Mostanában valahogy nincs kedvem Origót linkelni, pedig amikor egy másik lap volt, írtam oda olyan cikkeket, amikhez néha visszanyúlnék. Ez is egy ilyen. Eredetileg megjelent: 2012.06.11.
Száz százalékos kibervédettség nem létezik, de a jövő háborúit kísérő nagyszabású kibertámadásokra fel lehet készülni. Az internetes harctér fegyverei nem csak akkor veszélyesek, ha bevetik őket, hanem a kiberbűnözők kezében is nagy kárt tudnak okozni. Kiberháborús szakértővel beszélgettünk az internetes hadviselésről
Az Egyesült Államok tavaly kiberfegyverrel támadta meg az iráni atomprogramot, a kiberfegyvernek számító számítógépes vírus leleplezését követően Németország és India is jelezte, hogy az internetes támadásokhoz használható virtuális fegyverek hadba állítására készül. Dr. Kovács László mérnök alezredessel, a Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kar kiberháborús szakértőjét arról kérdeztük, hogy fenyegeti-e az internetes háború Magyarországot?
Jevgenyij Kaszperszkij orosz kiberbiztonsági szakértő már kijelentette, hogy a kiberfegyverek a 21. század legborzasztóbb találmányai, és leszerelésre szólított fel. Eltűnhetnek a kiberfegyverek?
Naivitás azt hinni, hogy egy hadsereg önként lemond a kiberfegyverekről. A szoftvereket meg lehet venni a boltban, naponta újabb és újabb sebezhetőségek vannak, amelyeknek piaca is van, a mindennapi realitás része az informatika. A kiberhadviselés pedig rendkívül hatékony eszköz, amelynek hatása nem mérhető össze a nukleáris fegyverek hatásával. Jól meg lehet célozni azokat az infrastruktúrákat, amelyek kiesése bénítja az adott ország működését, hadseregét, de még nem okoz közvetlen humán károkat. Közvetett hatásai vannak, de még mindig humánusabb, mint a hagyományos hadviselés. Erről a hadseregek sosem fognak lemondani.
El lehet-e dönteni, hogy melyik két ország vív kiberháborút?
Nem, ez nagyon nehéz feladat. Sokszor azt sem tudni, hogy támadnak, mert csak a következményeket észleljük: például nem megy a hálózat. Ez lesz a jövő egyik kulcskérdése.
Míg a hadviselésben szabályok vannak, és például a genfi konvenció tartalmazza, hogy egyenruhások háborúznak egyenruhásokkal, addig a kibertérben nincs egyenruha. Ráadásul nem az egyik oldal támadja a másik oldalt, hanem ki tudja ki támad és kicsodát?
Van genfi szerződésekhez hasonló szabályzata a kiberháborúnak, vagy az internetes harctéren bármi megengedett?
Amióta megjelent az elektronika a harctéren, a világ összes hadserege foglalkozik a témával. De kiberhadviselési egyezmények, kimondott direktívák nincsenek. Idáig a történelemben nem volt rá példa, hogy olyan dolgokat lehessen végrehajtani, ami a világ másik oldalán fizikai kárt okoz. Eddig oda kellett menni repülővel lebombázni, odaküldeni egy szabotázst végrehajtó csoportot. Más gondolkodást igényel ez a katonáktól, a döntéshozóktól és a civilektől is.
Vannak országok - ilyen például Magyarország is -, ahol a katonaság az infrastruktúra védelmére készül. Más országok azonban a támadásra is felkészülnek, és kiberharcra kiképzett egységeket is létesítenek. A kiberháború szűk definíciója szerint a katonai vezetési, irányítási rendszereket támadják, a tág szerint egy minden információs infrastruktúra támadása vagy védelme a kiberhadviselés alá tartozik.
Volt már olyan konfliktus, amelyre rá lehetett mondani, hogy kiberháború?
A következmények miatt nagyon nehéz kijelenteni, hogy az orosz-észt válságnak aposztrofált esemény az lett volna. Egyelőre konfliktusnak hívjuk, mert Észtország 2007 októberében NATO tagja volt, és a NATO ötödik cikkelye kimondja, hogy ha fegyveres támadás éri az egyik tagországot, akkor ezzel a támadással arányos kollektív védelmet kell gyakorolni a többi társának. Másrészt pedig nagyon nehéz bizonyítani azt, hogy a támadást idegen gépek hajtották végre. Az Észtországot túlterhelő számítógépek nagy százalékban más tagországokban üzemelő gépek voltak, amelyek belekerültek egy botnetbe, vagyis zombivá alakított, távirányítható PC-k hálózatába.
Mi a helyzet az iráni atomprogram megbénítására programozott vírussal?
A Stuxnet nevű kártevő létezése csupán a kiberhadviselés szűk szelete, de az első sikeres példa arra, hogy fizikai kárt okoztak egy informatikai rendszer manipulálásával. Az, hogy kiderült, mely országok állnak mögötte, jól demonstrálja, hogy egy ilyen támadást mennyire nehéz kontrollálni. Ráadásul, ha nyilvánosan hozzáférhetővé válik programkódja vagy annak részletei, internetes bűnözők is felhasználhatják azt saját kártevőik ütőképesebbé tételéhez. Egy ilyen szintű számítógépes kártevő kifejlesztéséhez ugyanis hatalmas pénzösszegekre, időre és szakértelemre van szükség, ellene pedig csak óriási erőforrásokból lehet védekezni. A Stuxnet megjelenéséig nem foglalkoztak sokan az ipari irányítórendszerek biztonságával, pedig a hetvenes évek óta használják azokat. Hasonló a Linux és a Windows biztonságának problémájához: az utóbbit jóval többen használják, ezért sokkal több kártevőt, vírust írtak rá.
Igaz, hogy bárki vehet, bérelhet magának az interneten zombigépeket?
A rossznyelvek mondták is, hogy az orosz-észt konfliktus azért ért véget viszonylag gyorsan, mert elfogyott a szponzor pénze, és már nem tudott több botnetet, nagyobb teljesítményt bérelni. A pontos igazságot a mai napig nem tudjuk.
A Digitális Mohács című, Krasznay Csabával közösen írt cikke alapján nagyon sebezhetőnek tűnik hazánk a kibertérben. Javult a helyzet azóta?
Arra próbáltuk meg felhívni a figyelmet a Digitális Moháccsal, hogy koordinált védekezésre van szükség, ha az országot összehangolt támadás éri. Hiába védekeznek az egyes szolgáltatók akár zseniálisan is, ha többüket támadják egyszerre. A cikk megjelenése óta már életre keltették a Nemzeti Hálózatbiztonsági Központot, kialakulóban van a koordinált infrastuktúravédelem, jelentősen javult a helyzet.
Meg lehet védeni ezeket a régebbi, nem kiberbiztonsági elvek mentén tervezett szoftvereket? Meg lehet tanítani az embereket, hogy ne dugják be az udvaron talált pendrive-ot az atomlétesítmény számítógépeibe?
Windows-frissítésekkel foltozhatók ezek a rendszerek is. A Stuxnetet nem közvetlenül az ipari rendszerek ellen írták, hanem egy ipari urándúsító, Windowson futó irányítórendszere ellen. Száz százalékos biztonság természetesen ezen a területen sincs, de lehet maximalizálni a biztonságot. Azokat az eszközöket kell használni, amelyek már máshol is beváltak: biztonsági ajánlásokat, az emberek felkészítését, ellenőrzését. A Stuxnet egyik tanúlsága: bizony le lehet tiltani például az USB portokat, ami kényelmetlenebbé teszi a munkát, de nem jutnak be az elszórt pendrive-okon terjesztett vírusok a rendszerbe.
