nincs biztonság?
Az Anonymous és a LulzSec tevékenységéből az internetes biztonság rendkívül szomorú állapota rajzolódik ki: még a legnagyobb cégek sem törődnek eléggé a rendszereikkel. A biztonsági feladatokat legtöbbször nem tudják házon belül sikeresen megoldani, azonban úgy tűnik, hogy a kiszervezés sem jó megoldás - még a biztonsági cégek is csak a törvényben megszabott minimumot végzik el, munkájukra pedig nincs garancia. A problémára megoldás rövid távon nincs - a lelkiismeretes, valóban jól dolgozó biztonsági cégeknek reputációt kell építeniük, ezzel nyomás alá tudják helyezni a minőségi munkát nem végző, lényegesen olcsóbb versenytársakat.
A soha nem látott mértékben felélénkülő hackeraktivitás nyomán valószínűleg a legtöbb cég átgondolja hozzáállását a biztonsági kérdésekhez: a minőségi szolgáltatások ugyan drágábbak, de a kikerülő felhasználói információk által okozott bizalomvesztés sokkal többe kerülhet. A döntéshozók korábban legyinthettek a problémára, hiszen az ilyen események szinte elhanyagolható eséllyel következtek be - ez azonban ma már nem igaz.
Csak nem láttuk?
Valószínű, hogy a hackelés és a hálózati biztonság hiánya nem új keletű dolog - inkább a széles nyilvánosság előtt folyó válfaja lehet az. Az Anonymous és a LulzSec tevékenysége, valamint a Sony feltörése kapcsán felmerül a kérdés, hogy vajon ezelőtt nem folyt-e hasonló tevékenység titokban? A tavasz másik biztonsági eseménysorozata, az RSA, a Lockheed Martin és egyéb biztonsági és fegyvergyártó cégek elleni támadások azt jelzik, hogy bizonyos körök igen kifinomult behatolási eszközökkel rendelkeznek, amelyek mellett a hackercsoportok szinte amatőrnek tűnnek.
Nem csoda, hogy a Google folyamatosan, nemzetközi hírverés mellett hozza nyilvánosságra a rendszerei ellen érkező komoly támadásokat - amelyek nem meglepő módon elsősorban Kínából származnak. A hírverés tudatos lépés a keresőóriás részéről, a kifinomult támadások ugyanis szinte minden esetben az emberi láncszem felhasználásával válnak sikeressé: a feltört Gmail-fiókok eddig minden esetben a felhasználó által véletlenül telepített keylogger-programok révén váltak hozzáférhetővé, a Google szolgáltatásai eddig biztonság szempontjából kikezdhetetlennek tűnnek.
A kritikus (állam)titkokat nem őrző cégek esetében azonban sajnos még ennyire sincs szükség. A Sony ugyan látványosan megbukott biztonsági technológiákból és elvesztette több tízmillió felhasználó személyes adatait, a többi vállalat sem szerepel eddig túl jól. A tavasszal a Citibank szerverét is feltörték, legutóbbi információk szerint több mint 300 ezer felhasználó kártya- és számlaszámát vitték el - a bankok tipikusan a jobban védett netes entitások közé tartoznak, milyen lehet akkor a többi?
Egyelőre - legalábbis a LulzSec számára - a törvény ökle sem visszatartó erő. Épp ellenkezőleg: a csoport meglehetősen biztos lenyomozhatatlanságában, folyamatosan gúnyolják az amerikai kormányzatot. A csúcsot a csoport élő telefonvonala jelenti, amelyet bárki felhívhat, hogy tippeket adjon a következő támadási célponthoz. Az már a csoport kreativitását jellemzi, hogy a hívások átirányításával később a Blizzard terméktámogatási telefonvonalait DDoS-olták nagy sikerrel.