A KRÉTA közoktatási adminisztrációs rendszer feltörése kapcsán rengeteg kérdés felmerült. Kell-e félni egy következő támadástól? Mi lesz a diákok és tanárok adataival? És mégis, mire volt jó ez az egész? A világ egyik legjobb hekkerét kérdeztük minderről.

Hétfőn számolt be arról a Telex, hogy hetekkel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.A támadók hozzáfértek a közoktatás minden intézményében használandó adminisztrációs rendszerhez. Ezekben a diákok és a tanárok alapadatai, mint a tajszám vagy az iskolában kapott jegyek mellett olyan érzékeny adatokat is tárolnak, mint a diákok egészségügyi adatai, esetleges fogyatékosságai vagy a pedagógusok bankszámlaszáma.A történet szerdán két új fordulatot is vett. Először kiderült, hogy az alkalmazottak már szeptemberben tudtak a Kréta feltöréséről, azonban mindeddig próbálták csendben elkenni a történteket.Majd szerda délután a hekkerek mindenki számára elérhetővé tették a rendszer forráskódját.

„Feltételezhetően egy maximum kétfős tinédzsercsoport állhat a támadás mögött” – mondja Ábrahám Endre, ismertebb nevén Silur, kriptográfus, etikus hekker és kutató, akinek az életútját idén nyáron mutattuk be a Forbes.hu-n. A tegnap este nyilvánosságra hozott forráskódba már ő is belenézett.

„Sokkal rosszabb ennél a helyzet már nem lehet”

– mondja a beszélgetés elején. Szerinte nincs arra utaló jel, hogy bármilyen manipulációra kellene számítani a jövőben, bár lehet, hogy a támadók tudnak majd telefonos értesítést kiküldeni a fejlesztőknek vagy a felhasználóknak. Önmagában a forráskód kikerülése nem jelent veszélyt, csak megmutatja, hogyan működik a rendszer.

„Olyan, mintha az előttünk lévő leves receptje kerülne a kezünkbe. Attól, hogy azt elolvasod, még nem lesz mérgező az étel.”

Az elkövetőkkel kapcsolatban csak találgatni lehet

Általánosságban egyszerűen feltörhetőek a eKRÉTÁ-hoz hasonló hatalmas adatbázisok, könnyen előfordulhatnak olyan apró hibák, amik lavinaként egymásra rakódva hozzáférést nyújthatnak az illetéktelen behatolóknak. „Azért is vannak ezek a srácok óriási bajban, mert itt nem egyszerű hackelés történt, hanem gyerekek és felnőttek tömegeinek szivároghattak ki privát adatai. Hozzáfértek kényes adatokhoz, ha elkapják őket, ott lesz a GDPR megszegése is, azaz sok minden borul majd a nyakukba.”

Napi címlap Topolay Gábor 16 perc olvasás

A 14 éves herédi srác a tanár gépét akarta feltörni, így lett belőle Silur, a világ egyik legjobb hackere

Üzlet Madzin Emília 11 perc olvasás

Itt az idő, hogy megvédd a hűtődet is a hekkerektől – magyar csapat segít ebben és üzletet is épít rá

Mivel a KRÉTA évek óta a támadások kereszttüzében áll és ehhez hasonló méretű adatszivárgásra eddig nem került még sor, Silur szerint feltételezhető, hogy valamilyen személyes okok is közrejátszhattak a mostani esetben.

„Nem valószínű, hogy valaki otthonról fogta magát és sikeresen feltörte a KRÉTÁT.”

Szükség volt személyes kontaktra, mint például egy véletlenül nyitva felejtett felület a számtechlaborban, de Silur sem tudott konkrétumot mondani. Szerinte, ha tényleg diákok voltak az elkövetők, az alábbi két verzió közül történhetett valamelyik:

Egy véletlenül nyitva hagyott számítógépen a tanári felhasználói fiókon keresztül nagyobb hozzáféréshez jutottak hozzá (ez a nehezebb kategória),vagy egy eKRÉTÁ-s – feltehetően nem IT-részlegen dolgozó – alkalmazott fiókjából kaphattak hozzáférést. Az e-mail-címes módszert ma már egyre nehezebb kivitelezni, de ha van olyan alkalmazott, akinek mindenhez van hozzáférése a rendszerben és kevésbé figyel oda az adatbiztonságra, könnyen kijátszható a rendszer.

Silur azt mondja, az ehhez hasonló jellegű támadásokhoz szükséges tudást akár már egy-két év alatt meg lehet szerezni, bár szerinte ide nem is igazán a technikai készségekre, hanem a megfelelő szociális hálóra van szükség. „Ha van egy lehetőséged arra, hogy kamu e-mailt írj az egyik supportosnak az eKRÉTÁ-nál – mert valahonnan ismered őt – akkor azt hogyan használod ki? Az e-mailes csalásokat rendszerint fiatalok csinálják, akik a frissen szerzett tudásukat gyorsan ki is próbálják élesben. Ezért is gondolom, hogy diákokról van szó.”

Ezt a feltételezést erősíti meg részben a Telex interjúja is, ahol a támadók elmondták, négyen vannak a csapatban (azt még mindig nem tudni pontosan, hogy pontosan kik és hányan vettek részt a támadásban – a szerk.) és van közöttük kiskorú is.

A kriptográfus szerint fontos külön választani a KRÉTA és a hozzá hasonló felületek, mint például a Neptun, logikai és biztonsági működési rendszerét. „Két elkülönült rendszerről beszélünk. A logikai (tehát amit a felhasználó is tapasztal – a szerk.) borzalmasan működött és működik most is, viszont ez az első biztonsággal kapcsolatos incidens a KRÉTA körül. Nehezen elképzelhetőnek tartom, hogy ez ténylegesen kívülről, belső kontroll nélkül történt.”

Hogyan lehetett volna elkerülni a támadást?

„Az access control policyt (tehát a hozzáférés-szabályozást, ami egy adatbiztonsági technika, ami megakadályozza a vállalati adatokhoz való jogosulatlan hozzáférést – a szerk.) minél szűkebbre kell fogni.” Silur azt mondja, ha egy alkalmazott esetében pontosan tudjuk és papíron rögzítjük, hogy meddig terjed a számítógépen kívüli felelősségének köre, akkor a gépen is egy bizonyos szintig kellene hogy jogosultságot kapjon. Úgy fogalmaz: a fejlesztő asszisztensének nem feltétlenül van szüksége arra, hogy a rendszer összes jelszavához legyen hozzáférése.

A tanárok felmerülő aggodalmai kapcsán megnyugtató választ adott: használhatják ugyanúgy a rendszert, mint eddig. Szerinte igazán izgalmas az eKRÉTA fejlesztőinek reakciója lesz.

„Frankón ki kell állni, hogy ez történt, itt volt a hiba, kijavítottuk, minden rendben van. Onnantól kezdve tényleg mindenki teljes nyugalomban használhatja majd a KRÉTÁT.”

Az adatszivárgás előtt felkerült adatbázis került veszélybe, de Silur szerint ezt utólag le lehet védeni, az újonnan felvitt adatok pedig teljes biztonságban vannak.

Az átlagfelhasználók adatainak védelmére a kétfaktoros hitelesítést ajánlja. „Nyűgnek tűnik, de ami a felhasználónak csupán egy kattintás, az a támadói oldal helyzetét exponenciálisan megnehezíti. Hozzáférni két külön eszközödhöz, ahol két külön operációs rendszert és két külön jelszót használsz az nem kétszer, hanem négyzetesen nehezebb lesz a támadó számára.”

A Telex értesülése szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) már vizsgálatot indított az ügyben, további információt nem közölnek az eljárás lezárásáig. Az ügyben büntetőeljárás a jelen állás szerint még nem indult.

Silur a holnapi Forbes Tech Summit vendége lesz, többek között a TheVR arcai, Barabási Albert-László és Bojár Gábor, a Graphisoft alapítója mellett. A CEU-n megrendezett esemény házigazdája Balogh Petya angyalbefektető és Galambos Márton, a Forbes főszerkesztője lesznek.

Borítókép: Sebestyén László

The post A világ egyik legjobb hekkere a KRÉTA feltöréséről: sokkal rosszabb ennél már nem lehet appeared first on Forbes.hu.