A suszter tüzes szeme
Igaz a hír, és lassan fél napja a világ IT szakértői elemzik, hogy az amerikai székhelyű FireEye kiberbiztonsági céget kibertámadás érte. A támadás tényét maga a cég jelentette be blogján, és a sok érdekes tény mellett kiemelték, hogy következtetéseik és az elemzések jelenlegi eredményei szerint államilag szponzorált hackerek hatoltak be az informatikai rendszerükbe. Az első sokkon túl azonban álljunk meg egy percre:
Évtizedek óta járja IT biztonsági körökben az a mondás, hogy összesen kétféle rendszer van: amelyiket már feltörtek, és amikről még nem tudjuk, hogy feltörték. Ez épp úgy igaz az én otthoni gépemre, mint a FireEye rendszereire is. Álszentség lenne a céget, az áldozatot hibáztatni azért, ami történt, az épp olyan lenne, hogy azt vesszük elől, akinek a házába betörtek, a lehető legalaposabb óvintézkedés ellenére is. Én azt mondanám, hogy azzal, hogy nyíltan kiálltak, és ha mást nem is, de a támadás tényét publikálták, már sokat növeltek az elismertségükön és a megbízhatóságukon. Le a kalappal, sokan, sok cég ezt nem tette volna meg ilyen nyíltan, és nem vállalták volna, hogy ellopták a koronaékszereket.
Mert bizony itt éppen az történt. Egy kiberbiztonsági cégnek, aminek ügyfele az USA szinte összes védelmi ügynöksége, kormányok, kormányzati rendszerek az egész világon, és abból a tudásból él, amit a különböző elkövetői körökről felhalmozott, ez a felhalmozott tudás a koronaékszer. Nem hiszem, hogy az ellopott „toolok” olyan fontosak önmagukban – az képvisel értéket, amit tartalmaznak: megtudni azt, hogy mit tud rólam az ellenfelem. Ez az igazi kincs! Másodsorban, bár lehet, ez előzővel egyenértékűen pedig az ügyfelekről összegyűjtött adat is hasonlóan hasznos lehet, sokat érhet a fekete piacon, vagy segítheti a megbízó hatalmat távlati céljainak elérésében.
A nyugati sajtó azonnal medvét kiált – megjegyzem nem látok rá sok bizonyítékot, hogy medve lenne, de persze logikus, legyen hát medve. Vagy panda. Vagy más. Ebben a történetben sem az a kérdés, hogy ki volt az, aki a csoportot támogatta, hanem az a fontos, hogy a megszerzett adatokat ki, és milyen módon fogja felhasználni. Ha nekem otthon lenne egy FireEye termékem (hálózati forgalomelemző, e-mail védelmi megoldás), ami a felhőn keresztül dolgozott (ez volt ugyanis az olcsóbb megoldás), most egy kicsit izgulnék. Ahogy izgulnék azért is, amit megtudtak rólam. Mert szép és jó, hogy nem volt 0-day az ellopott eszközök között, de 0-day sérülékenységet lehet vásárolni, ha nincs erőforrásunk felkutatni, de aki olyan újszerű technikákat használ, ami magát a FireEye-t is meglepi, nem hiszem, hogy épp három darab eddig nem publikált, gondosan őrizgetett 0-day sérülékenységre lett volna kíváncsi. Kétség sem fér hozzá, hogy célzott támadás volt, és az is biztosra vehető, hogy nem csak úgy l’art pour l’art kutakodtak, hanem pontosan tudták a támadók, hogy mire utaznak. Az a kérdés, hogy megtudjuk-e valaha, hogy pontosan milyen információk jutottak ki, illetve még inkább: ki(k)ről jutottak ki adatok. Mert itt lehet a medve elásva.
A megszerzett adatokkal sokféle módon vissza lehet élni, de ezen adatok érvényessége, használhatósága, ha úgy tetszik, szavatossági ideje viszonylag hamar lejár. De az a tudás, ami a megszerzett információhalmon túl van, nevezetesen az, hogy hogyan működik a cég, hogyan védi az ügyfeleit, és miket tud a többi támadó csoportról, annak hosszú távon is értéke lehet, szemben egy „egyszerű” felderítő eszközzel, ami ma még működik holnap meg már nem fog.
Szóval amondó vagyok, hogy aki eddig bízott a cégben, az tegyen így továbbra is, mert a nyíltság, amivel az ügyet kezelték, az megalapozza a további bizalmat. Aki meg eddig nem bízott bennük (lehet, joggal), az kérem, ne álljon neki ekézni őket, mert lehet, holnap Ők, vagy a kedvenc / választott szolgáltatójuk kerül sorra. Tanulságként talán még annyit, hogy ebből az esetből is látszik, hogy a biztonság nem egy egyszereplős színház, inkább amolyan 360 fokos körpanoráma, ahol mindenkinek szerepe van, és nem elég csak védő szemmel gondolkodni, hanem igyekezni kell a teljes képet megismerni, minél több szereplőt bevonni, nemcsak a több szem, több csipa elv alapján, hanem azért is, mert más nézőpontból olyan részletekre is fény derülhet, amik rejtve maradnának, ha csak egy irányból szemlélnénk. Hiszen látjuk: még a FireEye is bevonta a Microsoftot, az FBI-t a nyomozásba és az események feltárásába. A következő lépés a teljesen transzparens kommunikáció, és az IT biztonsági közösség bevonása, bár ez már inkább utópia, mintsem realizmus.
Háttérválogatás:
