Kaspersky: bajt hoznak a kiborgok

Igyekszik lesöpörni magáról az elmúlt évek botrányait a Kaspersky Labs, az orosz IT-biztonsági cég Barcelonában szervezett többnapos konferenciát, ahol a cég képviselői a legfrissebb kutatásokat mutatták be. A színpadra kevés orosz előadó, de annál több izgalmas téma került, a cég szemmel láthatóan igyekezett újra a világ IT-biztonsági élvonalába pozicionálni magát. Alább az előadásokból szemezgettünk.

Adat - monetizáció

Mennyit ér a sok ellopott adat a feketepiacon? - erre a kérdésre kereste a választ David Jacoby, a GREAT (Kaspersky Global Research and Analysis Team) senior biztonsági kutatója. A tömeges adatlopások nyomán ma már jelentős adathalmazok keresik gazdájukat a sötét weben, ahol megfelelő összegekért az online identitások egyes elemeit lehet megvásárolni, tömegesen.

De hogy lesz az adatból pénz? Jacoby szerint jelenleg a legfontosabb tényező a pénzmosás: a megszerzett fiókadatokkal (például egy Netflix-jelszóval) már olyan tranzakciókat lehet végrehajtani, amellyel "kifehéríthető" a közönséges bűnözéssel szerzett pénz, elrejthető annak eredeti forrása. Ma egy teljes profil, email-címmel, különböző közösségi médiás hozzáféréssel mintegy 30-50 dollárt ér a feketepiacon, ezek hatalmas, sok százas vagy sokezres adatbázisok formájában, jelentős összegért vásárolhatóak meg.

Szintén jelentős tételt jelentenek változatos botnetek. Ezek olyan internetre kapcsolt eszközök (routerek, PC-k, IP kamerák vagy épp set-top-boxok), amelyek fölött támadók átvették az irányítást és kiváló lehetőséget adnak arra, hogy a bűnözők elrejtsék saját fizikai helyüket, proxyként használva a megtört eszközöket. Miért van erre szükség? A magyarázat prózai: a bankok és kártyatársaságok ma már nagyon figyelnek a kártyahasználat mintázataira, ha valaki reggel a sarki közértben használta a kártyáját, két óra múlva pedig Thaiföldön vagy Moszkva mellett fizet vele, akkor azonnal letiltják a tranzakciót. Itt jön jól a proxy (illetve annak IP-címe): a lopott kártyaadatokkal úgy lehet az interneten vásárolni, hogy a védelmi rendszerek nem jeleznek be.

Jacoby szerint a felelősség kiosztása nem egyszerű feladat. Egyrészt a felhasználók az elemi biztonsági lépéseket sem tartják be, gyenge jelszavakat használnak, ráadásul minden szolgáltatásban ugyanazt, így ha egy gyengébb oldalról elviszik azt, akkor minden fiókjuk kinyílik. Hasonló probléma az internetre kötött eszközöké: ezek védelméről ma senki nem gondoskodik, a sokszor névtelen gyártók nem foglalkoznak a biztonsági frissítésekkel, a vásárlók pedig célgépként (és nem teljes értékű számítógépként) tekintenek ezekre.

Digitalizáció - a sötét oldal

A minikonferencia másik visszatérő motívuma a gyorsan digitalizálódó fizikai világ volt. Egyrészt a hagyományosnak számító számítástechnika, a PC-k, okostelefonok, és a rajtuk keresztül elérhető online szolgáltatások immár sok milliárd ember számára érhetőek el, akik az informatikai érettség egészen különböző szintjein vannak

A másik irány az IoT: amikor a számítástechnika a fizikai világot hódítja meg. Ennek egy egészen speciális iránya pedig az orvosi segédeszközöké, és annak is egy igen izgalmas szelete a testbe épülő eszközöké: a pacemakerek már egy ideje velünk vannak (és velük az első kiborgok is), az orvostudomány fejlődésével az agyhoz közvetlenül kapcsolódó technológia is megérkezett. A Kaspersky kutatói az új generációs mély agy stimulációs (deep brain stimulation, DBS) eszközöket vették szemügyre.

A DBS-eszközöket ma már nem csak kísérleti jelleggel használják különböző pszichológiai zavarok kezelésére, például krónikus fájdalom, depresszió, OCD, vagy épp Alzheimer-kór tüneteinek enyhítésére. A mai modern megoldások saját bőr alá ültetett tápegységgel rendelkeznek (amelyet vezeték nélkül lehet tölteni), és mobilalkalmazás segít abban, hogy az előreprogramozott ingermintázatok közül az épp megfelelőt válassza magának a páciens.

A Kaspersky GREAT laborjának kutatói ezeket a DBS IPG (implantable pulse generator, beültethető pulzusgenerátor) eszközöket vetették vizsgálat alá, az eredmények pedig roppant aggasztóak. A ma használt megoldások ugyanis rengeteg sebből vérzenek: a biztonsági szakemberek találtak kritikus hibát és hibás konfigurációt az online menedzsmentplatformban, ez lehetővé teszi támadók számára, hogy elérjék a kezelésekre és a páciensekre vonatkozó érzékeny adatokat. Szintén súlyos hiba, hogy a beültetett eszköz és a felprogramozást végző eszköz kommunikációja nem védett és nem is titkosított, abba külső szereplő bármikor beleszólhat és támadó akár az implantátumok tömeges újraprogramozását is elvégezheti, módosíthatja a beállításokat és adatokat lophat. Az egészségügyi alkalmazottak viselkedése is hagyott kívánnivalót, a kritikus szoftverekben alapértelmezett jelszavakat hagytak, az orvosi számítógépeken böngészték az internetet és alkalmazásokat töltöttek le rájuk.

Nem oldódik meg az érettséggel

Sokkal komolyabb probléma, amely a technológia érettségével sem oldódik meg automatikusan, a biztonság és a védelem kérdésköre - amit talán jobban kifejez az angol safety és security kettőse. A biztonságos működés követelménye ugyanis előírja, hogy egy orvosi segédeszközt adott esetben (hiba, vészhelyzet, stb.) az orvos le tudjon kapcsolni, vagy át tudjon állítani. Ehhez a gyakorló orvos számára preferenciális hozzáférést kell biztosítani, ami adott esetben akkor is működik, ha a páciens nincs tudatánál és nem tud beleegyezni a hozzáférésbe. Ráadásul harmadik tényezőként kerül a képbe a használhatóság (usability) is, ezt a hozzáférést ugyanis a műszaki képzettséggel nem rendelkező orvos számára gyorsan, megbízhatóan, könnyen biztosítani kell.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az ilyen preferenciális hozzáférés másik neve viszont a hátsó kapu - backdoor. Erről pedig a jelenleg is zajló titkosítási vita nyomán is tudjuk, hogy igencsak kétélű fegyver. Ha valamely szereplő számára adunk ilyen hozzáférést, akkor szinte biztosra vehető, hogy azzal rosszindulatú aktoroknak is hozzáférést biztosítunk, akik ha megszerzik a különleges kulcsot, ugyanúgy hozzáférhetnek (akár a páciens akarata ellenére is) a segédeszköz működési paramétereihez.

Jelenleg még csak a probléma felszínét karcolgatjuk, és néhány pacemakert, beültetett DBS-eszközt vagy inzulinpumpát érint. A középtávú jövő azonban az ilyen beültetett eszközök tömeges terjedését vizionálja, a Kaspersky által hivatkozott hosszútávú előrejelzések szerint a következő évtizedben már az emlékezetet befolyásoló (emlékeket kinyerő, felülíró, újraíró) eszközök, 2030-as években pedig az első kereskedelmi emlékezetjavító megoldások is a piacon lehetnek, 2040-re pedig általánossá válik majd a biológiai emlékezet fölötti kontroll. Van tehát néhány évtizedünk arra, hogy feloldjuk a biztonság-védelem-használhatóság hármasának ellentmondásait.