Az elmúlt napokban ismertté vált betörésekkel kapcsolatban - a The New York Times, Wall Street Journal, Washington Post - elhatároztam, hogy bemutatom, mi történik akkor, ha egy adatbázist orosz bűnözők törnek fel, összehasonlítva azzal amikor (állítólagos) kínai kémek, és hogy ez igazából csak a jéghegy csúcsa. Ebben a rövid összefoglalóban egy olyan szolgáltatást mutatok be, amely eredetileg 2009-ben működött, és feltört,  nagy forgalmú weboldalak mögött lévő adatbázisokhoz adott el hozzáféréseket. A szolgáltatás GiveMeDB néven vált hírhedté.

Az Egyesült Államok Energiaügyi Minisztériuma megerősítette, hogy januárban kibertámadás érte a szervezetet, amelynek következtében alkalmazottak és szerződött partnerek adatai kerültek ki, azonban semmilyen titkos anyag nem került napvilágra. A szervezet szóvivője szerint az incidens január közepén történt, és a minisztérium hálózatát vette célba. A kikerült személyes adatokat felhasználva azonosítani lehet az alkalmazottakat és a szerződéses partnereket. Az ország nukleáris energia programját is felügyelő szervezetnél működő kiberbiztonsági csapat megkezdte a nyomozást, amelybe bevonták szövetségi és kormányzati igazságügyi szerveket is.

Több mint egy évtizede a kibertámadásokat tehetséges fiatalok hajtották végre a saját számítógépükön dolgozva a hálószobájukból. A céljuk az volt, hogy minél nagyobb hírnevet szerezzenek, hogy minél jobban lenyűgözzék a társaikat és a többi hacker-t. A támadásokban elsősorban férgeket (worms) használtak, amelyek képesek önmagukat sokszorozni. Minél szélesebb körben és minél gyorsabban terjedt a káros szoftver, annál nagyobb dicsőséget szerzett a gazdája. Azonban manapság már más idők járnak, és a káros szoftverek nagyon eltérnek az akkoriaktól. Mivel folyamatosan növekszik a kibertámadások száma, az általuk a magánszemélyeknek és vállalatoknak okozott kár, érdemes megvizsgálni, hogy honnan indulnak a támadások és hogyan hajtják végre azokat.

Hacker-ek egy csoportja egy hamis Apache modullal fertőzik meg a webszervereket, valamint lecserélik a Secure Shell-t (SSH) egy olyan hátsó kaput (backdoor) tartalmazóra, amely segítségével el tudják lopni az adminisztrátorok és felhasználók belépési adatait. A hacker a feltört szerveren kicserélik az SSH összes bináris állományát egy backdoor-t tartalmazóra, amely elküldi az összes kimenő és bejövő SSH kapcsolathoz tartozó hostnevet, felhasználónevet és jelszót egy a támadók által irányított szervernek. "Korábban már láttunk néhány SSH daemon backdoor-t, viszont azok nem terjedtek el, vagy pedig ismert rootkit-ek részei voltak. Olyat azonban korábban még nem láttunk, mint ez. Nem csak az daemon-t módosítják, hanem az összes SSH-hoz kapcsolódó programot (ssh, ssh-agent, sshd), és az egész célja, hogy ellopják a jelszavakat", írta a Sucuri biztonsági cég vezető szakártője egy blog posztban.

Az elmúlt hónapokban az amerikai bankok elleni elosztott szolgáltatás megtagadásos támadások (DDoS) óriási figyelmet keltettek, azonban senki nem foglalkozott igazán a probléma gyökerével: az Internet nem biztonságos, emiatt a támadóknak lehetőségük van olyan botnet-eket bérelni, amelyek tömeges támadásokat tudnak indítani. Számos szakértő egyetért az Akamai Technologies-nál dolgozó Mike Smith véleményével, aki szerint az egész helyzet oka az Internet "egészségi" állapota. Web-es alkalmazások elavult és sérülékeny verzióinak használata (mint például a népszerű Joomla és WordPress), valamint a különböző szervezetek által használt saját tartalom kezelő rendszerek hibái egyszerűen túlságosan könnyűvé teszik a támadóknak a weboldalak feltörését, így ezeken keresztül hajtják végre a DDoS támadásokat a bankok ellen.

Sajnos még most is elég keskeny a határvonal a biztonsági kutatások és a betörések között. Ezt tanulhatta meg a 20 éves Ahmed Al-Khabaz, aki a montreali Dawson College-ben tanult. A National Post híradása szerint Al-Khabaz egy hibát fedezett fel a a Quebec tartományban sok helyen használt Omnivox szoftverben, miközben egy olyan mobil alkalmazást készített, amely segítségével a hallgatók könnyebben hozzáférhetnek a felhasználói fiókjukhoz. A szoftver készítőinek hanyagsága folytán alapvető számítógépes ismeretek birtokában bárki képes hozzáférni több mint 250 ezer tanuló adataihoz, ide értve például a társadalom biztosítási számot is. Al-Khabaz jelentette a felfedezését a tanszék vezetőjének, aki megígérte, hogy felveszi a kapcsolatot a gyártóval. Ezután a hallgató ellenőrizni akarta a javítást, de innentől kezdve rossz irányt vettek a dolgok.

Képzeljük el, hogy minden olyan alkalmazás vagy szolgáltatás, amelyet láttunk, vagy amelyről hallottunk az elmúlt héten megtartott CES rendezvényen, eleve úgy lett megtervezve, hogy már piacra lépés előtt is alkalmas a lehallgatásra. Még azelőtt, hogy az olyan átlagos emberek, mint Ön vagy én egyáltalán használatba vennénk. Ez a feltételezés mostanra a realitások talajára lépett. Az elmúlt néhány évben az FBI folyamatosan azt bizonygatta, hogy egyre rosszabbak lesznek a lehetőségei a megfigyelésre, mivel a kommunikációs technológiák - ide értve az Internetre csatlakozó eszközöket - túlságosan bonyolulttá válnak ahhoz, hogy egyszerűen le lehessen hallgatni azokat. Ezért a Szövetségi Nyomozó Iroda sokkal jobban "lehallgatás barát" Internetet és szabályozást akar, amelyet talán még ebben az évben javasolni fognak. De talán az adatvédelem és biztonság szempontjából is jobb lenne, ha az FBI inkább be tudna törni a célszemélyek számítógépeibe.

Az Ausztrál Főügyészi Hivatal engedélyezni akarja az ország titkosszolgálatának (Australian Security Intelligence Organisation - ASIO), hogy bűncselekményekben nem érintett és nem támadott szervezetek IT rendszereibe is betörjön. Nicola Roxon főügyész szóvivője szerint ezeken a rendszereken keresztül fognak behatolni majd az olyan tényleges célpontok hálózatába, mint például a feltételezett terroristák vagy bűnözők. Az ilyen esetekben a hatóságoknak nagyon szigorú feltételeket kell teljesíteniük, hogy ezzel biztosítani lehessen, csak kivételes esetekben tudjanak élni ezzel a lehetőséggel.

A szolgáltatás megtagadásos támadások a hacktivisták eszköztárának legfontosabb szerszáma. Általában ezek a programok nem túl bonyolultak, és bárki képes azokat futtatni, hogy részt vegyen egy weboldal elleni támadásban és segítse a "célok" elérését. Azonban az elmúlt időszak Izraelben (és most már Pakisztánban is) végrehajtott hacktivista támadásai egyre gyakrabban a DNS szerverek ellen irányulnak. Miért is kellene deface-elni egy oldalt, ha elég az is, hogy megtámadják azt a szervert, amely nyilvántartja a célpont IP címét. Egy weboldal regisztrált domain nevét megváltoztatva lehetővé válik, hogy bármilyen domain név arra a szerverre mutasson, amire ők akarják. Tehát ha be tudnak törni a DNS regisztrátorhoz, amely egy egész országra vonatkozóan tartalmaz DNS rekordokat, akkor bármelyik szervert át tudják irányítani arra a weboldalra, ahova csak akarják.

A Nullcrew néhány hónapos csönd után jelentkeztek újra, ráadásul egy igencsak érdekesnek tűnő betöréssel. Azt állítják, hogy sikerült betörniük a "Study in the States", az amerikai Belbiztonsági Minisztérium (US Department of Homeland Security, studyinthestates.dhs.gov) egyik oldalára. A csoport állításának bizonyítékaként több, a szerverről származó adatot is közzétett (Database Host, user, password, database name). Közleményük szerint úgy sikerült a betörés, hogy hozzáférést szereztek a Wp-config.php állományhoz. Az már csak ráadás, hogy feltörték a Sharp Electronics UK hivatalos weboldalát, és megszerezték a teljes SQL adatbázist.