A KRÉTA közoktatási adminisztrációs rendszer feltörése kapcsán rengeteg kérdés felmerült. Kell-e félni egy következő támadástól? Mi lesz a diákok és tanárok adataival? És mégis, mire volt jó ez az egész? A világ egyik legjobb hekkerét kérdeztük minderről.
- Hétfőn számolt be arról a Telex, hogy hetekkel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.
- A támadók hozzáfértek a közoktatás minden intézményében használandó adminisztrációs rendszerhez. Ezekben a diákok és a tanárok alapadatai, mint a tajszám vagy az iskolában kapott jegyek mellett olyan érzékeny adatokat is tárolnak, mint a diákok egészségügyi adatai, esetleges fogyatékosságai vagy a pedagógusok HR-adatai.
- A történet szerdán két új fordulatot is vett. Először kiderült, hogy az alkalmazottak már szeptemberben tudtak a Kréta feltöréséről, azonban mindeddig próbálták csendben elkenni a történteket.
- Majd szerda délután a hekkerek mindenki számára elérhetővé tették a rendszer forráskódját.
„Feltételezhetően egy maximum kétfős tinédzsercsoport állhat a támadás mögött” – így gondolja Ábrahám Endre, ismertebb nevén Silur, kriptográfus, etikus hekker és kutató, akinek az életútját idén nyáron mutattuk be a Forbes.hu-n. Kiemeli, hogy a hekkerközösségben azonban megoszlanak a vélemények az elkövetők kilétéről, neki is csak feltételezései vannak. A tegnap este nyilvánosságra hozott forráskódba már ő is belenézett, bár nem ásta bele magát tüzetesen.
„Sokkal rosszabb ennél a helyzet már nem lehet”
– mondja a beszélgetés elején. Úgy látja, nincs arra utaló jel, hogy bármilyen manipulációra kellene számítani a jövőben, bár lehet, hogy a támadók tudnak majd telefonos értesítést kiküldeni a fejlesztőknek vagy a felhasználóknak. Önmagában a forráskód kikerülése nem jelent veszélyt, csak megmutatja, hogyan működik a rendszer.
„Olyan, mintha az előttünk lévő leves receptje kerülne a kezünkbe. Attól, hogy azt elolvasod, még nem lesz mérgező az étel.”
Hozzáteszi: jelentős problémát jelent a forráskód kikerülésénél az, hogy amellett, hogy gyenge minőségű a kód, láthatóan a fejetlenség is nagy az ügy körül.
Az elkövetőkkel kapcsolatban csak találgatni lehet
Általánosságban egyszerűen feltörhetőek a eKRÉTÁ-hoz hasonló hatalmas adatbázisok, könnyen előfordulhatnak olyan apró hibák, amik lavinaként egymásra rakódva hozzáférést nyújthatnak az illetéktelen behatolóknak. „Azért is vannak ezek a srácok óriási bajban, mert itt nem egyszerű hackelés történt, hanem gyerekek és felnőttek tömegeinek szivároghattak ki privát adatai. Hozzáfértek kényes adatokhoz, ha elkapják őket, ott lesz a GDPR megszegése is, azaz sok minden borulhat majd a nyakukba.”
Mivel a KRÉTA évek óta a támadások kereszttüzében áll és ehhez hasonló méretű adatszivárgásra eddig nem került még sor, Silur szerint feltételezhető, hogy valamilyen személyes okok is közrejátszhattak a mostani esetben.
„Nem valószínű, hogy valaki otthonról fogta magát és sikeresen feltörte a KRÉTÁT.”
Szükség volt személyes kontaktra, mint például egy véletlenül nyitva felejtett felület a számtechlaborban, de Silur sem tudott konkrétumot mondani. Szerinte, ha tényleg diákok voltak az elkövetők, az alábbi két verzió közül történhetett valamelyik:
- Egy véletlenül nyitva hagyott számítógépen a tanári felhasználói fiókon keresztül nagyobb hozzáféréshez jutottak hozzá (ez a nehezebb kategória),
- vagy egy eKRÉTÁ-s – feltehetően nem IT-részlegen dolgozó – alkalmazott fiókjából kaphattak hozzáférést. Az e-mail-címes módszert ma már egyre nehezebb kivitelezni, de ha van olyan alkalmazott, akinek mindenhez van hozzáférése a rendszerben és kevésbé figyel oda az adatbiztonságra, könnyen kijátszható a rendszer.
Silur azt mondja, az ehhez hasonló jellegű támadásokhoz szükséges tudást akár már egy-két év alatt meg lehet szerezni, bár szerinte ide nem is igazán a technikai készségekre, hanem a megfelelő szociális hálóra van szükség. „Ha van egy lehetőséged arra, hogy kamu e-mailt írj az egyik supportosnak az eKRÉTÁ-nál – mert valahonnan ismered őt – akkor azt hogyan használod ki? Az e-mailes csalásokat rendszerint fiatalok csinálják, akik a frissen szerzett tudásukat gyorsan ki is próbálják élesben. Ezért is gondolom, hogy diákokról van szó.”
Ezt a feltételezést erősíti meg részben a Telex interjúja is, ahol a támadók elmondták, négyen vannak a csapatban (azt még mindig nem tudni pontosan, hogy pontosan kik és hányan vettek részt a támadásban – a szerk.) és van közöttük kiskorú is.
A kriptográfus szerint fontos külön választani a KRÉTA és a hozzá hasonló felületek, mint például a Neptun, logikai és biztonsági működési rendszerét. „Két elkülönült rendszerről beszélünk. A logikai (tehát amit a felhasználó is tapasztal – a szerk.) borzalmasan működött és működik most is, viszont ez az első biztonsággal kapcsolatos incidens a KRÉTA körül. Nehezen elképzelhetőnek tartom, hogy ez ténylegesen kívülről, belső kontroll nélkül történt.”
Hogyan lehetett volna elkerülni a támadást?
„Az access control policyt (tehát a hozzáférés-szabályozást, ami egy adatbiztonsági technika, ami megakadályozza a vállalati adatokhoz való jogosulatlan hozzáférést – a szerk.) minél szűkebbre kell fogni.” Silur azt mondja, ha egy alkalmazott esetében pontosan tudjuk és papíron rögzítjük, hogy meddig terjed a számítógépen kívüli felelősségének köre, akkor a gépen is egy bizonyos szintig kellene hogy jogosultságot kapjon. Úgy fogalmaz: a fejlesztő asszisztensének nem feltétlenül van szüksége arra, hogy a rendszer összes jelszavához legyen hozzáférése.
A tanárok felmerülő aggodalmai kapcsán nem tudott megnyugtató választ adni: csak akkor használhatják ugyanúgy a rendszert, mint eddig, ha a megfelelő biztonsági intézkedéseket elvégezték a fejlesztők. Addig viszont érdemes fenntartásokkal kezelni a rendszert. Szerinte épp emiatt lesz igazán izgalmas az eKRÉTA fejlesztőinek reakciója, a támadás elhárításának körülményeiről pedig egyelőre még nincsenek hivatalos információk.
„Frankón ki kell állni, hogy ez történt, itt volt a hiba, kijavítottuk, minden rendben van. Onnantól kezdve tényleg mindenki teljes nyugalomban használhatja majd a KRÉTÁT.”
Az adatszivárgás előtt felkerült adatbázis került veszélybe, de Silur szerint ezt utólag le lehet védeni, az újonnan felvitt adatok pedig teljes biztonságban vannak.
Az átlagfelhasználók adatainak védelmére a kétfaktoros hitelesítést ajánlja. „Nyűgnek tűnik, de ami a felhasználónak csupán egy kattintás, az a támadói oldal helyzetét exponenciálisan megnehezíti. Hozzáférni két külön eszközödhöz, ahol két külön operációs rendszert és két külön jelszót használsz az nem kétszer, hanem négyzetesen nehezebb lesz a támadó számára.”
A Telex értesülése szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) már vizsgálatot indított az ügyben, további információt nem közölnek az eljárás lezárásáig. Az ügyben büntetőeljárás a jelen állás szerint még nem indult.
Silur a holnapi Forbes Tech Summit vendége lesz, többek között a TheVR arcai, Barabási Albert-László és Bojár Gábor, a Graphisoft alapítója mellett. A CEU-n megrendezett esemény házigazdája Balogh Petya angyalbefektető és Galambos Márton, a Forbes főszerkesztője lesznek.
Borítókép: Sebestyén László