A gazdasági válság serkenti az online bűnözést

Hanyatló gazdasági viszonyok között a szellemi tulajdon különösen nagy veszélyben forog – állapítják meg az amerikai Purdue Egyetem CERIAS biztonsági kutatóközpontjának munkatársai nemrég megjelent tanulmányukban.  Az, aki a munkahelye elvesztésétől fél, vagy már fel is mondtak neki, könnyen kísértésbe esik némi pénz reményében – áll a VirusBuster és a Puskás Tivadar Közalapítvány IT-biztonsági beszámolójában.

"Erős a gazdasági nyomás, gyenge a bűnüldözés” – írja a beszámolóban Gene Spafford, a CERIAS igazgatója. „Ráadásul az egyes országokban eltérően kezelik a személyiségi jogokat és a biztonságot, a megfelelően védett számítástechnikai környezet biztosítása pedig nap mint nap nehéz feladatot jelent. Ezek a tényezők együttesen oda vezetnek, hogy óriási mennyiségű szellemi tulajdon került veszélybe. A tanulmányban szereplő becslések szerint tavaly több milliárd dollár értékű szellemi tulajdont loptak el vagy károsítottak meg, és ez az összeg bizonyára csak növekedni fog."

Évről évre biztonsági közvélemény-kutatást végez a KPMG. A 2009-es E-bűnügyi felmérés (E-crime Survey) 307 magánvállalatra, kormányzati, illetve bűnüldöző szervre terjedt ki. Az egyik legaggasztóbb eredmény, a válaszadók kétharmada szerint, hogy a recesszió miatt munka nélkül maradt informatikai szakemberek komolyan csábításba eshetnek.

Válság idején elszaporodnak az illegális akciók © Végel Dániel

Eközben a mind bonyolultabbá váló szoftverek fejlesztői kemény versenyt futnak az egyre kifinomultabb technikákat bevető számítógépes bűnözőkkel. A márciusban Kanadában megrendezett rangos Pwn2Own hackerbajnokság résztvevői már a verseny első óráiban feltörték a világ három legelterjedtebb böngészőjét: az Apple Safariját, a Microsoft Internet Explorerét (IE) és a Mozilla Firefoxát. Ráadásul ehhez nem is kellett három szuperagy: Nils, egy német egyetemi hallgató (aki a vezetéknevét nem volt hajlandó elárulni) egymaga az egész triót leterítette. Igaz, a Microsoft egy nappal később kibocsátott egy olyan javítást, amely szakértők szerint megvédte volna az IE-t Nils támadásától, ám a bajnokság eredményét akkor is intő jelnek tekinthetjük.

Miközben kutatók úgy becsülik, hogy egy megbízhatóan kiaknázható IE biztonsági rés a feketepiacon 100 ezer dollárt hoz, a Pwn2Own versenyzői ötezer dollárért és a megtámadott gépért átadták titkukat a szervezőknek. Ugyanakkor veszedelmes, etikailag igencsak megkérdőjelezhető irányzat kapott lábra a hibavadászok között. Több közismert szakértő kiadta a jelszót: "nincs több ingyen hiba", azaz csak pénzért – és nyilván nem kevésért – hajlandók kiadni a felfedezett biztonsági réseket a szoftvercégeknek.

Talán legtalálóbban a Budapesten is átvonult 2009-es IDC IT Security Roadshow egyik előadója jellemezte a helyzetet: "Ha az idő szűkös, több lesz a bűnös". Persze a biztonsági vándorkonferenciának is a válság állt a középpontjában. A rendezvény a Biztonsági kihívások az új gazdasági korszak hajnalán címet viselte.

Marosvári Gábor, a piackutató cég vezető elemzője arra hívta fel a figyelmet, hogy a válság miatt ne essünk pánikba, hanem józanul mérlegeljük a lehetőségeket. Van, aki a drasztikus költségcsökkentés jegyében a biztonsági szintet is lejjebb engedné.

"Elbocsátások vannak, kevesebb a dolgozó, kevésbé kell a biztonságra ügyelnünk. Egyáltalán, milyen üzleti hasznunk van az IT-biztonságból?" – hangzanak a tipikus érvek. Ha azonban egy vezető józanul gondolkodik, be kell látnia, hogy a nehéz gazdasági helyzet éppenséggel növeli a fenyegetettséget. A bűnözőknek is jobban kell a pénz, a versenytársak hajlamosabbak lehetnek illegális akciókra, az elbocsátott dolgozók vállalati adatokat adhatnak el a konkurenciának, vagy bosszúból más módon okozhatnak kárt az informatikai rendszerekben.

Megdöbbentő, ám az IDC becslése szerint mintegy 50 ezer magyar kisvállalkozás még csak vírusellenőrzőt sem alkalmaz. Mivel pedig válság idején a meglévő ügyfelek felértékelődnek, s még fontosabb a hatékony munka, az adatok elvesztése minden korábbinál nagyobb károkat okozhat a cégeknek. Végül, de nem utolsósorban: ha egy ügyviteli rendszer nem felel meg a törvényi előírásoknak, s emiatt bírságot vetnek ki, az a mai viszonyok között könnyen végzetes lehet a cégre nézve.

Mire számíthatunk globális szinten az IT-biztonság területén az év hátralevő részében? Az IDC előrejelzése természetesen egybecseng az előbb mondottakkal. A válság kevésbé érinti a cégek biztonsági költségvetését, mint más területeket. A beruházások elsősorban a kockázatcsökkentést és a jogszabályi  megfelelést veszik célba. Nő a felvásárlások száma az ágazatban; felgyorsul a piaci konszolidáció. Termékek helyett inkább szolgáltatásokkal igyekeznek gondoskodni biztonságukról a cégek. Az otthoni felhasználók piacán a házirend alapú, átfogó végponti vezérlés kerül előtérbe, s nyilvánosságra kerülnek a virtualizált környezetek első biztonsági incidensei.

Jóllehet tavaly novemberben bukkant fel, de az IT-biztonság területén az idei első negyedév legnagyobb fenyegetése – és legtöbb port kavaró kártevője – kétségkívül a Conficker féreg volt. A rosszindulatú program rég kilépett a szaklapok hasábjairól, s márciusban már a napilapok címoldalát is meghódította.

A féreg egy olyan sérülékenységet támad, amelyet a Microsoft az MS08-067 jelű biztonsági frissítésével azonnal orvosolt, vagyis a felhasználók minimális elővigyázatossággal megakadályozhatták volna a fertőződést. Mégis, a Conficker az utóbbi évek legnagyobb járványát okozta: az elmúlt hónapokban különböző becslések szerint világszerte 1-10 millió gépre települt fel. Ezzel a féreg az eddigi egyik legnagyobb botnetet hozta létre.

Neves szervezetek is vannak a fertőzöttek között. Nagy-Britanniában jutott a Confickerből a parlamentbe, a védelmi minisztériumba, sőt, néhány hadihajó fedélzeti számítógépére is. Németországban a Bundeswehr ugyancsak jelentett fertőzést. A féreg jelentőségét jól mutatja, hogy – amire évek óta nem volt példa – a Microsoft negyedmillió dolláros jutalmat ajánlott annak, aki feladja a kártevő szerzőit.

A Microsoft negyedmilliós jutalmat ajánlott fel a Conficker készítőinek feladásáért © Horváth Szabolcs

 
A Confickernek április közepéig öt nemzedéke látott napvilágot. Az első, az "A" jelű a Windows "Távoli eljáráshívás" rendszerszolgáltatásának sérülékenységét próbálja kihasználni. A "B" és "C" generáció ugyanezt teszi, de emellett még megpróbálják kitalálni a rendszeren tárolt jelszavakat is a féreg saját, beépített szótárát használó módszerrel.

A legnagyobb riadalmat a kártevő márciusban felfedezett "D" variánsa okozta. A Conficker.D csak a korábbi változattal megfertőzött gépekre települ fel. Szakemberek, majd nem szakemberek azért kongatták meg a vészharangokat, mert kiderült: a kártevő április 1-jén megpróbál az interneten keresztül utasításokat kérni. Ráadásul kimutatták, hogy jóval több domainnel igyekszik kapcsolatba lépni e célból, mint az előző generáció: algoritmusa 50 ezer domainnévből választ ki véletlenszerűen ötszázat.

Eljött április elseje, ám a rettegett világvége elmaradt. A fertőzött gépek "felhívták" ugyan a féreg algoritmusa által generált szervereket, de nem kaptak új rosszindulatú kódot, új parancsot. Erre csak pár nappal később került sor, s a következmények akkor sem voltak végzetesek. Kutatók jelentették, hogy egyes Confickerrel fertőzött PC-k a féreg által kiépített P2P hálózaton új bináris állományt kaptak. A kártevő frissített változata – melyet az aktivitást észlelő kutatók Conficker.E-nek neveztek el – olyan gépek után kutat, amelyekre nem telepítették a Microsoft MS08-067 jelű javítását. A kiküldött fájl arra is utasítja a férget, hogy próbáljon meg ellátogatni a MySpace.com, MSN.com, eBay.com, CNN.com és az AOL.com oldalakra – nyilván azért, hogy megállapítsa: van-e a gépnek internetkapcsolata. A frissítő állományt úgy programozták, hogy május 3-án kapcsolja ki magát. Ekkortól tehát a most beépített, új funkciók nem működnek többé.

Jóllehet a "kommunikációs nap" nyugalomban telt, biztonsági szakértők figyelmeztetnek: a veszélynek nincs vége. Lehet, hogy a Conficker irányítói csak pánikot akartak gerjeszteni az április 1-jei aktiválással, s valódi céljukat – legyen az jövedelemszerzés vagy bármi más – csak később akarják megvalósítani. Tán abban bíznak, hogy a kutatók és az IT-sek az idő múltával elengedik magukat.

Április elseje – pontosabban a tőle való rettegés – egyetlen, biztonsági szempontból kiemelésre méltó következménye az volt, hogy a pánikot meglovagolták az e-bűnözők. Legyünk óvatosak a Confickerrel kapcsolatos kereséseket illetően: az eredmények között olyan linkek is lehetnek, amelyek hamis védelmi szoftverre mutatnak  – figyelmeztettek szakértők. A feljövő site azt ígéri, hogy az ott letölthető program eltávolítja a kártevőt, ám erről szó sincs. Kár kifizetni az akár 40 dolláros árat az ilyen álbiztonsági szoftvert kínáló webhelyen – a letöltött kód ugyanis egyszerűen nem működik.