Még az Ars Technica-cikk megjelenése előtt értesültem róla, hogy megint volt valami dráma, nevezetesen a kémfőnöktől minősített adatokat szerzett meg egy-két unatkozó középiskolás.
A sztorit és az ilyenekhez hasonló történetekre jellemző általános dinamikát összefoglalom vázlatosan, pontról pontra, mert megint az a benyomásom, hogy ezt a viccet már hallottam párszor.
Először is, a támadó a legritkább esetben hacker /*a kifejezés US english értelmében*/, inkább valami unatkozó hülyegyerek, aki egy jól ismert személy postafiókjához olyan módon fér hozzá, hogy azt social engineeringnek sem nevezném, ugyanis teljesen publikusan fellelhető információk alapján általában kitalálja a jelszót, valamiféle feltörésről, azaz az autentikáció megkerüléséről vagy MITM-támadásról szó sincs.
A legismertebb eset, amikor Sarah Palin személyes Yahoo-fiókjához fértek hozzá, ami nem volt egy fene nagy bravúr, mivel a fiókhelyreállításhoz szükséges biztonsági kérdés a születési dátum vagy az iskola volt, amit egy elnökjelölt esetében nem olyan eszelősen nehéz kideríteni.
Nem sokkal később George W. Bush AOL-os fiókjához szeretek hozzáférést ennél nem túl bravúrosabb módon, amit érdemes alaposan megfigyelni, hogy az AOL-os fiókból az égvilágos semmi kínos nem került ki.
Nemrég pedig azon pörgött a net népe, hogy Clintonné nem csak, hogy nem értette, hogy miért nem jó ötlet magáncélra saját, valami barkácscég által összegányolt szervert használni, aminek a sértetlenségét alighanem az FBI és a Secret Service ügynőkei összeszorított farpofával figyeltek végig, utólag sem magyarázhatták el neki, hogy a magán és a szakmai levelezés egyszerűen nem választható el ilyen módon, politikus esetén pedig pláne nem. [ui. ahogy írtam róla korábban, az emberi tudat egyrészt nem mindig tudja megkülönböztetni a kényes és kevésbé kényes információkat, másrészt egy információ bizlmas jellege időben is változhat, hamradrészt egy kifinomultan dolgozó social engineer teljesen privát adatok kimozaikozásából is bőven eljuthat az őt vagy megbízóját ténylegesen érdeklő információkhoz]
Másrészt jelen esetben a CIA-főnök használt egy AOL-os fiókot, ami az AOL minőségét és stabilitását ismerve már önmagában bizarr. Egy magyar önkormányzatnál nemhogy előfordulhat, hanem egyenesen minennapos lehet, hogy pusztán kényelemből küldözgetnek át egymástnak adminisztratív dolgozóktól kezdve a döntéshozókig olyan dokumentumokat, amiket nagyon nem kellene privát címekre, publikus szolgáltatókon keresztül.
Itt elvben történhetett ez is. Viszont volt egy olyan feltételezésem, hogy egy kémfőnök ennyire hülye mégsem lehet, inkább arról van szó, hogy egy jól megtervezett honeypot az egész: figyelik, hogy kik, mikor, milyen módszerrel próbálnak hozzáférni az AOL-fiókhoz, azt pedig beszivárogtatni, hogy melyik a főkém email fiókja, ismétcsak nem egy nagy bravúr.
Harmadrészt a feltételezésemet alaposan megerősítette, hogy ez történhetett, amikor a Wikileaksen megláttam a postafiókból kikukázott überszupertitkosnak vélt dokumentumokat: vagy olyanok, amik csak azt valószínűsítik, hogy a doksi tényleg a Brennan AOL-fiókjából származik, talán még annyit sem, megint más dokumentumok úgy lettek összeállítva, hogy azok belsős anyagnak tűnnek, de jónéhány, valóban érzékeny dokumentummal való korábbi találkozás után bárki azt tudja mondani, hogy itt szembetűnően gyakorlatilag semmi sincs, ami biztonságpolitikai szempontból kényes lenne vagy ha már nem is értékes, legalább ciki. Az összeset mondjuk nem nyálaztam át, ha valaki talál, ne fogja vissza magát, jelezze!
Negyedrészt, tehát találtak is valamit meg nem is, ez volt a fene nagy hekkelés. Az általános séma pedig ahogy ez lenni szokott, a Ámerika tíz perc hírnévre éhes hőse gyorsan eldicsekszik a mestertervvel - ezért már önmagában járna az amatőrségi bizonyítvány - amit valamelyik szép nagy sajtóorgánum minimális ellenőrzés után le is közöl, nehogy már lemaradjon a sztoriról. Ez jelen esetben a New York Times és a CNN volt. Amikor a mainstream pörög a témán, a sokkal komolyabb, gyakran eléggé komoly szakértőkkel dolgozó lapok, mint az Arstechnica vagy a Wired, szintén nem engedheti meg magának, hogy egyáltalán ne írjon róla, még akkor is, ha alighanem tudják, hogy az egész sokkal inkább médiabumm, mint bármi más, de legkevésbé kormányzati adatszivárgás.
Eztán szerte a világon mindenki leközli gyakorlatilag ugyanazt és persze nem jellemző, hogy az egész sztorit kicsit újragondolva írjon róla olyan, aki valamit konyít a témához, mondjuk látott már több olyan security breachet, aminek valóban komoly diplomáciai vagy reputációt befolyásoló hatása volt. Na, ez nem olyan. De azon sem lennék meglepődve, ha a CIA egy faék, akarom mondani, a Blackberrym hátlapjához hasonló egyszerűségű módszerrel hülyét csinált volna az egész világból, mi több, ez a legvalószínűbb. Ismét az jut eszembe, amikor egy időben egy-egy kormányzati csúcsszerv azzal került mindenhol címoldalra, hogy a webhelyüket - azaz még csak nem is intranetről volt szó például - rendszeresen feltörte valaki, aki úgyis eldicsekedett vele vagy legalábbis könnyűszerrel azonosítható volt. Főleg a 90-es években és a 2000-es évek első felében volt már-már konzervhír, hogy ismét meghakkolták a NASA-t, csak épp arra nem tértek ki, hogy a webes frontendet, ami egy egyszerű webszerver. A webszerverek alighanem szándékosan legyengített szerverek voltak, a támadó kiléte pedig egy kincs volt a hírszerzés és a nyomozó hatóságok számákra, mert rajta keresztül fel lehetett térképezni több, hasonló hacktivista csoportot.
Végül megjegyzem, akár valódi adatszivárgás történt, akár roppant jól eljátszották az egészet, az egész médiabeli megjelenésére rátesz egy lapáttal az, hogy még sokkal pitibb esetekben, sokkal alacsonyabb pozícióban lévő alkalmazottak sem mondhatnak semmit.
Hipotézisekben kimeríthetetlen vagyok: érdekes módon a veszett biztonságos levelezést kínáló cégek azt követően kapcsolják magasabb fokozatra a marketingkampányukat, miután egy-egy ilyen eset történik és frissen a tömeg tudatában él. Nem kizárt, hogy egy rég ismert lehetőséget kihasználva beszivárogtatták pár hülyéhez, hogy hogyan léphet be egy fejes email-fiókjába, amit persze meg is tett, a sajtó pörög rajta ideig-óráig, egy-egy hakkolhatatlan levelezést kínáló startup pedig mondhatja magáról, hogy na, náluk ilyen aztán nem történhet meg.