A Wikileaks hamarosan közzéteszi azoknak az e-maileknek a maradékát, amiket két hacker szerzett meg John Brennan CIA-igazgató privát címéről. Az eddig közzétett adatok szerint konkrét államtitok nem szivárgott ki, egy csomó kínos információ azonban igen.
Azt már megírtuk, mik ezek. Köztük volt egy 2008-ban – még jóval a hírszerző szolgálat irányításának átvétele előtt – kitöltött, SF-86-os típusú nemzetbiztonsági átvilágítási kérdőív is. A 47 oldalas dokumentumból nyilvánosságra hozott adatok egy része a kémfőnök családjára és lányaira, valamint olyan személyekre vonatkozik, akik nem állnak kapcsolatban sem Brennan CIA-igazgatói, sem korábbi, elnöki terrorelhárítási tanácsadói munkakörével.
Linkelni nem fogjuk, de elég könnyű rákeresni.
Hogyan?
A CIA nyilatkozatban ítélte el az ügyet, azt mondták, az adatok közzététele rosszindulatú volt, a Brennan családot pedig a bűncselekmény áldozatának nevezte. Az ügyben nyomozást indítottak a szövetségi hatóságok.
Az elkövető két fiatal volt, akik a Twitteren @phphax és @_CWA_ néven voltak fent. Illetve az előbbi még mindig fent van, utóbbit már felfüggesztették. Phphax ugyanakkor nem nyerte meg magának az iszlamofób konzervatívokat, mert az oldala tele van palesztin- és iszlámszimpatizáns üzenetekkel.
Az egész mostani kiszivárogtatásban egyelőre nem az a legérdekesebb, ami kiszivárgott, inkább az, hogy valaki képes volt feltörni a CIA igazgatójának privát e-mailjét.
AOL. LOL
Van egyébként egy elég egyszerű magyarázat a dologra. John Brennan elég öreg. A vele egykorú emberek jellemzően semmit nem tudnak a biztonságos internetezésről, és egyébként a CIA igazgatójaként sem feladata személyesen értenie ehhez.
A New York Post szerint a leveleket a két fiatal hacker úgy szerezte meg, hogy feltörte az igazgató AOL-fiókját. Igen, a CIA igazgatója privát emailnek egy AOL-fiókot használt. Ez olyan, mintha a magyar nemzetbiztonság vezetője a Freemailt (vagy a Citromailt) használta volna. Ráadásul a feltörés önmagában egy erős kifejezés. Az e-mailek megszerzése egyszerű social engineering volt.
people think we targeted John Brennan's email because it was a aol lmao nah he ONLY owned a aol he's slow as fuck
— cracka (@phphax) October 20, 2015
Az e-mailekhez ugyanis elég könnyű hozzáférni, még úgy is, hogy csak social engineering-trükköket használunk. Mat Honan, a Wired újságírója pont erről írt egy elég nagyhatású cikket pár évvel ezelőtt. Az ő online élete felett gyakorlatilag teljesen átvették az uralmat, és az egész azzal kezdődött, hogy valaki feltörte az iTunes-fiókját.
Ugyanazzal a módszerrel, mint Brennanét. Honan nem csak az irányítást vesztette el mindene felett, hanem konkrétan mindent, amit az interneten tárolt. Sőt, letörölték az iPhone-ját, az iPadjét és a MacBookját is. A teljes digitális élete eltűnt.
Digitális élet
És lehet azzal jönni, hogy a digitális életünk annyira nem fontos, vagy hogy úgysem kapunk fontos dolgokat e-mailben, de nem lesz igazunk. Ha az e-mailünk felett átveszik az uralmat, gyakorlatilag a bankszámlánk felett is átveszik, főleg, ha az Apple-jelszavainkat is megszerezték.
És ez egészet viszonylag egyszerű elkerülni. Mármint, ha konkrétan egy jó hacker szeretné feltörni a gépünket, akkor nem nagyon tudunk semmit csinálni, mert meg fogja oldani. De a Brennan-féle eseteket könnyű elkerülni egy erősebb jelszóval és a kétszintes azonosítás bekapcsolásával. Ilyenkor már pont annyi akadályt görgetünk a “hacker” elé, hogy valószínűleg előbb unja meg, mint hogy sikerülne feltörnie bárminket.
Különösen a jelszavak fontosak. Ez tényleg nem új dolog, de iszonyatosan megnehezítjük bárki dolgát, ha legalább néhány nagybetűt, karaktert vagy számot használunk. Itt egy remek táblázat, ami megmutatja, hogy mennyi időbe telik egy átlagosan gyors gépnek egy úgynevezett brute force támadással kitalálni a jelszavunkat.
Egy megfelelően hosszú kombinációnál már előbb pusztul ki az emberiség, mint hogy sikerülne. A kétszintes azonosítással pedig a belépéshez szükségünk van a telefonunkra is, illetve arra az sms-re, amit a telefonunkra kapunk meg. Ezzel a rosszindulatú támadások 99 százalékát könnyedén ki lehet kerülni.
Mert egyébként teljesen érthető az, hogy a szolgáltatók lehetővé teszik, hogy visszaállítsuk a jelszavainkat. Az egész tech világ valahol a biztonság és a kényelem között himbálódzik, mert az azért mégiscsak túlzás lenne, ha mindent elveszítenénk az interneten, csak azért, mert nem emlékszünk a jelszavunkra.