Ajándékozz éves hvg360 előfizetést!
Az Egyesült Államok kormányzati leállása nemcsak fizikailag okoz problémát az országban, kiberbiztonsági szempontból is egy időzített bombát jelent. A .gov végződésű weboldalak biztonsági tanúsítványai sorra járnak le, az ott böngésző felhasználók adatait könnyű szerrrel lophatják el a hackerek.
Továbbra sincs megállapodás Donald Trump és a demokrata képviselők között, így továbbra sincs még meg az Egyesült Államok költségvetése. A konfliktus fő oka, hogy az amerikai elnök csak akkor hajlandó aláírni a költségvetést, ha demokrata politikusok megszavazzák a mexikói határra felépítendő kerítés összegét, ők azonban erre nem hajlandók. Ennek eredményeként most már 20 napja folyamatos a kormányzati leállás, és nagyon úgy tűnik, hogy ez nemcsak rövid távon lehet rossz az Egyesült Államok számára.
A The Register beszámolója szerint a jelenlegi helyzet a hackerek számára felér egy főnyereménnyel, a kormányzati leállás ugyanis nemcsak fizikailag történt meg. Az internetes szolgáltatásokat nyújtó Netcraft szerint a biztonságos kommunikációhoz használt több mint 80 TLS-tanúsítvány (titkosítási protokoll) járt le a .gov-ra végződő kormányzati oldalakon, de a leállás miatt ezeket sem tudják megújítani.
Ez rengeteg, a https-en keresztül kommunikáló kormányzati oldal vált elérhetetlenné, vagy ad vissza hibát a betöltés helyett a böngészőben. Ilyen például az amerikai Igazságügyi Minisztérium weboldala is, amelynek december 17-én járt le a TLS-tanusítványa. (A kormányzati leállás december 22-én kezdődött el.)
Az ilyen oldalakat csak akkor lehet elérni, ha bevállaljuk, hogy nem biztonságos kapcsolaton keresztül akarunk böngészni rajta. Igaz, ilyen esetben a weboldalra beírt adatokat (jelszavakat, felhasználói neveket, e-mail-címeket) simán el tudják lopni a hackerek. De nemrégiben más weboldalak is a költségvetési hiány áldozatául estek, mint például a NASA Rocket Test vagy a Lawrence Berkeley Lab oldala. (Előbbinél január 5-én, utóbbinál január 8-án járt le a TLS-tanúsítvány.)
A Netcraft szerint tovább súlyosbítja a helyzetet, hogy a HTTP Strict Transport Security (HSTS)-nek köszönhetően a modern böngészők figyelmeztetik a felhasználókat a védtelen böngészés veszélyeire, ám mivel nem minden kormányzati weboldal hajtja végre megfelelően a HSTS-t, így sok felhasználó továbbra is mindenféle figyelmeztető jel nélkül tud böngészni rajtuk.
A leállás miatt az Egyesült Államok Belbiztonsági Minisztériuma (Department of Homeland Security, DHS) jelezte, a nemrégiben megalakított Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (Cybersecurity and Infrastructure Security Agency, CISA) 3531 dolgozója helyett csupán 2008-an tudták felvenni a munkát, ami azt jelenti, hogy rengeteg kiberbiztonsági munka nincs elvégezve. Csütörtökön pedig már az FBI több mint 13 ezer ügynökét tömörítő szervezet is megszólalt, és petíciót küldött a Fehér Háznak, hogy végre meglegyen a költségvetés. Közülük néhányan felvették ugyan a munkát, de fizetést továbbra sem kapnak érte.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
