Nemrég mind a bankszakmát, mind az információbiztonsággal foglalkozó vállalkozásokat megrázta, hogy egy támadás során jórészt csak a szerencsén és az éberségen múlott, hogy a crackerek nem jutottak hozzá több százmillió dollárhoz egy központi bank rendszeréből.

Ahogy az IT café is megírta, a támadók bejutottak a bangladesi bank rendszerébe, és ott megszereztek több, a pénzátutaláshoz szükséges azonosítási adatot. Ezt aztán arra használták fel, hogy rövid idő alatt több tucat átutalási kérést küldjenek New Yorkon át, melyben az utalás célpontjaként Fülöp-szigeteki, illetve Srí Lanka-i pénzintézeteket jelöltek meg. A teljes, közel egymilliárdos lekérés két okból nem valósult meg: egyrészt mert a támadók elgépeltek két karaktert, másrészt pedig a bankközi rendszer beépített biztonsági funkciói miatt, amelyek azért vannak, hogy a nagy összegű átutalásoknál külön ellenőrzéseket futtassanak le.

Az ügy kivizsgálása azóta is folyik, és az érintett, bangladesi rendőrség, valamint a bank alkalmazottai azt közölték, hogy jelenlegi eredményeik szerint a bankközi tranzakcióknak platformot adó SWIFT (Society for Worldwide Interbank Financial Telecommunication), pontosabban az e rendszert implementáló szakemberek hibájából jöttek létre azok a sebezhetőségek, melyek a behatolást, így az érzékeny adatok megszerzését lehetővé tették.

Mohammad Shah Alam, a nyomozás vezetője azt nyilatkozta, hogy a biztonsági rések akkor teremtődtek meg, amikor az informatikusok összekapcsolták Banglades első, szabványos valós idejű bruttó elszámolási rendszerét (real time gross settlement system – RTGS) a SWIFT-tel. A nyomozás vezetője konkrét részleteket nem árult el, csak annyit mondott, hogy az implementáció nagyon sok hibát tartalmazott, így több olyan rés is maradt, melyen át egy támadó bejuthatott, és erős a gyanú, hogy több biztonsági előírást is megszegtek.

Egyszerűbben fogalmazva: a banki elszámolás rendszerét úgy kapcsolták össze a nemzetközi speciális hálózattal, hogy az ott zajló adatfolyamba kívülről is be lehetett lépni: ha valaki az alacsonyabb szintű rendszerben megszerzett egy jelszót, azzal be tudott lépni a magasabb szintű folyamatokba is, mivel az átjárásokat nem védte biztonsági protokoll.

De ki a felelős?

A bangladesi bank képviselője szerint a telepítést végző SWIFT felelőssége az, hogy ha egy alrendszer csatlakozik hozzájuk, akkor ellenőrizzék a megbízhatóságot, vagyis hogy a kommunikáció az előírt szigorú biztonsági intézkedéseknek megfelel-e. A SWIFT képviselői ezeket a vádakat egyelőre nem kívánták kommentálni.

A történet azért nagyon súlyos, mivel ha a SWIFT beüzemelésekor ilyen súlyos emberi hibák történhetnek, az komoly bizalmi válsághoz vezethet abban a világban, ahol a pénzmozgás ma már gyakorlatilag elektronikus. Ha a globális biztonságot ígérő SWIFT megbízhatóságán csorba esik, annak roppant komoly következményei lehetnek.

Ismétlés

A Reuters beszámolója szerint a helyi bankok és a jegybank közötti tranzakciókat lehetővé tévő RTGS-t a bangladesi központi bankban tavaly októberben vezették be, illetve kötötték össze a nemzetközi pénzforgalmat biztosító SWIFT-tel. Az egymilliárdos lopást megcélzó támadás idén februárban történt. A nyomozás szerint valami alapvető hibát követhettek el a modernizáció során, ugyanis a központi bank több ezer számítógépe vált elérhetővé a publikus internetről, egyben a SWIFT-hez való kapcsolódás is nyílttá vált – holott az ilyen intézményeknél egy kívülről hozzá nem férhető helyi hálózat (LAN) felállítása az alapszabály. Emellett akkor is hibát követtek el, amikor az RTGS és a SWIFT között nem építettek ki a támadások kiszűrésére szolgáló tűzfalat, a két hálózat közötti kapcsolatot egy régi, messze nem biztonságos technológia segítségével oldották meg.

És még nincs vége. A vizsgálat szerint a SWIFT implementációja során a technikusok ideiglenesen egy vezeték nélküli kapcsolatot hoztak létre a SWIFT és a banki rendszer között, ám ezt a munka végeztével nem kapcsolták le, és ez a kapcsolat csak egy nagyon egyszerű jelszóval volt védve. Ott is hibáztak, hogy az egyik SWIFT-hez kapcsolódó számítógépen elfelejtettek letiltani egy USB portot, ami igen-igen nagy kockázati tényező, ha valaki oda helyez be egy fertőzött pendrive-ot. (Meg nem erősített hírek szerint ezt a portot használták is.)

A bangladesi bank korábbi vezetője azt nyilatkozta, hogy a SWIFT implementációja során tapasztalható hiányosságok példátlan hanyagságról árulkodnak.