A Pentagon, a Nemzetbiztons�gi �gyn�ks�g (NSA) �s az FBI amerikai fejesei - megel�gelve sz�m�t�g�pes h�l�zataik sorozatos megt�mad�s�t - n�gy-�t �vvel ezel�tt felk�rtek egy hackert, hogy seg�tsen a bel�p�skor haszn�lt jelszavak biztons�goss� t�tel�ben - cser�be szemet hunynak kor�bbi stiklijei f�l�tt. A bitbety�rb�l alkalmi pand�rr� el�l�pett fiatalember a megrendel�k nem kis meglepet�s�re sz�m�t�g�p helyett egy telefonk�sz�l�ket k�rt, hogy demonstr�lja az egyik - k�l�n�sebb el�k�pzetts�get nem ig�nyl� - besurran�si alaptechnik�t. Alig f�l�r�s - sz�n�szi helyzetgyakorlatnak is beill� - telefon�lgat�ssal megszerezte az egyik jelen l�v� vezet� asszisztens�nek a jelszav�t; a sikerhez csak annyi kellett, hogy megt�veszt� hiteless�ggel hol m�ltatlankod� sz�m�t�g�pes rendszergazd�nak, hol feld�h�d�tt felettesnek adja ki mag�t. Az internetbiztons�ggal foglalkoz�k szakmai legend�rium�b�l id�zett eset a szakzsargonban "social engineering (t�rsas�gi �gyesked�s) n�ven ismert tr�kk egyik alapv�ltozata" - vezet a sz�m�t�g�pes vil�g s�t�tebb zugaiba Fr�sz Ferenc, az adatment�s �s a h�l�zati biztons�g ter�let�n a nemzetk�zi �lmez�nybe tartoz� magyar K�rt Rt. biztons�gi szak�rt�je.

Ami azonban nem megy sz�p sz�val, azt t�bbnyire a processzorok nyers erej�vel kell megszerezni. A szabads�gharcos-attit�dj�kre b�szke, az anyagi k�rokoz�st ker�l� hackerek �ltal felk�sz�letlens�g�k �s megfontolatlans�guk ok�n len�zett "kattintgat�s sutty�k" (script kiddies) v�lasztj�k rendszerint e m�faj legegyszer�bb m�dj�t. A lehets�ges vari�ci�k v�gigpr�b�lgat�s�n alapul� m�dszerhez els�sorban digit�lis sz�t�rakra van sz�ks�g. Ezek a k�zisz�t�rak alapsz�k�szlet�n t�l sz�mokkal kombin�lt, kis- �s nagybet�ket is tartalmaz� �rtelmes kifejez�sek - bele�rtve a bece- �s �llatneveket, esetleg az aut�m�rk�kat is - oda-vissza olvasat�t sorolj�k fel. A jelsz�fejt�k nem egy esetben k�l�n bep�ty�gik a jelsz�gazda k�rnyezet�b�l, �lethelyzet�b�l ad�d� lehet�s�geket is. E ter�leten csak l�tsz�lag nagy a vari�ci�k sz�ma: a n�mi sz�rf�zget�ssel m�g a bitanalfab�t�k �ltal is k�nnyen megszerezhet� programocsk�k - a korszer�bb pc-k sz�mol�si sebess�g�nek k�sz�nhet�en - a hat-h�t karakteres k�dok eset�ben ma m�r gyorsan v�gigp�rgetik a l�tez� �sszes lehet�s�get.

�m az enn�l bonyolultabb jelszavak sem megfejthetetlenek - b�r 14 vagy ann�l t�bb karakterb�l �ll� k�dot egyetlen norm�l g�pnek ak�r �vekig is eltartana kital�lni. Ilyenkor a szakarg�ban zombig�peknek nevezett, speci�lis h�l�zatba (�gynevezett f�rtbe) k�t�tt asztali masin�k k�n�lhatj�k a megold�st. Ezek az interneten "t�vir�ny�t�ssal" �sszekapcsolt, net�n egy-egy v�llalati rendszergazd�t�l �jszakai munk�ra illeg�lisan kib�relt c�ges masin�k egy�tt val�s�gos szupersz�m�t�g�pet alkotnak, �s hatalmas kapacit�sukkal alkalmasak az internetes k�dt�r�sre. "A mai kiszolg�l�k, szerverek persze m�r be�ll�that�k �gy is, hogy h�rom vagy ak�r kevesebb sikertelen bejelentkez�si k�s�rlet ut�n hossz� id�re letiltsanak" - �gy Fr�sz, aki szerint azonban ez a v�delmi fegyver csak az amat�r�k ellen m�k�dik.

Nem is digit�lis "falt�r� kosnak" haszn�lja az eml�tett zombig�peket a leg�jabb sz�m�t�stechnikai ismeretekkel is felv�rtezett alvil�g, amely az �h�tott adatokhoz val� hozz�f�r�st biztos�t� jelszavak megszerz�s�hez nem kev�s szervez�ssel j�r�, szofisztik�ltabb m�dszereket vet be. Az �gynevezett h�l�zatletapogat�s (angol m�sz�val tapping) els� l�p�sek�nt p�ld�ul a bitbety�r fizikai val�j�ban (inkognit�ban) besurran a megl�kelni k�v�nt c�g, int�zm�ny �p�let�be, �s az ottani h�l�zat valamelyik szabadon hagyott k�belkimenet�t haszn�lva saj�t hordozhat� masin�j�val r�kapcsol�dik a h�zi rendszerre. Ha nincs komoly jelsz�v�delem, ak�r r�gt�n be is l�phet, de ellenkez� esetben sem kell k�ts�gbeesnie - jelzi a tov�bbi lehet�s�geket Sebesty�n M�rk informatikus -, hiszen a dr�tokban zajl� kommunik�ci� bel�p�si k�dok n�lk�l is lehallgathat�. A "lefejtett", a laikus sz�m�ra zagyva inform�ci�halmazt k�s�bb, nyugodt k�r�lm�nyek k�z�tt lehet kielemezni: �gy kisz�rhet�ek a szok�sos h�rombet�s (.doc, .jpg, .pdf) f�jlkiterjeszt�sekt�l elt�r�en hash "ut�n�vvel" felc�mk�zett, jellemz�en a felhaszn�l�k nev�t �s jelszav�t tartalmaz� adatcsomagok. Ezeket hi�ba k�dolt�k a gondos rendszergazd�k, mivel a m�r eml�tett zombig�pekkel, de m�g a vil�gh�l�n k�zk�zen forg� egyszer�bb k�dt�r� programokkal is k�nnyed�n megfejthet�k - folytatja az informatikus.

A tavaly ny�ron vil�gszerte t�bb mint negyvenmilli� bankk�rtya jelsz�k�dj�t eltulajdon�t� (HVG, 2005. j�nius 22.) �s azok seg�ts�g�vel t�bb sz�zmilli� doll�rt meglovas�t� - az�ta is ismeretlen - brig�d m�s eszk�z�kkel dolgozhatott. A biztons�gi szakemberek felt�telez�se szerint a hagyom�nyos b�n�z�sben a "be�p�tett ember" kateg�ri�ba tartoz� m�fog�s elektronikus v�ltozat�val, a szakzsargonban tr�jai falovaknak nevezett k�mprogramokkal. Ezek a m�r j� t�z �ve l�tez�, �m eleinte ink�bb sz�m�t�g�pes v�rusok transzportj�ra haszn�lt digit�lis f�rk�szek - ak�r a hell�n m�toszban - �rtalmatlan semmis�gnek (p�ld�ul lev�lnek, j�t�kprogramnak, erotikus k�pgal�ri�nak) �lc�zz�k magukat. Miut�n a k�v�ncsi g�phaszn�l� r�juk kattintott, �szrev�tlen�l "be�lnek" a sz�m�t�g�p�be. Egyes v�ltozataik kifigyelhetik a jelsz�t (mondjuk �gy, hogy a bejelentkez�si proced�ra sor�n megjegyzik, milyen sorrendben �t�tt�k le a billenty�ket), majd az internetes kapcsolatteremt�s sor�n ki-be j�v� inform�ci�folyamban megb�jva elk�ldik gazd�juknak a n�h�ny bit terjedelm� kulcsinform�ci�t.

Az ilyen jelsz�lop�soknak csak a t�red�k�re der�l f�ny, b�r a be�g�rt retorzi�k szigor�ak. Tavaly p�ld�ul annak a brit di�knak az �gye v�ltott ki nemzetk�zi visszhangot, akit v�g�l is az�rt nem �t�ltek t�bb�ves b�rt�nre, mert csup�n iskolat�rsainak jelszav�t tulajdon�totta el a sulih�l�zat g�peire telep�tett "falovaival". Enn�l sokkal vesz�lyesebbek a ny�lt megt�veszt�ssel oper�l� tr�jait�pusok. A magyar Virusbuster c�g statisztik�i szerint az elm�lt k�t �vben t�bb olyan jelsz�lop� programot �szleltek hazai h�l�zatokban, amelyek sz�m�t�g�pes banki szolg�ltat�sok haszn�latakor l�ptek m�k�d�sbe. Amikor a gyan�tlan net�gyf�l be akart jelentkezni a banki rendszerbe, egy, az eredetire megt�veszt�sig hasonl�t� weboldal - val�j�ban egy �gyes tr�jai - k�rte el a felhaszn�l� nev�t �s jelszav�t, majd h�l�zati hib�ra hivatkozva �j pr�b�lkoz�st javasolt. M�sodszorra m�r az igazi bankok jelentkeztek, s az �gyf�l �szre sem vette, hogy k�djait illet�ktelenek szerezt�k meg.

A legd�rzs�ltebb h�l�zati kal�zok egy�bk�nt nem is a rendszerek legszigor�bban �rz�tt - a mezei dolgoz�k �ltal is haszn�lt - f�kapuin pr�b�lnak bejutni, hanem valamif�le mell�kajt�n. �gy nem is jelsz�ra van sz�ks�g�k, hanem a sz�m�t�stechnikai rendszer gyenge pontjainak ismeret�re, ami viszont m�r egy m�sik t�rt�net. B�r lapz�rt�nkkor m�g nem lehetett tudni, pontosan kik �s hogyan jutottak hozz� az MSZP-szerver egy�bk�nt egyszer� k�pzett�rs�t�ssal is visszafejthet� "pirosvirag" bel�p�si k�dj�hoz, a HVG �ltal megk�rdezett szak�rt�k arra a kal�z-bonmot-ra is eml�keztettek, miszerint jelszavakat lopni igaz�n a hozz�juk tartoz� g�pekkel egy�tt �rdemes.

VAJNA TAM�S