Nyolc hónapja kémprogramot fedeztek fel a Nemzetbiztonsági Hivatal szerverén és ennek felfedezését követően kezdődött el az a felderítés, amely múlt héten az UD Vagyonvédelmi Zrt. vezetőjének feljelentéséhez vezetett – írta kedden a Népszabadság. A lap szerint az UD azért telepített kémprogramot az NBH egyik gépére, mert kíváncsi volt, mit tudnak vállalkozásukról, tevékenységükről egykori kollégáik. Abban ugyanis biztosak voltak, hogy figyelik őket.

Kémprogramot kívülről telepíteni jellemzően ún. hátsó kapu megnyitásával szoktak. Például egy kéretlen levéllel rá lehet venni a tudatlan felhasználót, hogy egy linkre kattintva olyan weboldalra menjen fel, amely olyan kártékony kódokat tartalmaz, amely kinyitja ezeket a hátsó kapukat – magyarázta a hvg.hu-nak Kecskés Győző, a kifejezetten kémprogram-elhárítására szakosodott Avsec.hu szakértője. Kecskés hangsúlyozta, az NBH-s ügyről konkrét információval nem tud szolgálni, de általánosságban elmondta, hogy a kémprogramok telepítése történhet úgy is, hogy a felhasználó semmit nem vesz észre, a gyanútlanul megnyitott weboldal kódjai ugyanis észrevétlenül, „csendben” telepítik a kártékony programot.

Nehezebb helyzetben vannak a támadók, ha abszolút nem ismerik a rendszert, mégis jelentősen be akarnak hatolni. „Ekkor általában ún. social engineering módszerrel próbálkoznak. Például a rendszergazda nevében telefonon szedik ki az információt a felhasználóból” – magyarázza a szakértő. Mint mondja, az Avsec.hu által végzett átvilágításon szerzett tapasztalatok azt mutatják, hogy a legtöbb helyen nem csúcskategóriás kémprogramokat telepítenek illetéktelenek, hanem kisebb trójai programokat. Igaz, ezek is veszélyesek lehetnek, ugyanis a támadók gyakran a már rendszerben lévő kis fertőzéseket használják fel hátsó kapunak. „Előfordul, hogy a támadó a rendszerben eleve talál egy olyan fertőzést, amit fel tud használni saját céljaira, például azon keresztül tudja bejuttatni a kémprogramot” – mondja Kecskés.

A kémprogramok telepítése után elméletileg bármilyen adathoz hozzáférhetnek a támadók, ez nagyban függ attól, hogy kinek a gépére és milyen típusú programot telepítettek. „Egy billentyűzetfigyelő kémprogram segítségével elsősorban jelszavakhoz férhetnek hozzá, amely a rendszerekhez való további hozzáférésüket könnyítheti meg. Ezek a jelszavak akkor lehetnek igazán fontosak, ha ezekhez a rendszerekhez – például egy adatbázishoz – a jelszó birtokában kívülről is hozzá lehet férni” – magyarázza az Avsec.hu szakértője.

De nemcsak jelszavakat lehet „lenyúlni”, hanem akár különféle fájlokat is át lehet vinni egyik gépről a másikra. Vannak olyan kémprogramok is, amelynek segítségével a kémlelők filmszerűen látják, hogy mit csinál a felhasználó, de olyan is, amely révén szabadon garázdálkodhatnak a számítógépén, mindenhez hozzáférve, amihez ő. „Alapvetően a kémprogramok –ellentétben a vírusokkal – nem terjednek össze-vissza, hanem ott csücsülnek a megtámadott gépen. De általában mindenhez hozzáférnek, amihez a megtámadott gép felhasználója is hozzá tud férni” – mondja Kecskés, hozzátéve: a megfertőzött gépre akár újabb és újabb programokat is telepíthet a támadó, sőt, akár a belső hálózati működést befolyásoló beállításokat is megváltoztathatja.

Nehéz dolga lesz azonban a Nemzetbiztonsági Hivatal vagy a rendőrség embereinek, amikor vissza akarja „követni”, ki és mikor juttatta be a programot a rendszerbe. „A vizsgálók egy dologra támaszkodhatnak: a naplókra, legyen az egy telepítési napló, internetes letöltési napló vagy éppen a hálózati forgalom elemzése. Meg kell nézniük, hogy az adott gép mikor milyen címeket ért el a weben” – mondja a szakértő. Persze kérdés, hogy a naplóállományok rendelkezésre állnak-e és mennyi ideig archiválták azokat.

A Népszabadság mindenesetre úgy tudja, a szakértői vizsgálatok hónapokig is elhúzódhatnak, mert az UD a titkosszolgálattól különböző okok miatt kilépett legjobb számítógépes szakembereket alkalmazta. Így tartani lehet például attól is, hogy a gépek olyan szoftvereket is tartalmaznak, amelyek, ha óvatlanul nyúlnak hozzájuk, megsemmisítik a lemezeken tárolt adatokat.

Dezső András