HU

EN

Bejelentkezés
Bejelentkezés

Ez történt a Kréta incidens során

Néhány hónappal ezelőtt napvilágot látott egy incidens, a Köznevelési Regisztrációs és Tanulmányi Alaprendszerrel kapcsolatban, amit röviden Krétának neveznek. 

Az incidens után a sajtó képviselőinek sikerült kapcsolatba jutniuk az elkövetőkkel, akik szívesen beszéltek arról, amit csináltak, később pedig egy publikus csatornán elkezdték közzétenni a technikai részleteket, végül közzétették a Kréta forráskódját is.

Az első gondolatunk az lehet, hogy a Kréta rendszerben biztosan volt olyan sérülékenység, amit sikeresen kihasználtak, így hozzájutottak az adatbázishoz. Ezzel szemben kiderült, hogy social engineering támadás állt a háttérben. A támadás során tehát a hackerek nem a rendszer alap sérülékenységeit használták ki, hanem az emberi jóhiszeműséget.

Természetesen a szerencse is közrejátszott, mert a rendszernek is voltak informatikai hiányosságai, de a támadás a már említett technika segítségével történt. 

Ez a támadási forma a szakmát is megosztja, de ebből is látható, hogy mennyire hatékony tud lenni. A legtöbb cég antivírusokkal, tűzfalakkal látja el a vállalatot és bíznak a technika védelmében. Miközben a social engineering támadásnak pont az a lényege, hogy a technikai védelmi vonalakat megkerülve, emberi segítséggel jussanak a rendszerbe.

A Kréta incidens esetében a projektmenedzsert célozták meg, aki tudtán kívül olyan kártékony kódot juttatott az infrastruktúrába, amelynek segítségével a támadók könnyűszerrel be is jutottak.

Hogyan rombolja le az adatszivárgás ügyfeleid bizalmát?

A támadók személyes adatokhoz jutottak hozzá. Milyen személyes adatok érhetőek el a Krétában?

Minden közoktatási intézményben használják a Kréta rendszert, így minden diák, illetve tanár személyes adatához hozzá lehet férni: egészségügyi adatokat tartalmaz, lakcímet, személyigazolványszámot, diákigazolványszámot, felmentéseket, hiányzásokat, jegyeket stb.

Mit jelent ez a felhasználókra nézve?

A hackerek szerencsére eddig még nem szivárogtatták ki az adatokat, azonban, hogy mire lehet ezeket felhasználni, annak már csak a rosszindulatú kreativitás szabhat határt. 

Képzeljük el, hogy 10-15 év múlva, amikor ezek a gyerekek már felnőttek, karrierjük van, elkezdik ezekkel az információkkal zsarolni őket. 

Emellett pedig felmerül a kérdés, hogy ha a hackerek ilyen könnyedén bejutottak a rendszerbe, akkor vajon sikerült-e másnak is korábban?

A készenléti rendőrség nyomozási indított az ügyben. Milyen következmények várhatnak a hackerekre?

Feltételezhető, hogy fiatal támadókról van szó, erre utal, hogy kapkodtak, megváltoztattak korábbi kijelentéseket. Látható volt, hogy a támadás nem volt megtervezve, nem volt kellő tapasztalat mögötte.

Mint már említettük, a projektmenedzser jogosultságait kihasználva jutottak a támadók a rendszerbe. Egy ideális esetben azonban a projektmenedzsernek nem feltétlenül van szüksége olyan jogosultságokra, olyan informatikai környezetre, ahol hozzáférhet ilyen információkhoz. Elképzelhető az is, hogy ezt az információt akarva-akaratlanul belsős emberek szivárogtatták ki. 

A büntetés mértéke jelenleg nem egyértelmű, hiszen vannak enyhítő körülmények is, ilyen lehet például, hogy fiatal korú a támadó vagy, hogy az adatokat nem hozták nyilvánosságra. 

A hackerek úgy nyilatkoztak, hogy ezzel a támadással a magyar rendszerek rossz állapotára akarták felhívni a figyelmet, ezért személyes adatokat nem fognak közzétenni. Azonban ez így nem minősül etikus hacker tevékenységnek, mert nem a cég bízta meg őket, így feljelentést kell tenni az elkövetők ellen. 

Megelőzhető lett volna a támadás?

A közzétett forráskódból látható, hogy olyan szenzitív adatok voltak benne, amelyeknek nem kellett volna benne lenniük, illetve a különböző funkciókat ellátó programozási megoldásokban is voltak komoly sérülékenységek. Nem voltak felkészítve arra, hogy különböző kiberbiztonsági kísérleteknek ellenálljanak.

Több probléma is felmerül, nemcsak a forráskódbeli hibák, az információbiztonsági folyamatokban is vannak hiányosságok. 

A szerepköröknek a szétválasztása nem történt meg: ez abból látható, hogy a projektmenedzsernek milyen hozzáférései voltak, illetve a nyilatkozatból az is kiderült, hogy egy jelszót többen is használtak az admin fiókhoz. 

Kétfaktoros hitelesítés hiánya: meg lehetett volna nehezíteni a hackerek dolgát, ha be van kapcsolva a cégnél a kétfaktoros hitelesítés.

Illetve felmerül a kérdés, hogy miért nem szedték szét különböző privát felhő szegmensekre iskolánként/városonként/kerületenként az adatokat? Miért tartották egy helyen az összes adatot?

Milyen következmények várhatnak a Krétát fejlesztő cégre?

Az első kérdés, hogy az egyes fejlesztőket mennyire lehet felelősségre vonni? A fejlesztők úgy fejlesztenek, ahogy tanulták, azonban a cég felelőssége, hogy tart-e megfelelő oktatást a fejlesztőknek, van-e előírás, ajánlás azzal kapcsolatban, hogy a kódot hogyan kell fejleszteni? Emellett pedig rendszeres pentesztekkel, auditokkal kellene a cégnek biztosítania azt, hogy a kód megfelelő minőségű legyen.

2020-ban a Digi Kft. kapott egy 100 millió forintos bírságot, de a Kréta incidens annál is súlyosabb, hiszen nem a cég jelentette be a támadást, illetve kiskorúak adatai is szerepelnek az adatbázisban. 

Mit tanácsolunk azoknak a cégeknek, akik hasonló fejlesztéssel foglalkoznak?

  • Vegyék komolyan az ehhez hasonló eseteket, mert a legtöbb cég csak akkor kér segítséget, amikor már bejutott a zsarolóvírus.
  • Ne legyenek magabiztosak, vizsgáltassák felül magukat, hogy kiderüljön, az általuk használt védelmi megoldások megfelelőek-e.
  • Az oktatásra fektessenek megfelelő hangsúlyt, a fejlesztők kapjanak tréninget.
  • Vonjanak be biztonsági szakembereket.

Összefoglalva elmondható, hogy mindig van hova fejlődni. A biztonság nem egy állandó dolog, folyamatos törekvés kell, hogy legyen. Fejleszthetjük a bejárati ajtót, hogy ha a hátsó ablakot nyitva hagyjuk, akkor a támadók könnyen fognak bejutni. 

A témával kapcsolatban elérhető podcast beszélgetésünk is az alábbi linken:

A beszélgetés résztvevői:

  • Makay József – kiberbiztonsági szakértő, a Makay Kiberbiztonsági Kft. vezetője és etikus hackere.
  • Csermák Szabolcs – etikus hacker, az Egy hacker naplója YouTube-csatorna házigazdája, a Hack és Lángos podcast egyik host-ja, valamint a WebShield IT Security Kft. alapítója. 
  • Mészáros Csaba – kiberbiztonsági szakember, a HACKTIFY International Kft. alapítója, társügyvezetője 
  • Cseh Patrik – HACKTIFY International Kft. ügyvezetője

Megosztás

Tartalomjegyzék

Legfrisebb cikkeink

Készen állsz?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco la

Kapcsolatfelvétel Cégeknek
CSatlakozz hackerként

Közép- és Kelet-Európa bug bounty platformja, hogy rendszered védve legyen a támadásoktól! 

Cégeknek

Hackereknek

Információ

Hírlevél

  • Iratkozz fel hírlevelünkre, hogy elsőként értesülhess aktuális programjainkról és híreinkről.
Hírlevél - footer
We are
Facebook-f Instagram Linkedin Youtube

© 2024 Hacktify International Kft.