Így védekezhetünk a lehallgatás és az adatlopás ellen az NSA kézikönyve szerint

Az NSA, az elektronikus hírszerzéssel foglalkozó amerikai ügynökség még a Pegasus-ügy előtt kiadott több nyilvános útmutatót, hogyan kerülhető el a mobiltelefonok és más informatikai eszközök megfigyelése. A dokumentumokban a  Pegasushoz hasonló úgynevezett Zero-Click rendszerű spyware-ek ellen is működő praktikák is találhatók, de az anyag fő tanulsága, hogy 100 százalékos védelem ezek ellen a támadások ellen nem létezik, és hogy a legnagyobb kiberbiztonsági kockázatot az okostelefonok és a közösségi platformok jelentik.

A National Security Agency honlapjára tavaly augusztusban került fel az a gyűjtemény, amely a legjobb kiberbiztonsági gyakorlatokat mutatja be. Jogosan merül fel persze a kérdés: miért tesz közzé bárki számára elérhető útmutatót az okoskészülékek védelméről egy olyan szervezet, amely elektronikus megfigyeléssel is foglalkozik, illetve miért kellene ennek hinni? Erre az egyik magyarázat az, hogy az NSA feladatkörébe nemcsak a kiválasztott célpontokkal kapcsolatos hírszerzés tartozik, hanem az amerikai állambiztonság szempontjából érzékeny adatok védelme is.

Gyenge jelszón múlott

Az NSA útmutatójának célközönsége az amerikai közhivatalok dolgozói. Érzékeny adatok (beleértve akár kormányzati szerverekhez tartozó jelszavakat is) nemcsak néhány, titoktartásból jól kiképzett kiválasztottnál lehetnek, hanem több tízezer állami alkalmazottnál, és állami megrendeléseket teljesítő cégek dolgozóinál is. Az ellenük irányuló, külföldi szolgálatok vagy bűnszervezetek által végrehajtott informatikai támadások így potenciálisan nemzetbiztonsági kockázatot jelenthetnek.

Ezt mi sem illusztrálja jobban, mint a 2020-as, a SolarWinds elleni orosz hackertámadás, ahol az állami hivatalokat is kiszolgáló IT-cég rendszerébe eredetileg azért tudtak rosszindulatú programot bejuttatni a támadók, mert valaki nagyon gyenge belépési jelszót („solarwinds123”) adott meg. Szintén nem egy kivédhetetlen high-tech támadáson, hanem egy régen cserélt jelszó megszerzésén és a kétfaktoros belépés hiányán múlott a Colonial Pipeline elleni, Amerika-szerte üzemanyaghiányhoz vezető hackertámadás sikere is.

A másik, cinikusabb magyarázat, hogy az NSA saját adatgyűjtését a felsorolt felhasználói praktikák nem befolyásolják. Glenn Greenwald, az Edward Snowden által kiszivárogtatott dokumentumokat feldolgozó újságíró No Place to Hide című (magyarul A Snowden-ügy címmel megjelent) könyve szerint például az NSA úgynevezett Tailored Access Operations-egysége többször felhasználókhoz kerülő routerekben és más online eszközökben helyezett el olyan hardvert, amely „hátsó ajtót” biztosít a hírszerzőknek, hogy hozzáférjenek a hálózaton átmenő adatokhoz (de hasonló kémkedő eszközt találtak egyébként egyes Kínában gyártott, amerikai vállalatoknak, köztük az Amazonnak és az Apple-nek is szállított készülékekben is).

Száz százalékig tehát semmilyen készüléken nem tudhatjuk biztonságban az adatainkat, ami az internethez kapcsolódik, de léteznek módszerek, amivel legalábbis jelentősen csökkenthető a kockázat.

Melyik a legbiztonságosabb home office program?

Nézzük tehát, milyen jó gyakorlatokat sorol fel az NSA. Az ügynökség gyűjteményében először az állami alkalmazottaknak szóló, kifejezetten a pandémia alatti távmunkához készült útmutatót találunk. Itt a tippek nagy része arról szól, hogyan válassza szét az ember a munkát a saját online tevékenységétől:

javasolják, hogy munkát csak a hivatal által adott eszközökön, személyes teendőket pedig csak a saját gépein végezzen;

üzenetküldésre, fájlok átvitelére csak a hivatal által elfogadott szolgáltatókat használjon; kerülje a nyilvános és kevéssé biztonságos (pl. kávézói) Wi-Fi-hálózatokat, használjon vírusirtót és rendszeresen frissítse az alkalmazásait.

Szintén az otthoni munka biztonságához nyújt segítséget a távmunka-platformokhoz (MicrosoftTeams, Zoom, Slack stb.) készült útmutató. Ebben egy táblázat is szerepel, amely alapján képet kaphatunk arról, mennyire tekinthetők biztonságosnak az egyes platformok. A táblázat többféle biztonsági szolgáltatást sorol fel és jelzi, mely eszközöknél mik állnak rendelkezésre: titkosított kommunikáció, többfaktoros azonosítás, meghívás feletti kontroll, harmadik félhez tartozó szoftverek kizárása, végleges törlés illetve nyilvános-e a forráskód – minél több feltételt teljesít egy platform, annál biztonságosabbnak tekinthető.

Itt érdemes megemlíteni, hogy

a legnépszerűbb távmunka-eszközöknél (pl. Zoom, Microsoft Teams, Google Workspace, Slack, Skype for Business) nincs, vagy csak korlátozottan működik az adatátvitel titkosítása.

Nagyrészt vagy teljesen titkosítottak a Signal, a Jitsi Meet és a Wickr nevű, nyílt forráskódú eszközök.

Nagyon nem bíznak a mobilokban

A Pegasus-üggyel kapcsolatban a leginkább releváns a mobilbiztonságról szóló fejezet. Itt hamar kiderül, hogy az ügynökség talán az okostelefonokat tartja a legsérülékenyebb digitális eszközöknek. Az útmutató felsorol több általános módot a mobilok biztonságosabbá tételére (például: frissítsük rendszeresen az alkalmazásokat és az operációs rendszert, állítsunk be PIN-kódot és biometrikus feloldást, minél kevesebb alkalmazást telepítsünk).

De ezek mellett is kiemelik, hogy bizalmas beszélgetéseket még a telefon közelében se folytassunk,

hogy érzékeny információt SMS-ben ne osszunk meg, és hogy csak azokat a csatlakoztatható eszközöket (például töltőt vagy USB-kábelt) használjuk, amelyeket csomagban kaptunk a telefonnal. Az állami alkalmazottaknak azt is javasolják, hogy személyes telefonjukat sose csatlakoztassák kábellel vagy Bluetoothszal hivatali számítógépre.

Az általános tanácsok mellett az útmutató felsorol több módszert, amellyel a támadók célba juttathatják a megfigyelésre használt programot. Itt találkozhatunk azzal a módszerrel is, amellyel a Pegasust terjesztették, vagyis a Zero-Click elvvel. Ennek a módszernek a lényege, hogy a vírust olyan módon juttatják el a készülékre, ami nem is igényli a felhasználó „együttműködését”: egy e-mailbe vagy SMS-be ágyazva olyan kódot küldenek el, amely a célpont készülékén azonnal működésbe lép, és észrevételenül (úgy, hogy a célpont még magát az üzenetet sem látja) „ajtót nyit” a kémprogramnak, ami a háttérben fúrva küldi az információkat a készülékről.

Kikapcs-bekapcs

A Zero-Click támadások ellen igazán nem lehet felkészülni, hiszen semmilyen látható jele nincs annak, hogy a spyware megfertőzte a telefonunkat. Ez persze nem azt jelenti, hogy semmit sem lehet ellene tenni: mivel a vírusok általában a mobilalkalmazások sérülékenységeit használják ki, ezek gyakori frissítése nyújt némi védelmet, hiszen az új verzióban a fejlesztők igyekeznek kiiktatni a biztonsági réseket (persze, ez azt is jelenti, hogy a biztonságunkat a fejlesztőkre bízzuk). Valamennyire védelmet nyújthat az is, ha nem csatlakozunk nyilvános hálózatokhoz – persze, ha a támadó tudja a telefonszámunkat, akkor ez nem ér sokat.

Az NSA emellett ajánl még egy módszert a Pegasushoz hasonló vírusok ellen:

hetente legalább egyszer kapcsoljuk ki és kapcsoljuk vissza a telefonunkat.

Akármennyire nevetségesen hangzik, ez a primitív módszer valóban hatásos a Zero-Click támadások ellen. Ahogy Bill Marczak, a CitizenLab munkatársa az AP-nek elmondta: korábban a hackerek és más támadók főként olyan programokat használtak, amelyek telepítették magukat a készülékek root könyvtárába, ahonnan tartósan lophattak adatokat, akár a gép újraindítása után is.

A frissebb számítógépes és okostelefonos rendszereket azonban már olyan biztonsági szolgáltatásokkal szerelték fel, amelyek hamar érzékelik, amikor egy nemkívánatos program a gép gyökérkönyvtárát próbálja módosítani, így ma már az ilyen támadások túl könnyen kivédhetők. Ezért is mozdultak el a Zero-Click módszer felé: az így célba juttatott kémprogramok ugyanis nem másolják át magukat az fájlrendszerbe, hanem úgynevezett fájlnélküli támadásokat használnak. Ezek olyan rosszindulatú kódok, amelyeket a hacker közvetlenül a gép memóriájába „fecskendez be”.

Ennek a módszernek a hátránya, hogy mivel a gépre nem másoltak fel fájlt, a készülék újraindításakor a kémprogram is törlődik. Ha tehát a készülékünkről Pegasus vagy hasonló, fájlnélküli spyware küld adatokat, újraindítással leáll a megfigyelés. Az ilyen támadások népszerűségéhez hozzájárul, hogy az átlagos felhasználó manapság alig kapcsolja ki a készülékeit.

Persze a Pegasusszal és társaival épp az a gond, hogy könnyen és észrevétlenül el is lehet juttatni bárki telefonjára. Vagyis ha valakire nagyon rátapadt egy szolgálat vagy hackercsoport, akkor is le fogják hallgatni, ha naponta újraindítja a telefonját. Az AP riportjában Neal Ziring, az NSA kiberbiztonsági részlegének technikai igazgatója meg is jegyzi, hogya módszer alapvetően arra jó, hogy megnehezítse a megfigyelők dolgát.

Nézzük meg, mire kattintunk

Az NSA mobilbiztonsággal kapcsolatos kézikönyvében szerepelnek további támadási módszerek, például a „Spear phishing” nevű, viszonylag könnyen kivédhető módszer. Ilyenkor a támadók szöveges üzenetben vagy e-mailben küldenek kémvírussal fertőzött linket vagy csatolt fájlt, és az áldozat ezt megnyitva véletlenül maga telepíti a kémprogramot a készülékére. E módszer egyszerűsége ellenére állami megfigyelésekkor is előkerült: a CitizenLab idén július közepén derítette ki, hogy egy szintén izraeli cég,

a Candiru kémprogramját olyan megtévesztő oldalak segítségével terjesztette, amelyek különböző jogvédő csoportok (pl. Amnesty International) oldalainak vagy híroldalaknak álcázták magukat.

A feltárt oldalak alapján a vírussal feltehetően civil szervezeteket próbáltak megfigyelni számos országban – a programot többek között a magyar kormány is megvásárolta.

A Spear phishing-támadások az NSA szerint elkerülhetők például, ha nem nyitunk meg ismeretlen címről kapott fájlokat vagy gyanús linkeket. A PC-s böngészők a kurzort a link felé helyezve megmutatják, milyen url-re vezet a hivatkozás – ha az egy megbízható oldal címére hasonlít, de pár karakter eltér  (cmn.com, micrasoft.com és társaik), jó eséllyel phishing-kísérlettel van dolgunk. Mobilon egy kicsit nehézkesebb a folyamat, itt a hivatkozást a vágólapra másolva tudjuk csak ellenőrizni annak megnyitása nélkül. Vannak emellett olyan eszközök is, amelyekkel a hackerek valaki más e-mail-címének tudják álcázni azt a címet, amit használnak – egy e-mail valódi forrását úgy ellenőrizhetjük, ha a levelezőrendszerünkben megtekintjük a levél teljes változatát (Gmailben például az „Eredeti megtekintése” gombbal).

Az NSA mobil-sérülékenységekről szóló táblázatából kiderül az is, hogy a legveszélyesebbek nem is a Pegasushoz hasonló Zero-Click, hanem az úgynevezett ellátólánc-támadások. Ez az a módszer, amivel magát az NSA-t is meggyanúsították, vagyis megfigyelő eszköz vagy „hátsó kapu” elhelyezése magában a hardverben. Az ügynökség útmutatója szerint ez ellen lényegében nincs működő védekezés, legfeljebb az, ha az ember csak megbízható forrásból származó kiegészítőket használ (és reménykedik, hogy az eredeti készülékben nincs rosszindulatú hardver).

„Ne bízd a közösségi médiára az adatvédelmet!”

Az útmutatóban a biztonságos internetböngészéssel kapcsolatban is találunk érdekes tippeket: egy helyen az NSA azt javasolja, „ne bízzunk a közösségi médiában az adatvédelem terén”. Mint írják, a közösségi platformok adatvédelmi gyakorlata különösen silány, ráadásul az oldalak az általunk feltöltött adatokat gyakran a felhasználói feltételekben is „vállaltan sajátjukként kezelik”, bizonyos formákban továbbadják harmadik feleknek (például hirdetőknek).

Azt is javasolják, hogy otthonunkban kapcsoljuk ki a hálózati csatlakozóeszközöket, amikor épp nem használjuk őket, például alvás közben. A lehallgatás vagy kamerás megfigyelés ellen legyünk óvatosak a kamerával vagy mikrofonnal felszerelt eszközökkel: például ha bébiőr van a lakásban, húzzuk ki a konnektorból, ha épp nem használjuk, illetve takarjuk le a webkamerákat.

Zubor Zalán

Címlapkép: pxfuel.com

Ha már egyszer itt vagy…
Az Átlátszó nonprofit szervezet: cikkeink ingyen is olvashatóak, nincsenek állami hirdetések, és nem politikusok fizetik a számláinkat. Ez teszi lehetővé, hogy szabadon írhassunk a valóságról. Ha fontosnak tartod a független, tényfeltáró újságírás fennmaradását, támogasd a szerkesztőség munkáját egyszeri adománnyal, vagy havi előfizetéssel. Kattints ide a támogatási lehetőségekért!