hvg.hu: Évek óta végeznek bankoknak, biztosítóknak biztonsági teszteket, és az ilyen támadások kezelésére szakosodtak, tehát alighanem meg tudja mondani, honlapja feltörésével mekkora kár érhette az Ab-t valójában.

Antal Lajos: Nehezen volna beárazható egy fájl felülírása, másfelől azonban erre mondják, hogy a presztízsveszteség a lehető legnagyobb veszteség. Ha az államot, államigazgatási szervet ér ilyen támadás, akkor az még a helyreállítási költségekkel együtt is inkább csak a „kellemetlen” kategóriába tartozik. Ha az üzleti életben ehhez az esethez hasonlóan átveszik a kontrollt az adott szerver fölött, az óriási veszteséget is okozhat. A vállalat profiljától függően megrendülhet a bizalom, amire az ügyfelek, a részvényesek, a tőzsde is érzékenyen képes reagálni.

hvg.hu: Hová tehető a hacker-hierarchiában az Anonymus? És hová sorolható az Ab-t ért támadás - azt figyelembe véve, hogy a közelmúltban vélhetőleg ugyanők tették elérhetetlenné a CIA honlapját éppúgy, mint a Moszadét.

A.L: A szakma a motiváció alapján alapvetően háromféle hackert  különböztet meg egymástól. Az egyik kategóriába a rekreációs hackereket sorolják; ők azok, akik hobbi szinten dolgoznak, azért mert „nincs jobb dolguk”. Olyanok, mint akik festékszóróval a falra fújkálnak brahiból, aztán gyorsan elszaladnak.  A motivációjuk annyi, hogy az illető megmutatja: ő ezt is meg tudja csinálni. A másik kategóriába az eszmevezérelt hacker (political minded hacker) tartozik, aki valamilyen politikai-, etikai norma, gondolkodásmód mellett (vagy éppen ellen) szólal fel és próbál nyilvánosságot szerezni magának. Internetes Robin Hoodként felbukkan a tűzfészekben, és kinyilvánítja a véleményét. A harmadik kategória a criminal minded hacker-é, aki üzleti célból, gazdasági előnyszerzés céljából vagy kifejezetten károkozás miatt tör be informatikai rendszerekbe. Náluk az információszerezésből származó anyagi haszon motivációja a legfontosabb. Az Anomymus megnyilvánulásai, az Ab-incidens is leginkább abba az irányba mutat, hogy politikai okok állnak a háttérben. Magyarországon is számos biztonsági incidens van mindhárom típusból, amit nem írnak meg a lapok.

hvg.hu: Elképzelhető-e, hogy a magyar Alkotmánybíróság honlapjának megtámadása nem magyar hackerek műve volt?

A.L: Egyelőre annyi biztos, hogy magyarul írták fölül azt az egy fájlt.

hvg.hu: Az Anonymous hackercsoportot olyasféle misztika lengi körül, mint az Al-Kaida-t. A világ számos pontján, sokféle módon lecsapnak, a médiát is hasonlóan próbálják használni a céljaikra. De valójában mit lehet tudni róluk?

A.L.: Azt nem tudni, hogy milyen szervezeti felépítés szerint működnek, csak valószínűsíthető, hogy különböző fejlettségű csoportok dolgoznak benne, de még ezek összehangolási szintjei is kérdésesek. Az Anonymousról készült elemzésekből az látszik, hogy különböző szintű technológiai képességű emberek vagy sejtek működhetnek benne. Ez az egyik magyarázata annak is, hogy olykor csak egyszerű besurranás történik, de többször volt már példa teljes frontos letámadásokra is. Az is igaz, hogy a támadási típusaikban rendre található egyfajta minta, és hogy alapvetően kétféle működési módban „üzemelnek”. Az első, amikor egy eseményre reagálva, „csöndben” támadnak, a másik pedig amikor proaktívak, és bejelentik a leendő támadást. Üzentek már hadat a mexikói drogkartellnek és a Facebooknak is, de a csoport „finn szárnya” tavaly karácsony előtt közzétett egy hazánkat érintő fenyegetést is. Valószínűleg sok országban ott vannak, és közös gyökerű filozófia tartja őket össze. De összehangoltan működő rendszerről szerintem nem lehet beszélni. Ám – miközben az Anonymus látványos akciósorozatot mutat be – a gazdasági veszélyességüket egyelőre nem értékelném túl. Az eddigi működésükben nem volt gyakori a szándékolt jelentős gazdasági károkozás.

hvg.hu: Abból mit olvas ki, hogy a Nemzeti Nyomozóiroda (NNI) külföldi segítség bevonásával kezdi meg a vizsgálódást?

A.L.: Ha egy virtigli magyar hacker egy magyar számítógépről egy magyar internetszolgáltatón keresztül megtámad egy magyar szájtot, akkor az nem feltételez túl nagy felkészültséget, és biztosan gyorsan lebukik. A magyar jogrend szerint ugyanis a magyar nyomozóhatóság valamennyi területen el tud járni, kötelezheti az internetszolgáltatót, hogy adjon ki adatot, „lefoglalást eszközölhet” és így tovább. De ezek a hackertámadások általában sokkal szofisztikáltabbak. Például szinte biztosan több országon keresztül nyúlnak a cél felé. A litván, szlovák, amerikai, finn, kazah szerveren keresztül magyarországi szerver vagy szájt ellen indított támadáshoz az NNI-nek pedig nyilván fel kell vennie az ottani szervekkel a kapcsolatot, ha a támadást valóban vissza akarja  követni. Egyes országokban – így például az USA-ban – igen felkészültek a hatóságok a kiberbűncselekmények kezelése terén. Az IC3 [ez az FBI által létrehozott csoport – a szerk.] például online is fogad hackertámadásokkal kapcsolatos bejelentést és igen gyorsan reagálnak is. A nyomozók onnantól kerülnek nehéz helyzetbe, ha olyan országba vezetnek a szálak, ahol a jogrend, vagy akár az igazságszolgáltatási bürokrácia e kérdésben például a miénktől eltérően működik, valamint ha a hackelés során két ország között valójában csak legitim átlépés történt (a szerverek egymáshoz kapcsolódása önmagában nem tiltott - szerk.), mert ez utóbbi esetben már annak mérlegelése is előkerül, hogy bűncselekményről beszélünk-e egyáltalán.

hvg.hu: A másik oldalon ugyanakkor a rendszereket helyre kell állítani, gondoskodni kell a jobb védelemről, a károkozás megelőzéséről. Mennyibe kerülhet végül, hogy az Ab honlapját nem készítették fel kellően egy ilyen helyzetre?

A.L: Azt sosem fogjuk megtudni, hogy mennyibe került ez az affér. De utólag minden támadásról kiderül, hogyan ki lehetett volna védeni, és az is, hogy lényegesen olcsóbb lett volna a megelőzés, mint amit a nyomrögzítéstől az analíziskészítéseken és eseményrekonstruáláson, valamint az elkövetők keresésén át a rendszer védelmének újraépítéséig utólag az egészre ráköltenek. De itt szerintem inkább az a kérdés most, hogy mi történt valójában. Az lehet csak egy tünet, hogy lecseréltek, felülírtak egy fájlt, de azt is nagyon gyorsan tudni kell, hogy ezen kívül történt-e más is. Erről egyelőre nincs semmilyen hír.

Az üzleti életből példát hozva: nem egy ilyen, anyagi értelemben jelentéktelennek látszó támadásról kiderült már, hogy figyelemelterelő célzatú volt, és hogy a háttérben más is történt. Évekkel ezelőtt idehaza is megesett, hogy fél évig észrevétlen tudott lenni valaki egy ilyen manővernek köszönhetően, és egészen más volt a motiváció, mint pusztán felülírni a nyitóoldalon olvasható szöveget.

hvg.hu: Megfogalmazná ezt konkrétabban?

A.L: Ha egy nagyvállalatnál ilyesmi történik, és a meghackelt webszerver egy szolgáltatóhoz kihelyezett rendszer, ami külön van választva a vállalati informatikától, akkor alapesetben nincs túl nagy kockázat. De ha ugyanez a webszerver egy olyan zónában működik, ahol a közelben van az az infrastruktúra is, amely az üzletileg kritikus rendszereket kezeli, akkor felmerülhet annak a lehetősége, hogy a behatoló nem állt meg ott, ahol éppen jól láthatóvá vált. Hanem előfordulhat, hogy továbbment. Például ugyanazzal az adminisztrátori jelszóval más gépeket is kompromittált, mert elérhetőkké váltak az elsőként megtámadott szerverről. Ha ennek a lehetősége fennáll, nagy mélységű adat- és rendszeranalízist kell végezni.

hvg.hu: Az Ab honlapja bent van a kormányzati IT-infrastruktúrában?

A.L.: Nem tudom.

hvg.hu: Másként kérdezem: a magyar közigazgatás mennyire felkészült egy-egy ilyen támadással szemben?

A.L.: Szerintem semennyire, de hozzáteszem: a védelemnek célszerűen kockázatarányosan kell megvalósulnia. Ennek a praktikusságon túl a költségek optimalizálása is az oka. Nem azonos védelmi szintet igényel egy erőmű vagy egy repülésirányítási rendszer, mint egy állampolgárok tájékoztatását célzó statikus honlap. Nem akarok szoros párhuzamot vonni a vörösiszap-katasztrófával, de utólag ott is mindenki nagyon okosakat tudott mondani. Előtte nem lehetett hallani arról, hogy a monitoring rendszerben milyen problémák vannak, s hogy maga a terület milyen kockázatokat rejt az ott lakókra. Ezek mindig utólag derülnek ki – a világ működésének a természete már csak ilyen.

Ha valaki elkezd előre az esetleges problémákról beszélni, ráfogják, hogy riogat, pánikot kelt. Az információbiztonság területén ugyanez a helyzet. De egy pillalantra képzeljük magunk elé, hogy csak a közigazgatásban hány rendszert kell karbantartani, üzemeltetni, fejleszteni. Emellé tegyük oda, hogy Magyarországon hány ember ért komolyan információbiztonsághoz, és azt is, hogy közülük hányan vállalnak állami megrendelést. Óriási a kontraszt! Ehhez vegyük hozzá, hogy az informatikai rendszert üzemeltetők és az alkalmazásfejlesztők felkészültségén kívül a felhasználók tudatossága is fontos. Olyan végtelenségig ismételt feladatokra gondolok, mint a jelszavak helyes megválasztása – például ne használjunk jelszóként állatneveket, személyneveket vagy bármilyen szótárban fellelhető szót.

hvg.hu: A piaci prognózisok szerint a 2015-re már 14 milliárd eurós lesz az európai információbiztonsági piac, és évente 8-10 százalékos bővülés várható. Az Anomymous-támadások hatással vannak-e a piaci megrendelésekre?

A.L.: Tizenöt év alatt én ilyesmit még soha nem tapasztaltam. Aki még nem volt áldozata komoly biztonsági incidensnek, az elvi kockázatra manapság igen nehezen áldoz.