Megint azok a fránya kínai hackerek

f35

Kedvenceim azok a hírek, amikor a szupertitkos anyagokat interneten keresztül szerzi meg a gonosz ellenség. Komolyan nem tanulnak semmiből az emberek? Az elmúlt tíz évben tömérdek példát láthattunk arra, hogy ami az interneten van, az elérhető, legyen előtte bármilyen védelem is. Lehet, hogy nem az első iwiwes teca fog hozzáférni, de az utolsó indiai, fekete kalapos hacker egész biztosan.

Most sem történt ez máshogy, az Index beszámolója szerint hackerek jutottak be a Pentagon és a Lockheed Martin repülőgépgyár közös projektjének, a Joint Strike Fighternek adatbázisába. Az ezt megelőző külföldi hírek szerint az igazán titkos adatok egy offline gépen helyezkedtek el, ami sosem lát internet kapcsolatot, így ezekhez a tolvajok nem férhettek hozzá (piros pont Amerikába).

Az, hogy a hackerek kínaiak lettek volna, vagy hogy a kínai kormánynak dolgoztak volna, finoman szólva is kérdéses. Az internet már a hőskorában is tömve volt névtelen proxy kiszolgálókkal (olyan gépekkel, amin vagy amiken keresztül a támadó csatlakozik a cél számítógéphez), manapság meg főleg. Az viszont igaz, hogy a hatóságok folyamatosan próbálják ezt a területet is szabályozni, nagyjából nulla sikerrel – az internet felépítéséből és tulajdonságaiból fakadóan. Általában nehéz az utólagos beazonosítás, főleg ha egy szakemberről beszélünk.

A következő dolog, amin megakad a szeme az informatikához legalább egy kicsit is konyító embernek, az ez a mondat: “Több ezer gigabájtnyi adatot sikerült letölteniük a támadóknak az adatbázisból.” Hogyan lehet észrevétlenül leemelni több terrabájtnyi(!) adatot egy elvileg szigorúan őrzött és felügyelt központi számítógép parkból?

Ha a rendszert “egyszerűen” törni lehetett, azaz olyan adminisztrátori jogot szerezni, amit nem felügyel senki, akkor az kizárólag a védelmi mechanizmust kiépítő informatikusokat minősíti. Nyilvánvalóan csak egy-két felhasználónak volt joga elérni a teljes adattárházat, ellenkező esetben megint csak a védelmi infrastruktúra hibás. Ha egy ilyen felhasználó fiókját hallgatták le, és az ő nevében léptek be, akkor is felmerül a kérdés, hogy egy ekkora adatmennyiséget hogyan töltöttek le észrevétlenül? Nem volt bármiféle trigger a forgalomra, ami jelez, ha átlép egy határt az aktivitás? Vagy ez a szerver naponta mozgatott ekkora adatokat a hálózaton keresztül? Nem hinném, még akkor sem, ha nem házi, hanem közös (Pentagon és LM) projektről van szó. Arról nem is beszélve, hogy a névtelen proxy-k legnagyobb része nem gigabiten üzemel, így a sávszélesség is jóval kisebb ennél, ergo a letöltés sem kevés időt vesz ilyenkor igénybe. Ha mégis gigabites net lenne a proxy alatt, akkor valamilyen szinten egész biztosan utána lehetne menni, hogy ki áll az akció mögött, hiszen ezekhez a gerinc internet elérésekhez nem úgy lehet hozzáférni, hogy minden név és irat nélkül beviszed a gépet a szerver parkba és rátolod az UTP kábelt.

Nagyon ködös ez az egész eset, s nem az első ilyen. Szívesen olvasnék róla bővebben, de feltételezem, a Pentagonnak semmi kedve írni egy blogposztot a ciki sztoriról. Még egyszer mondom: az viszont mindenképp becsülendő, hogy a kulcsadatokat jó érzékkel offline masinán tárolták.

Leave a Reply

Your email address will not be published. Required fields are marked *