Furcsa hír futott körbe tegnap, főképp az AP hírügynökség tudósítása óta – ma délelőttig jellemzően csak az angolszász – sajtóban: a CIA egyik biztonságtechnikai elemzője egy szerdai, New Orleansban tartott konferencián arról számolt a jelen lévő több mint háromszáz amerikai, brit, svéd és holland kormányzati tisztviselőnek, illetve ezen országok közműipari és energiaellátási szakembereinek, hogy információik szerint már többször megtörtént az, hogy támadók az interneten keresztül behatoltak erőművekbe, közművek rendszereibe, s egy esetben az is előfordult, hogy az akció több városban részleges áramkimaradást okozott. Tom Donahue részleteket nem fedett fel, de annyit elmondott, hogy egyik eset sem az Egyesült Államokban történt, s nem tudják, kik voltak a támadók, de megalapozottnak tűnő gyanújuk szerint több alkalommal is belső információk segítségével indították a behatolási kísérletet.

Kacsa?

A híradás roppant kevés konkrét információt tartalmaz – a nagy lapok tudósítói eddig nem kaptak választ a részleteket firtató kérdéseikre –; a CIA egyik szakértőjéről van szó; a Bush-kormányzat komoly kampányt folytat a közművek terrorfenyegetettségének megelőzése érdekében: minden megvan tehát, hogy politikai célúnak tartsuk Donahue állításait, sőt, csak egy lépés valami jó kis összeesküvés-elmélet. Ebből a szempontból nézve a szakértő által elmondottak tartozhatnak a „kacsa” kategóriájába is, s a felkeltett félelemérzet bizonyos politikai és üzleti lobbik jól kiszámított taktikai lépéseként is értelmezhető. Meglehet.

Ám mielőtt teljesen lefeküdnénk ennek a kényelmes gondolkodásmódnak, nem árt felidézni néhány, a közelmúltban történt eseményt – akár azért, hogy megerősítse a politikai szándékot, akár azért, hogy megcáfolja vagy árnyalja azt.

Annyi bizonyos, hogy – legfőképpen az Egyesült Államokban – szeptember 11. óta a – kormányzat által is gerjesztett – félelem a terroristáktól több komoly biztonsági szigorításhoz vezetett. Ezek egyike – még ha nem is került annyira előtérbe, mint a beutazások megszigorítása, a lehallgatások vagy a biometrikus adatbázis kiépítésének elindítása – a stratégiai jelentőségű ágazatok (az elektromos hálózatok és erőművek, a gáz- és olajvezetékek, a víztározók, a városi vízhálózatok stb.) védelmének erősítése, mivel megjelent az aggodalom, hogy a digitalizáció és a hálózati működtetés, valamint az internet és az ilyen kulcspontok összekapcsolódása új sebezhetőségeket teremtett.

E biztonsági kockázat megítélése egymásnak gyökeresen ellentmondó vélemények vitáihoz vezetett. Sok szakember állítja – főleg az ilyen rendszerek tervezői és működtetői –, hogy a külvilágtól gyakran teljesen leválasztott elektronikai hálózatokban olyan szintű biztonsági megoldásokat alkalmaznak, hogy gyakorlatilag lehetetlen ezek meghackelése. A másik oldalon viszont – a fejlesztésekben nyilvánvalóan érdekelt biztonságtechnikai cégek és bizonyos politikai körök – komoly veszélyeket látnak, s további dollár százmilliók befektetését szorgalmazzák. (A Szövetségi Energiaügyi Bizottság épp a héten – véletlen?– fogadta el az internetes támadások kivédésére hozott új biztonsági előírásokat.)

Kételyek és megerősítések

Annyi bizonyos, hogy tömegkatasztrófa még nem történt, ám egyéb esetekről már van tudomásunk. Mi is írtunk arról, hogy tavaly augusztusban a Defconon, a hagyományos hacker-konferencián Ganesh Devarajan, a TippingPoint biztonságtechnikai szakembere előadásában bemutatta, hogyan törte fel egy ilyen nagyvállalat szoftverének védelmét, s hogyan jutott be a rendszerbe. Devarajan szerint a széles körben használt, úgynevezett SCADA-rendszereket működtető nagyvállalatok vannak veszélyben, különösen a viszonylag régebbi fejlesztésű rendszerek sebezhetőek, a támadás itt azon létesítmények szenzorain keresztül történik, amelyek nem titkosított kapcsolattal csatlakoznak az internethez.

Scott Lunsford, az IBM szakértője ugyancsak augusztusban nyilatkozott úgy a Forbesnak, hogy a sérthetetlenség csak mítosz, valójában igen sok területen komoly biztonsági rések találhatóak (érdemes a cikkhez kapcsolódó képgalériát végignézni, ahol a SCADA-rendszerek sebezhetőségére hoznak fel több példát is). Szeptemberben arról számolhattunk be, hogy az AP hírügynökség által megszerzett videón az Idaho National Laboratory által elvégzett kísérlet azt kívánta bemutatni, hogy például milyen könnyen okozhat egy cracker tüzet egy kellően nem védett generátorállomáson.

Alan Paller, a konferencián Donahue vendéglátója – és a hír szárnyra bocsátója –, a biztonsági kockázatokkal foglalkozó SANS Institute igazgatója szerint jó néhány kisebb-nagyobb mértékű támadás érhette az érintett cégeket már eddig is, melynek következtében feltehetően sok millió dollárnyi zsarolási pénzt fizettek ki, ám keveset lehet ezekről tudni, mivel a vállalatok természetesen igyekeznek ezeket az információkat szigorúan bizalmasan kezelni. Ezt Bruce Schneier, a BT Counterpane egyik vezetője sem tartja lehetetlennek: a pornográf, illetve a szerencsejátékkal foglalkozó oldalak látogatóit már régóta rendszeresen zsarolják az erre szakosodott crackerek, miért ne tennék meg ezt a nagy cégekkel is? – véli. Schneier ugyanakkor felhívja a figyelmet Donahue azon állítására, mely szerint belső információk segítették az állítólagos hackelést, s szerinte ez nem a rendszerek sebezhetőségére utal, hanem a megoldhatatlan biztonsági kockázatra: az emberre.

A kép zavaros. De remélhetőleg mi, átlagemberek, nem akkor fogunk valami biztosat is megtudni ezekről az ügyekről, amikor valami tényleg súlyos katasztrófa megtörténik.