Meghekkeltek: ilyen érzés, ha neten törnek be hozzád

TóCsa | 2014. Április 09.
Úton-útfélen halljuk, hogy a világhálón egyre több a visszaélés a személyes adatainkkal, és egy átlagember számítógépe vagy levelezőrendszere könnyedén feltörhető a hozzáértők számára. Nem akartam találgatni: megkértem két profi hackert, hogy szálljanak rám: derítsenek ki rólam mindent, amit csak tisztességes és kevésbé tisztességes eszközökkel képesek.

A megbízás

Az ember persze nem kel fel reggel azzal a gondolattal, hogy “de jó lenne, ha néhány hacker vírusokkal támadna, és megszerezné a jelszavaimat”. Ám az igazság kiderítése olykor áldozatokkal jár. Amikor néhány ismerősömnek elmeséltem, mire készülök, többen kapásból hülyének néztek. Ahhoz nem is voltam elég tökös, hogy a zavarosban halásszak össze egy hackert magamnak. Profikat kerestem, akik ebből élnek, méghozzá legálisan.

Etikus hacker pedig van

Az etikus és a hacker szavak egymás mellé kapcsolása első hallásra talán furcsának tűnhet, pedig etikus hackerek valóban léteznek. Leginkább az különbözteti meg őket kevésbé etikus társaiktól, hogy a megrendelő kérésére magát a megrendelőt vagy a cégét (mondjuk egy bank rendszerét) támadják, hogy így próbálják megtalálni az informatikai védelem biztonsági réseit.

Úgy fest, maga a megbízás volt annyira furcsa és agyament, hogy a Security.hu hackerjeinek figyelmét felkeltse, így gyorsan összejött az első találkozó. Két gyanúsan mosolygó, harmincas éveiben járó srác fogadott. Mielőtt belevágtunk volna, elém csúsztatottak néhány papírt, mondván, hogy nézzek bele. Először elfogott a gyanú, hogy rögtön viszontlátom a pucér fotóimat, de miután rájöttem, hogy a csecsemőkort leszámítva ilyenek tudtommal még nem készültek rólam, rá mertem nézni a papírokra. A látvány, ami fogadott, azért minden volt, csak megnyugtató nem. Ott állt előttem a születési dátumom és helyem, az e-mail címem, a munkahelyeim felsorolása, az összegyűjtött cikkeim linkjei, a Twitter accountom, valamint a facebookos és az iWiw-es adatlapom és ami ezeknél is fontosabb: a budapesti lakhelyem pontos címe.

A tucatnevem se védett meg

Szögezzük le gyorsan. A srácok a telefonbeszélgetésünk alapján csak a következőket tudhatták rólam: a nevem, a telefonszámom (a saját mobilomról hívtam őket) és azt, hogy a Nők Lapja Café újságírójaként keresem őket. Adjuk hozzá azt a nehezítő tényezőt, hogy Tóth Csabának hívnak. Eddig azt hittem, hogy a tucatnevem legalább arra jó, hogy nehezebben lehessen rám találni, de ez az illúzió most néhány másodperc leforgása alatt semmivé vált. “Ezt egy-két óra alatt hoztuk össze, és csak legális keresési eszközökkel és nyilvános adatbázisokkal dolgoztunk” – magyarázták.

Persze nem az rémített meg, hogy elém pakolták az összeszedett cikkeimet vagy az email címemet, mert ezeket egy ügyesebb Google felhasználó is meg tudja szerezni, viszont a lakcímemet (ami ráadásul nem is az állandó, hanem az a cím, ahol jelenleg a barátnőmmel lakom) nem szoktam mások orrára kötni. Mint kiderült, a “gyenge pontom” a barátnőm volt, akit a facebookos fotóim alapján azonosítottak (ezért érdemes beállítani, hogy csak ismerősök lássák őket…), és az ő egyedi nevével az általuk hozzáférhető adatbázisokban ráakadtak a címünkre is.

“A megbízottat semmilyen felelősség nem terheli”

Ennyi információ bőven elegendő volt ahhoz, hogy tudjam: ezt a két embert nem árt komolyan vennem. “Ha azt hiszed, hogy csak azért, mert a melóért nem kapunk pénzt, majd nem teszünk meg mindent, hát nagyot tévedsz” – folytatták. Mivel etikus hackerekről beszélek, szerződést kötöttünk. Ez számomra azért volt fontos, hogy biztos legyek abban, hogy nem élnek vissza a rólam megszerzett adatokkal, és nem adják tovább harmadik félnek, számukra meg azért, hogy ha kissé skizofrén módon besértődnék azon, hogy például feltörik a postafiókomat, akkor még véletlenül se tudjam beperelni őket. A jogi részletekkel inkább senkit nem untatnék, de azért azt hadd jegyezzem meg, hogy a szerződés egyik passzusa szerint “A megbízottat a tevékenység végzése következtében bekövetkező adatvesztés, adatsérülés esetén semmilyen felelősség nem terheli.” Két hetet kaptak a feladatra.

Félelem és gyanakvás a gépem előtt

Mivel ebben a kísérletben én az átlagos felhasználó lennék, nem lett volna tőlem fair, ha pusztán azért, mert betojtam, minden jelszavamat 30 karakteres kisbetű/nagybetű/szám monstrummá változtatom, így abban maradtam a srácokkal, hogy minden felületen meghagyom a régi, rendszeresen használt jelszavaimat. Szerencsére a tothcsaba0123-nál vagy a születési dátumomnál azért komplexebb jelszavakkal rendelkezem, viszont korántsem annyira bonyolultakkal, hogy biztonságban érezhessem magam. Velem ellentétben az átlagfelhasználó persze nincs tudatában annak, hogy a közeljövőben támadni fogják a gépét, így én nyilván kicsit óvatosabb voltam a megszokottnál. Amint egy furcsa emailt kaptam a Nők Lapja Cafés fórumos admintól, vagy volt egy kis gond a gmailes belépésemmel, egyből a legrosszabbra gondoltam. Mint kiderült: nem egészen alaptalanul.

Két héttel később

Miután letelt a megbeszélt idő, örömmel vettem tudomásul, hogy nem omlott össze a gépem, és be tudtam lépni a levelezésembe is. Pont a találkozónk előtt két órával engem is megtalált valahogy az úgynevezett rendőrségi zsarolóvírus (amikor egy felugró oldal azt jelzi, hogy a rendőrség illegális tartalmat talált a gépeden, de ha elutalsz X összeget, akkor eltekintenek a feljelentéstől), de mint utólag kiderült, ehhez nekik nem volt semmi közük.

Az újbóli találkozóra egy napfényes belvárosi kávézóban került sor. Azzal kezdték, hogy a legkényesebb felületeimre, vagyis a levelezésembe és a Facebookomba nem léptek be. Az arcomra kiülő mosolyt némileg hervasztotta, hogy egy-két helyre viszont igen. Több fórumos regisztrációmat is feltörték, és például itt, a Nők Lapja Cafe hasábjain is bármikor tudtak volna fórumozni a nevemben. És akkor még egy szót sem szóltam az iWiwről, amit ugyan kábé két éve nem használok, de valami rejtélyes oknál fogva máig se töröltem magam. Miután most feltörték a fiókomat, talán tényleg itt lenne az ideje. Nem akarom elképzelni a szituációt, amikor valaki a nevemben írogat az ismerőseimnek.

Csak a jóindulatukon múlt

Két szakértőnk szerint a kisebb magyar levelezőrendszerek feltörése a megoldható feladatok közé tartozik, de az olyan mamutok, mint a Google, a Yahoo vagy a Facebook elég hatékonyan védik a felhasználóikat a támadásoktól, így például egy gmail-es mailcím feltörése még egy profi számára sem egyszerű feladat. Persze azért nem lehetetlen. Ők például megtalálták a kulcsot az én fiókomhoz, és csak a jófejségükön múlt, hogy nem használták.

“Miután rájöttem, hogy a visszaállítási címed egy olyan mail-szolgáltatóé, ahová már nem lehet regisztrálni, írtam nekik, hogy én vagyok a Tóth Csaba, és szeretném, ha visszaállítanák a régi címemet. Szó nélkül megtették. Ezután már csak folyamatos jelszópróbálkozásokkal  kellett volna elérnem, hogy a gmail rendszere megtiltsa számodra a belépést, és így pár nap alatt a visszaállítási mail-címedről be tudtam volna lépni hozzád. Viszont gondoltam, hogy nem örülnél, ha pár napig nem tudnál belépni a levelezésedbe, így inkább nem vittem el idáig a dolgot. Ha megteszem, és már bent vagyok, akkor a Facebookon is kérek egy jelszó-visszaállítást, és akkor az is megvan.” Oké, itt egy kicsit megállt bennem az ütő. Ha tényleg csak ennyiből áll lebénítani egy mailfiókot, az minimum ijesztő. Az meg egyenesen nyomasztó, hogy bárki olvashatja minden korábbi emailemet, sőt írhat a nevemben újakat.

A WiFi is feltörhető

Támadás belülről
Ma már a legtöbb szoftverbiztonsági hibát a különböző állami hivataloknak és szerveknek dolgozó profi hackercsapatok fedezik fel. Az egymással konfliktusban álló országok folyamatosan keresik a lehetőségeket a másik ország rendszereinek gyengítésére. Erre egy jó példa Izrael, melynek például sikerült vírust bejuttatnia egy iráni atomerőműbe, megbénítva ezáltal az ottani munkát, és hátráltatva a kutatást. Persze ennél könnyen nagyobb baj is történhetett volna. A legtöbb hackertámadás ma már belülről történik, vagyis a vírusokat gyakran akár zárt rendszerekbe csempészik be például egy közönséges pendrive és egy beépített dolgozó segítségével, ezért egyre fontosabbá válik a belső védelem erősítése. Hiába van tehát egy cégnek vagy szervezetnek a legjobb tűzfala, az ilyen esetekben ez mit sem ér. “Olyan helyzet ez, mintha volna egy nagyon profi biztonsági ajtód, de a betörő már amúgy is odabent tartózkodna” – magyarázzák szakértőink.

Ugye megvan a kép, amikor a hollywoodi filmekben egy ház előtt parkoló furgonból izzadt, borostás fickók hallgatják le a telefont, és követik nyomon a bent lévők adatforgalmát? Ez egy valóban létező megoldás arra az esetre, ha például egyenesen az ember otthoni WiFijére próbálnak betörni. “Mi is voltunk nálad” – kezdtek bele a nem túl biztató mondandójukba. “Este nyolc körül mentünk, mert azt gondoltuk, akkor már biztosan otthon vagy, és kicsit meg is lepődtünk, amikor hirtelen megjelentél egy másik fickó társaságában szemben az utcán. Szerencsére sötét volt, és esett az eső, úgyhogy nem szúrtál ki” – mondja egyikük huncut mosollyal az arcán. A döbbenetem az arcomra van írva. Emlékszem az estére, pontosan így történt. Nem túl jó érzés, ha megfigyelik az embert. Persze szakértőink nem azért jöttek oda, hogy engem bámuljanak.

“Megpróbáltuk megtalálni a WiFi hálózatodat, de sajnos elég sok volt arrafelé, és a nevekből nem volt egyértelmű, melyik lehet a tiéd. Pechünk volt, mert amikor az irodánkban jártál, nem volt bekapcsolva a WiFi a telefonodon. Ha be lett volna, akkor a telefonod által kibocsátott jelekből megtudtuk volna annak MAC címét – a legtöbb hálózati eszköz rendelkezik ilyennel –, amit aztán a házadnál összehasonlítottunk volna az ott érzékelt címekkel, és ha valahol azt látjuk, hogy a telefonod MAC címe csatlakozik egy ottani WiFi hálózatra, akkor nyert ügyünk van. De ugyanígy elmehettünk volna valamelyik munkahelyedre is körbenézni. Ha pedig megvan a WiFi hálózat, akkor jöhet egy szótár végigfuttatása a hálózati kulcs megfejtéséért. Persze ez olykor akár napokig is eltarthat, de ezt szerencsére nem kell a helyszínen megvárnunk. Viszont ha sikerül, akkor ezen keresztül akár az okostévédhez vagy a hálózati tárolóeszközeidhez is szabad a bejutásunk.” A legtöbben persze nem kémkedni akarnak, csak ingyen nethez jutni. “Néha érdemes ellenőrizni, hányan csatlakoznak az otthoni hálózatodhoz. Könnyen meglepődhetsz” – mondták.

Nagyobb az esély rá, hogy leütnek az utcán

“A hackerek inkább nagyban játszanak. Szinte kizárólag nagybani adathalászat folyik, és inkább komplett adatbázisokban gondolkodnak” – magyarázták, de persze ez nem nyugtat meg eléggé. És ha valaki úgy gondolja, hogy rám száll? “Ha van egy haragosod, aki rosszat akar neked, sokkal valószínűbb, hogy megvár az utcasarkon és jól megver, mint hogy hackertámadással bombázzon. Ez időigényes és bonyolult dolog, ha pedig valaki nem ért hozzá eléggé, az némi káoszokozáson túl úgysem megy majd semmire. Az amatőr hacker olyan, mint az elefánt a porcelánboltban. Egyfolytában nyomokat hagy maga után. Észre fogod venni, hogy lefagy a géped, leszakad a WiFid…”

Profi hackerből nagyon kevés van, lelkes amatőrből viszont annál több. “A hackerek az új hősök. Egy csomó mai fiatal üti el az ideje nagy részét a gépe előtt ülve. A filmekből azt látja, hogy a hackerkedés menő dolog. Ebből szoktak csúnya dolgok születni. Az Anonymus csoport nagy része például ilyen képzetlen, de lelkes hackerekből áll, akik többnyire csak túlterheléses támadásokra képesek, vagyis zajt csinálnak.”

Nincsenek egyenes utak

A filmekben ugyan többnyire úgy néz ki, hogy ha a hackernek szüksége van egy biztonsági kamera képére, akkor pár kattintással már látja is, és egy jelszó feltörése se tart tovább két percnél, de a valóság meglehetősen távol áll ettől. “Felejtsük el ezt, ebben a szakmában nincsenek egyenes utak. Soha nem így jutunk el A-ból a B-be. Ha például be akarunk törni az e-mail-fiókodba, de ez nem megy, akkor elkezdjük megkeresni azokat az oldalakat, amiket rendszeresen használsz, és próbálkozunk, hátha találunk valahol egy biztonsági rést. Ha pedig ez megvan, akkor már megszerezhető az ottani jelszavad is. Mivel az emberek többsége ugyanazt a 2-3 jelszót váltogatja minden felületen, egy jelszó megszerzése általában más felületekre is belépést biztosít” – magyarázzák. “Ha nem is ugyanazt a jelszót használod máshol, az abból kiinduló kombinációk is gyakran eredményre vezethetnek.”

Az rögtön látszik, hogy a hackerkedés elég speciális gondolkodásmódra épül: a kiskapuk folytonos keresésére. “Ha nem tudok bejutni a gépedre, akkor megpróbálok bejutni a barátnőd gépére. Ha az övére sem sikerül, akkor jöhet mondjuk a gyerekedé. A gyerekek számítógépei többnyire messze nincsenek úgy védve, mint a felnőtteké, és a különböző linkekre és spamekre is könnyebben kattintanak rá a szüleiknél. Ha pedig kapsz egy e-mailt mondjuk egy csatolmánnyal vagy egy linkkel a gyerekedtől vagy a barátnődtől azzal a szöveggel, hogy cicás-kutyás videó, szinte biztos, hogy meg fogod nyitni. És az nem cicás-kutyás videó lesz” – avatnak be a részletekbe.

“A sikeres támadáshoz egy hiba kell. A sikeres védekezéshez viszont minden hibát ismerni kell, és azok útját le is kell zárni” –  foglalják össze a szakmájuk lényegét egy mondatban.

Nincs olyan, hogy kis hal

A legtöbben hajlamosak vagyunk azzal vigasztalni magunkat, hogy túlságosan érdektelenek vagyunk ahhoz, hogy érdekeljük a hackereket vagy az olyan mamutcégeket, mint a Google, akik gyakorlatilag az összes adatunkkal rendelkeznek. A szakértők szerint ez csupán illúzió: “A privát szférának online is privát szférának kellene maradnia. Ha például egy vírus miatt a te felhasználói fiókodon keresztül jutnak nagyobb mennyiségű pornó közelébe, akkor az egyes oldalakon és keresőkön könnyen kaphatsz kéretlen pornótémájú hirdetéseket, vagy például potencianövelős spameket. Ez rendkívül kellemetlen.”

És akkor még egy szót sem ejtettem a különböző nemzeti és nemzetközi ügynökségekről és titkosszolgálatokról, amemlyek aztán tényleg bármilyen adatunkhoz hozzáférhetnek. De miért érdekelnénk mi például egy olyan nagy ügynökséget, mint az amerikai NSA? “A kapcsolati hálók korát éljük. Lehet, hogy te nem vagy fontos, de szinte minden embernek van legalább egy-két olyan ismerőse – Magyarországon egy kapcsolati hálóban szinte bárkihez el lehet jutni három ismerősön keresztül –, aki lehet az. Rajta keresztül – például egy meghackelt emaillel – el tudják érni azokat az embereket, akik már egyáltalán nem kishalak.”

Így védd magad!

A jelszó a minden
A profik szerint a jó jelszón múlik minden. Felejtsd el a szótári szavakat! Ma már komplett, több millió szavas szótáradatbázisokat pörgetnek végig belépési kísérletkor, szóval ezek nem védenek meg semmitől. Szakértőink szerint az ideális jelszó tizenkét karakternél kezdődik, és vegyesen tartalmaz kis és nagybetűket, számokat, valamint speciális karaktereket (például írásjelek). Ha pedig mindenképp ragaszkodsz az értelmes szavakhoz, legalább arra ügyelj, hogy a különböző jelszavaid ne álljanak logikai összefüggésben egymással. Én például a különböző ismert fantasy démonokhoz köthető jelszavaimmal buktam le, így ilyesmivel nem érdemes próbálkozni. Az sem túl előnyös, ha a jelszavunkat, jelszavainkat leírjuk egy word vagy egy txt file-ba a gépünkön. Lehetőleg ne állítsd be azt a lehetőséget, hogy a felületek emlékezzenek a jelszavadra. Az a legbiztosabb, ha veszed a fáradságot, és a dolgod végeztével mindig kilépsz, és minden újabb belépéskor bepötyögöd a jelszót. Megéri.

Hogyan jegyezzek meg ennyi jelszót?
Létezik például egy Keepass nevű telepíthető alkalmazás, ami segítségével eligazodhatsz a jelszavaid tengerében, így elég, ha csak az ahhoz tartozó jelszót tudod fejből. Ráadásul a Keepass képes anélkül kimásolni a jelszavaidat, hogy azokat megmutatná. A Security.hu-sok szerint a jövő amúgy is a többfaktoros védelemé. Ez a bejelentkezést a tudás alapú jelszón kívül egy birtokolható tárgy használatához (például be kell dugnunk egy kártyát vagy egy pendrive-ot), vagy pedig egy biometriai tulajdonságunk (ujjlenyomat, retinaszkennelés…) használatához köti.

Frissíteni, frissíteni, frissíteni
Ha a gépeden futó programokat nem frissíted rendszeresen, azzal könnyen olyan kiskapukat hagyhatsz nyitva, melyekkel könnyebb bejutni a rendszeredbe.

Ne használd a gépedet rendszergazdaként!
Ha bekaptál egy vírust, rendszergazda móddal belépve könnyebb hatástalanítani. De ha már eleve rendszergazdaként belépve kaptad be, sokkal nehezebb lesz megszabadulnod tőle.

Telefonbiztonság
Ha az okostelefonodat szeretnéd biztonságban tudni, a legfontosabb, hogy csak a hivatalos online áruházakból tölts le alkalmazásokat. Még ezek között is rengeteg alkalmazás küld rólunk adatokat anélkül, hogy tudnánk erről. Akár még azt is, pontosan hol tartózkodsz éppen.

A közösségi oldalak tudatos használata
Lehetőleg csak az ismerőseid lássák a bejegyzéseidet. Nem árt, ha nem teszel ki több száz fotót magadról, mivel ezekkel könnyen vissza lehet élni, és az se baj, ha nem teszed közszemlére, hogy mikor mész nyaralni: nem kellene tippeket adni a betörő-aspiránsoknak. A Facebook-alkalmazásokat lehetőleg kerüld, mert nem tudhatod, pontosan mit csinálnak a háttérben. A lokációs adatok elküldését sem árt kikapcsolni, de ezzel vigyázz, mert időnként visszakapcsolja önmagát.

Ne bízz abban, ami ingyen van!
Bár azt hisszük, hogy a virtuális térben sok minden ingyen van, az olyan szolgáltatásokért, mint a Google vagy a Facebook, az adatainkkal fizetünk, és a sok célzott reklámmal, amit végig kell néznünk. Az emberek szép lassan elszoknak attól, hogy a szoftverekért fizessenek, pedig az olcsó húsnak gyakran híg a leve. Például sokkal jobban járunk egy fizetős vírusirtóval, mint az ingyenes konkurenciával, mivel előbbiek többnyire megbízhatóbbak és hatékonyabbak. Sokaknak megérhet évi tízezer forintot, hogy biztonságban tudják az adatainkat.
A Security.hu tanácsai alapján

Exit mobile version