A Pentagon, a Nemzetbiztonsági Ügynökség (NSA) és az FBI amerikai fejesei - megelégelve számítógépes hálózataik sorozatos megtámadását - négy-öt évvel ezelőtt felkértek egy hackert, hogy segítsen a belépéskor használt jelszavak biztonságossá tételében - cserébe szemet hunynak korábbi stiklijei fölött. A bitbetyárból alkalmi pandúrrá előlépett fiatalember a megrendelők nem kis meglepetésére számítógép helyett egy telefonkészüléket kért, hogy demonstrálja az egyik - különösebb előképzettséget nem igénylő - besurranási alaptechnikát. Alig félórás - színészi helyzetgyakorlatnak is beillő - telefonálgatással megszerezte az egyik jelen lévő vezető asszisztensének a jelszavát; a sikerhez csak annyi kellett, hogy megtévesztő hitelességgel hol méltatlankodó számítógépes rendszergazdának, hol feldühödött felettesnek adja ki magát. Az internetbiztonsággal foglalkozók szakmai legendáriumából idézett eset a szakzsargonban "social engineering (társasági ügyeskedés) néven ismert trükk egyik alapváltozata" - vezet a számítógépes világ sötétebb zugaiba Frész Ferenc, az adatmentés és a hálózati biztonság területén a nemzetközi élmezőnybe tartozó magyar Kürt Rt. biztonsági szakértője.

Ami azonban nem megy szép szóval, azt többnyire a processzorok nyers erejével kell megszerezni. A szabadságharcos-attitűdjükre büszke, az anyagi károkozást kerülő hackerek által felkészületlenségük és megfontolatlanságuk okán lenézett "kattintgatós suttyók" (script kiddies) választják rendszerint e műfaj legegyszerűbb módját. A lehetséges variációk végigpróbálgatásán alapuló módszerhez elsősorban digitális szótárakra van szükség. Ezek a kéziszótárak alapszókészletén túl számokkal kombinált, kis- és nagybetűket is tartalmazó értelmes kifejezések - beleértve a bece- és állatneveket, esetleg az autómárkákat is - oda-vissza olvasatát sorolják fel. A jelszófejtők nem egy esetben külön bepötyögik a jelszógazda környezetéből, élethelyzetéből adódó lehetőségeket is. E területen csak látszólag nagy a variációk száma: a némi szörfözgetéssel még a bitanalfabéták által is könnyen megszerezhető programocskák - a korszerűbb pc-k számolási sebességének köszönhetően - a hat-hét karakteres kódok esetében ma már gyorsan végigpörgetik a létező összes lehetőséget.

Ám az ennél bonyolultabb jelszavak sem megfejthetetlenek - bár 14 vagy annál több karakterből álló kódot egyetlen normál gépnek akár évekig is eltartana kitalálni. Ilyenkor a szakargóban zombigépeknek nevezett, speciális hálózatba (úgynevezett fürtbe) kötött asztali masinák kínálhatják a megoldást. Ezek az interneten "távirányítással" összekapcsolt, netán egy-egy vállalati rendszergazdától éjszakai munkára illegálisan kibérelt céges masinák együtt valóságos szuperszámítógépet alkotnak, és hatalmas kapacitásukkal alkalmasak az internetes kódtörésre. "A mai kiszolgálók, szerverek persze már beállíthatók úgy is, hogy három vagy akár kevesebb sikertelen bejelentkezési kísérlet után hosszú időre letiltsanak" - így Frész, aki szerint azonban ez a védelmi fegyver csak az amatőrök ellen működik.

Nem is digitális "faltörő kosnak" használja az említett zombigépeket a legújabb számítástechnikai ismeretekkel is felvértezett alvilág, amely az áhított adatokhoz való hozzáférést biztosító jelszavak megszerzéséhez nem kevés szervezéssel járó, szofisztikáltabb módszereket vet be. Az úgynevezett hálózatletapogatás (angol műszóval tapping) első lépéseként például a bitbetyár fizikai valójában (inkognitóban) besurran a meglékelni kívánt cég, intézmény épületébe, és az ottani hálózat valamelyik szabadon hagyott kábelkimenetét használva saját hordozható masinájával rákapcsolódik a házi rendszerre. Ha nincs komoly jelszóvédelem, akár rögtön be is léphet, de ellenkező esetben sem kell kétségbeesnie - jelzi a további lehetőségeket Sebestyén Márk informatikus -, hiszen a drótokban zajló kommunikáció belépési kódok nélkül is lehallgatható. A "lefejtett", a laikus számára zagyva információhalmazt később, nyugodt körülmények között lehet kielemezni: így kiszűrhetőek a szokásos hárombetűs (.doc, .jpg, .pdf) fájlkiterjesztésektől eltérően hash "utónévvel" felcímkézett, jellemzően a felhasználók nevét és jelszavát tartalmazó adatcsomagok. Ezeket hiába kódolták a gondos rendszergazdák, mivel a már említett zombigépekkel, de még a világhálón közkézen forgó egyszerűbb kódtörő programokkal is könnyedén megfejthetők - folytatja az informatikus.

A tavaly nyáron világszerte több mint negyvenmillió bankkártya jelszókódját eltulajdonító (HVG, 2005. június 22.) és azok segítségével több százmillió dollárt meglovasító - azóta is ismeretlen - brigád más eszközökkel dolgozhatott. A biztonsági szakemberek feltételezése szerint a hagyományos bűnözésben a "beépített ember" kategóriába tartozó műfogás elektronikus változatával, a szakzsargonban trójai falovaknak nevezett kémprogramokkal. Ezek a már jó tíz éve létező, ám eleinte inkább számítógépes vírusok transzportjára használt digitális fürkészek - akár a hellén mítoszban - ártalmatlan semmiségnek (például levélnek, játékprogramnak, erotikus képgalériának) álcázzák magukat. Miután a kíváncsi géphasználó rájuk kattintott, észrevétlenül "beülnek" a számítógépébe. Egyes változataik kifigyelhetik a jelszót (mondjuk úgy, hogy a bejelentkezési procedúra során megjegyzik, milyen sorrendben ütötték le a billentyűket), majd az internetes kapcsolatteremtés során ki-be jövő információfolyamban megbújva elküldik gazdájuknak a néhány bit terjedelmű kulcsinformációt.

Az ilyen jelszólopásoknak csak a töredékére derül fény, bár a beígért retorziók szigorúak. Tavaly például annak a brit diáknak az ügye váltott ki nemzetközi visszhangot, akit végül is azért nem ítéltek többéves börtönre, mert csupán iskolatársainak jelszavát tulajdonította el a sulihálózat gépeire telepített "falovaival". Ennél sokkal veszélyesebbek a nyílt megtévesztéssel operáló trójaitípusok. A magyar Virusbuster cég statisztikái szerint az elmúlt két évben több olyan jelszólopó programot észleltek hazai hálózatokban, amelyek számítógépes banki szolgáltatások használatakor léptek működésbe. Amikor a gyanútlan netügyfél be akart jelentkezni a banki rendszerbe, egy, az eredetire megtévesztésig hasonlító weboldal - valójában egy ügyes trójai - kérte el a felhasználó nevét és jelszavát, majd hálózati hibára hivatkozva új próbálkozást javasolt. Másodszorra már az igazi bankok jelentkeztek, s az ügyfél észre sem vette, hogy kódjait illetéktelenek szerezték meg.

A legdörzsöltebb hálózati kalózok egyébként nem is a rendszerek legszigorúbban őrzött - a mezei dolgozók által is használt - főkapuin próbálnak bejutni, hanem valamiféle mellékajtón. Így nem is jelszóra van szükségük, hanem a számítástechnikai rendszer gyenge pontjainak ismeretére, ami viszont már egy másik történet. Bár lapzártánkkor még nem lehetett tudni, pontosan kik és hogyan jutottak hozzá az MSZP-szerver egyébként egyszerű képzettársítással is visszafejthető "pirosvirag" belépési kódjához, a HVG által megkérdezett szakértők arra a kalóz-bonmot-ra is emlékeztettek, miszerint jelszavakat lopni igazán a hozzájuk tartozó gépekkel együtt érdemes.

VAJNA TAMÁS