Ez történt a Kréta incidens során

Néhány hónappal ezelőtt napvilágot látott egy incidens, a Köznevelési Regisztrációs és Tanulmányi Alaprendszerrel kapcsolatban, amit röviden Krétának neveznek. 

Az incidens után a sajtó képviselőinek sikerült kapcsolatba jutniuk az elkövetőkkel, akik szívesen beszéltek arról, amit csináltak, később pedig egy publikus csatornán elkezdték közzétenni a technikai részleteket, végül közzétették a Kréta forráskódját is.

Az első gondolatunk az lehet, hogy a Kréta rendszerben biztosan volt olyan sérülékenység, amit sikeresen kihasználtak, így hozzájutottak az adatbázishoz. Ezzel szemben kiderült, hogy social engineering támadás állt a háttérben. A támadás során tehát a hackerek nem a rendszer alap sérülékenységeit használták ki, hanem az emberi jóhiszeműséget.

Természetesen a szerencse is közrejátszott, mert a rendszernek is voltak informatikai hiányosságai, de a támadás a már említett technika segítségével történt. 

Ez a támadási forma a szakmát is megosztja, de ebből is látható, hogy mennyire hatékony tud lenni. A legtöbb cég antivírusokkal, tűzfalakkal látja el a vállalatot és bíznak a technika védelmében. Miközben a social engineering támadásnak pont az a lényege, hogy a technikai védelmi vonalakat megkerülve, emberi segítséggel jussanak a rendszerbe.

A Kréta incidens esetében a projektmenedzsert célozták meg, aki tudtán kívül olyan kártékony kódot juttatott az infrastruktúrába, amelynek segítségével a támadók könnyűszerrel be is jutottak.

Hogyan rombolja le az adatszivárgás ügyfeleid bizalmát?

A támadók személyes adatokhoz jutottak hozzá. Milyen személyes adatok érhetőek el a Krétában?

Minden közoktatási intézményben használják a Kréta rendszert, így minden diák, illetve tanár személyes adatához hozzá lehet férni: egészségügyi adatokat tartalmaz, lakcímet, személyigazolványszámot, diákigazolványszámot, felmentéseket, hiányzásokat, jegyeket stb.

Mit jelent ez a felhasználókra nézve?

A hackerek szerencsére eddig még nem szivárogtatták ki az adatokat, azonban, hogy mire lehet ezeket felhasználni, annak már csak a rosszindulatú kreativitás szabhat határt. 

Képzeljük el, hogy 10-15 év múlva, amikor ezek a gyerekek már felnőttek, karrierjük van, elkezdik ezekkel az információkkal zsarolni őket. 

Emellett pedig felmerül a kérdés, hogy ha a hackerek ilyen könnyedén bejutottak a rendszerbe, akkor vajon sikerült-e másnak is korábban?

A készenléti rendőrség nyomozási indított az ügyben. Milyen következmények várhatnak a hackerekre?

Feltételezhető, hogy fiatal támadókról van szó, erre utal, hogy kapkodtak, megváltoztattak korábbi kijelentéseket. Látható volt, hogy a támadás nem volt megtervezve, nem volt kellő tapasztalat mögötte.

Mint már említettük, a projektmenedzser jogosultságait kihasználva jutottak a támadók a rendszerbe. Egy ideális esetben azonban a projektmenedzsernek nem feltétlenül van szüksége olyan jogosultságokra, olyan informatikai környezetre, ahol hozzáférhet ilyen információkhoz. Elképzelhető az is, hogy ezt az információt akarva-akaratlanul belsős emberek szivárogtatták ki. 

A büntetés mértéke jelenleg nem egyértelmű, hiszen vannak enyhítő körülmények is, ilyen lehet például, hogy fiatal korú a támadó vagy, hogy az adatokat nem hozták nyilvánosságra. 

A hackerek úgy nyilatkoztak, hogy ezzel a támadással a magyar rendszerek rossz állapotára akarták felhívni a figyelmet, ezért személyes adatokat nem fognak közzétenni. Azonban ez így nem minősül etikus hacker tevékenységnek, mert nem a cég bízta meg őket, így feljelentést kell tenni az elkövetők ellen. 

Megelőzhető lett volna a támadás?

A közzétett forráskódból látható, hogy olyan szenzitív adatok voltak benne, amelyeknek nem kellett volna benne lenniük, illetve a különböző funkciókat ellátó programozási megoldásokban is voltak komoly sérülékenységek. Nem voltak felkészítve arra, hogy különböző kiberbiztonsági kísérleteknek ellenálljanak.

Több probléma is felmerül, nemcsak a forráskódbeli hibák, az információbiztonsági folyamatokban is vannak hiányosságok. 

A szerepköröknek a szétválasztása nem történt meg: ez abból látható, hogy a projektmenedzsernek milyen hozzáférései voltak, illetve a nyilatkozatból az is kiderült, hogy egy jelszót többen is használtak az admin fiókhoz. 

Kétfaktoros hitelesítés hiánya: meg lehetett volna nehezíteni a hackerek dolgát, ha be van kapcsolva a cégnél a kétfaktoros hitelesítés.

Illetve felmerül a kérdés, hogy miért nem szedték szét különböző privát felhő szegmensekre iskolánként/városonként/kerületenként az adatokat? Miért tartották egy helyen az összes adatot?

Milyen következmények várhatnak a Krétát fejlesztő cégre?

Az első kérdés, hogy az egyes fejlesztőket mennyire lehet felelősségre vonni? A fejlesztők úgy fejlesztenek, ahogy tanulták, azonban a cég felelőssége, hogy tart-e megfelelő oktatást a fejlesztőknek, van-e előírás, ajánlás azzal kapcsolatban, hogy a kódot hogyan kell fejleszteni? Emellett pedig rendszeres pentesztekkel, auditokkal kellene a cégnek biztosítania azt, hogy a kód megfelelő minőségű legyen.

2020-ban a Digi Kft. kapott egy 100 millió forintos bírságot, de a Kréta incidens annál is súlyosabb, hiszen nem a cég jelentette be a támadást, illetve kiskorúak adatai is szerepelnek az adatbázisban. 

Mit tanácsolunk azoknak a cégeknek, akik hasonló fejlesztéssel foglalkoznak?

  • Vegyék komolyan az ehhez hasonló eseteket, mert a legtöbb cég csak akkor kér segítséget, amikor már bejutott a zsarolóvírus.
  • Ne legyenek magabiztosak, vizsgáltassák felül magukat, hogy kiderüljön, az általuk használt védelmi megoldások megfelelőek-e.
  • Az oktatásra fektessenek megfelelő hangsúlyt, a fejlesztők kapjanak tréninget.
  • Vonjanak be biztonsági szakembereket.

Összefoglalva elmondható, hogy mindig van hova fejlődni. A biztonság nem egy állandó dolog, folyamatos törekvés kell, hogy legyen. Fejleszthetjük a bejárati ajtót, hogy ha a hátsó ablakot nyitva hagyjuk, akkor a támadók könnyen fognak bejutni. 

A témával kapcsolatban elérhető podcast beszélgetésünk is az alábbi linken:

A beszélgetés résztvevői:

  • Makay József – kiberbiztonsági szakértő, a Makay Kiberbiztonsági Kft. vezetője és etikus hackere.
  • Csermák Szabolcs – etikus hacker, az Egy hacker naplója YouTube-csatorna házigazdája, a Hack és Lángos podcast egyik host-ja, valamint a WebShield IT Security Kft. alapítója. 
  • Mészáros Csaba – kiberbiztonsági szakember, a HACKTIFY International Kft. alapítója, társügyvezetője 
  • Cseh Patrik – HACKTIFY International Kft. ügyvezetője

További publikációink