Csak az informatikai szakemberek vannak tisztában azzal, mekkora veszélyt jelent, hogy az internet alaprendszerét, a world wide webet (www), annak számos különböző elemét nem egy hatalmas, erős szervezet tartja karban, hanem lelkes önkéntes informatikusok – írta az Economist egy ezzel kapcsolatos riasztó esetről beszámoló cikkében.
Fotó: Pixabay
Pár héttel ezelőtt, március 12-én volt a www 35. születésnapja. Ebből az alkalomból a szoftver fejlesztője, Sir Tim Berners-Lee egy nem éppen pozitív jelzővel illette találmányát. Az mondta szellemi gyermekéről, hogy „perverzzé” vált. Több kárt okoz, mint amennyi hasznot hoz. Az eltelt három és fél évtizedben olyan óriási platformoknak és azok mindentudó algoritmusainak otthonává vált, amelyek antiszociális, romboló irányba fordítják az emberek viselkedését – idézte a szakembert a Time magazin.
Lehet, hogy ez a legnagyobb hibája a world wide webnek, de tény, hogy az emberek ezen keresztül élik személyes életük egy részét és a világ pénzügyi rendszere kiszolgáltatott a világhálónak. Emellett ki tudja, milyen titkos információk fordulnak meg rajta. Egy kiberbiztonsági eset rávilágított arra, mekkora kockázattal jár a világháló alapvető szoftvereinek amatőr fenntartása.
Kémtörténetbe illő sztori
Andres Freund, a Microsoft mérnöke március végén publikált egy detektívtörténetet, aminek kiindulópontja egy apró felfedés volt. Azt vette észre, hogy az utóbbi időben a vártnál 500 millimásodperccel lassúbb lett az úgynevezett SSH rendszer, amely azért felel, hogy az eszközök biztonságosan tudjanak kapcsolódni egymáshoz a világhálón keresztül.
Ahogy jobban megvizsgálta a dolgot, azt találta, hogy egy rosszindulatú program fészkelte be magát az úgynevezett XZ Utils szoftverbe, a Linux operációs rendszer egyik fontos programrészletébe. Ez az operációs rendszer fut rengeteg nyilvánosan elérhető internetszerveren. Ezek a gépek szolgálják ki például a kulcsfontosságú pénzügyi és kormányzati szolgáltatásokat. A rosszindulatú szoftver úgynevezett mesterkulcsként szolgált ahhoz, hogy a támadók a segítségével ellophassanak kódolt adatokat vagy további malware-eket - azaz rosszindulatú alkalmazásokat - telepíthessenek a hálózatra.
Itt jön a kriminek az a fordulata, amely a rendszerek gyenge ellenőrzésére hívja fel a figyelmet. Az XZ Utils nyílt forráskódú szoftver, ami leegyszerűsítve azt jelenti, hogy kódjához bárki hozzá tud férni és változtatni tud rajta. Ezzel jellemzően a programot jól ismerő szakemberek foglalkoznak. Egyikük, Lasse Collin szoftverfejlesztő mérnők 2022-ben azt vette észre magán, hogy a sok ingyenmunka, amit erre szánt, teljesen leszívta az erejét. Mentálisan elfáradt.
Eljött a titokzatos fordulat
Így örömmel fogadta, hogy a magát Jia Tannak nevező kollégája, aki egy évvel korábban hozta létre saját internetes fiókját, felajánlotta segítségét. Két éven át az illető, aki lehet nő vagy férfi vagy képviselhet egy csapatot, több száz esetben hasznos segítséget nyújtott, amivel megszerezte Collin bizalmát. Aztán februárban becsempészte a rosszindulatú szoftvert az XZ Unitsbe.
A támadás igen jelentős – állapította meg a The Grugq álnéven ismert független kiberbiztonsági szakértő, akit sokan követnek a szakmabeliek közül. Nagyon rejtett, különleges módon feltelepített biztonsági hátsó ajtóról van szó. Talán túlságosan el akarták rejteni a kilétét, ez okozhatta az SSH működésében azt a lassulást, ami végül lebuktatta a malware-t.
Jia Tan végtelen türelme és az, hogy akadt számos olyan internetes szereplő, aki arra biztatta Collint, hogy adja át neki a stafétabotot, arra utal, hogy kifinomultan megtervezett és lebonyolított akcióról volt szó. Ilyesmire a nagy, technikailag jól felkészült titkosszolgálatok képesek – derült ki a The Grugq elemzéséből.
Kik kerültek gyanúba?
Ez lehet az orosz SVR külföldi hírszerző szolgálat, amely 2019–2020-ban feltörte a SolarWins Orion hálózatmenedzselő szoftvert, hozzáférve az Egyesült Államok kormányának belső informatikai hálózatához. Rhea Karty és Simon Henniger elemzők arról számoltak be, hogy Jia Tan megpróbálta elmaszkolni az időzónát, amiben dolgozott, ám vélhetően két-három órával a Greenwich Mean Time (GMT) előtt járt és nem dolgozott a kelet-európai munkanapokon. Ez a teória azonban még igazolásra szorul.
A szakértők egyetértenek abban, hogy az elmúlt időszak legambiciózusabb „beszállítóilánc-támadásáról” van szó, amely nem egy számítógépet vagy számítógépeket vett célba, hanem egy olyan háttérszoftvert és hardvert, amelyről sokféle akciót indíthattak volna. A nyílt forráskód védelmében – ami végül is lehetővé tette a támadást – azt hozzák fel az informatikusok, hogy Freund ennek köszönhetően fedezte fel az akciót. Ez tette lehetővé, hogy kiirtsák a malware-t.
A szkeptikusok nem ennyire nyugodtak. Freund elismeri, hogy több tényező véletlen egybeesésének köszönhetően ismerte fel a bajt. Mások arra hívják fel a figyelmet, hogy egyedül ő jelezte a támadást. Senki más nem vette észre. Ezért szerintük Freundot végtelen számú ingyenes sörmeghívás illeti meg.
