A „román” „»hacker«”, aki töri a románt, és nem nagyon tudja, hogy kell hackelni

külföld
2016 július 28., 07:25

Úgy töri az anyanyelvét, mintha csak egy ingyenes fordítószoftvert használna, teljesen értelmetlen technikai leírást ad arról, hogy hogyan törte fel a célpontját, szivárogtatásai látványosan szolgálják az orosz propagandát, és a jelek szerint a semmiből került elő pont akkor, amikor hirtelen szükség lett egy hackerféleségre, hogy elterelje a gyanút az orosz titkosszolgálatokról. Ő a magát Guccifer 2.0-nak nevező és románnak valló hacker, aki

inkább tűnik egy olyan lónak, amit bizottság tervezett, mint valódi személynek.

Talán mert a legvalószínűbb, hogy valóban egy bizottság tervezte.

Egy egyáltalán nem orosz román

Guccifer 2.0 azt próbálja elhitetni magáról, hogy ő az az Oroszországtól teljesen független, magányos hacker, aki feltörte az amerikai Demokrata Párt központja, a DNC számítógépes hálózatát, hogy az onnan szerzett dokumentumokat merő altruista jóindulatból és/vagy az illuminátusok elleni szabadságharc keretében nyilvánosságra hozza, de nem ám azért, hogy ezzel Donald Trump választási esélyeit javítsa. De a nyomok és nyilvános megszólalásainak összefüggéstelenségei alapján sokkal valószínűbbnek tűnik, hogy Guccifer nem egy ki, hanem egy mi:

egy elterelő hadművelet (amerikai kémzsargonban tagadás és megtévesztés, DnD).

Hogy miért? Ehhez kicsit visszább kell menni az időben, pár hónappal a kiszivárogtatások előttre. Azt, hogy a DNC számítógépes rendszerét feltörték, bő két hónapja tudjuk. Ekkorra végezte el a rendszer átvilágítását a CrowdStrike, amely a nyomok alapján egyértelműen két, egymástól független hackercsoportot azonosított behatolóként:

az APT28-at és az APT29-et.

A kiberbiztonsági iparban az APT (Advanced Persistent Threat, Fejlett Folyamatos Veszélyforrás) megjelölést nemzetállami hackercsoportokra, vagyis hivatásos titkosszolgálati munkatársakra használják. A 28-as és a 29-es APT-t pedig korábban már az orosz katonai hírszerzéshez, a GRU-hoz kötődő csoportként azonosították. A CrowdStrike június 15-én hozta nyilvánosságra a jelentését.

Guccifer 2.0 valamivel ezután született meg, a jelek szerint elég nagy kapkodás közepette.

Hogy mi alapján következtetnek erre a szakértők? A legárulkodóbb bizonyítékot maga Guccifer 2.0 szolgáltatta eddigi nyilatkozataival.

Guccifer 2.0 azt állítja, hogy névrokonához, a méltán világhírű, és jelenleg amerikai börtönben ülő Gucciferhez, vagyis Marcel Lazarhoz hasonlóan román. (Az eredeti Guccifer örökké hősöm marad, neki köszönheti a világ, hogy megismerhette George W. Busht, a naív festőt.) Viszont amikor a Motherboard chatinterjút készített vele, és a kérdező váratlanul románra váltott, furcsa dolog történt. A „román” „»hacker«” érezhetően meglepődött, és

a román kérdésre olyan, nyelvtani hibáktól hemzsegő tört románsággal válaszolt, mintha Google Translate-ből fordított volna oroszról, vagy valami más szláv nyelvről.

Mondjuk attól, hogy nem román, hacker még lehetne. Nyilatkozataiban például rendre hivatkozik kifinomult képességeire és szaktudására, csakhogy, amit mond, annak nem sok értelme van – mármint nem szerintem, hanem a ThreatConnect kiberbiztonsági cég elemzői szerint. Az elemzők úgy vélik, hogy Guccifer 2.0

totális hülyeségeket beszél, amikor "feketepiacról beszerzett trójai-szerű vírusról" írkál,

mert egy kártékony kód vagy trójai, vagy vírus, ha pedig netán mégis egy vírustulajdonságokkal – vagyis önmaga replikálására képes – trójai volna, akkor semmi szükség nem lett volna rá, hogy Guccifer2 saját elbeszélése alapján „észrevétlenül” és „lélegzetelállítóan” PC-ről PC-re ugrálva meneküljön a DNC rendszerét átvilágító CrowdStrike szakemberei elől, pláne nem vesztette volna el a hozzáférését csak azért, mert újraindították a DNC szervereit.

A ThreatConnect szerint annak se sok értelme van, amit a betörésről magáról ír. Guccifer 2.0 azt állítja, hogy egy ún. 0-day sebezhetőséget talált. Ez szerinte „nehéznek tűnhet, de egy igazán jó szakembernek, aki ügyesen fuzzol, van IDA Pro disassemblere és WinDbg debuggere, csak idő kérdése”. Ez egy átlagos olvasónak, de még egy lelkes érdeklődőnek is nagyon meggyőzően hangozhat: van benne érdekes szakkifejezés (fuzzing: a rendszerek feltöréséhez használható szoftverhibák megtalálása és azt kihasználó kódok fejlesztése), és elhangzik két szoftver neve, amivel az, aki valaha olvasott már hackerkedésről, találkozhatott.

Na, de mit mondanak erről azok, akik értenek is a hackeléshez? Hát azt, hogy ez így lehetetlen. A pontos technikai részletek iránt érdeklődőknek melegen ajánlom a ThreatConnect vonatkozó blogposztját, itt és most legyen elég annyi, hogy Guccifer 2.0 állításával szemben

  • a két megnevezett programot, az IDA Pro-t és a WinDbg-t magára valamit is adó hacker nem használja fuzzolásra, mert vannak erre alkalmasabb eszközök;
  • egy olyan hacker, aki képes 0-Day támadásra, valószínűleg saját, külön a célponthoz fejlesztett eszközt használna fuzzolásra.

És ez még csak a kisebbik probléma, Guccifer 2.0 ugyanis azt állította, hogy a DNC Kubatovlista-gyártó szoftvere, az NGP VAN VoteBuilder hibáját használta ki. Ami a ThreatConnect szerint két okból is furcsa.

A 0-Day, vagyis egy programban létező, még ismeretlen és nem javított, támadásra használható sebezhetőség a hackerek szent grálja, amiknek a megtalálására viszonylag kevesen képesek. Ilyen hibákat ezért általában sokak által használt, széles körben elterjedt szoftverekben szoktak keresni, mert az éri meg a leginkább, nem pedig egy elég szűk piacra szánt szoftverben. Másrészt az NGP VAN VoteBuilder egy felhő alapú szolgáltatás, vagyis nincs a helyi gépen tárolt bináris kódja, amit fuzzolni lehetne.

Ez így talán kicsit bonyolult. Maradjunk annyiban, hogy a szakértők szerint

azt és úgy, ahogy Guccifer 2.0 állítja, képtelenség megcsinálni.

Belesimul az orosz propagandába

De nemcsak a szakmai háttérrel vannak bajok, hanem magával a sztorival is. Guccifer azt állítja, hogy a célja az illuminátusok leleplezése. Ehhez képest az eddig nyilvánosságra hozott dokumentumok, bár okoztak némi felhorgadást Bernie Sanders hívei körében, nem igazán érdekesek. A Vocativ például nem is közölte azokat a dokumentumokat, amiket Guccifer 2.0 dedikáltan nekik küldött, mert semmi különös nem volt bennük.

Külön vicces, hogy Guccifer 2.0 maga is háborog azon a nyilatkozataiban, hogy a médiát nem igazán érdeklik a leleplezései. „A sajtó szép lassan elfeledkezik rólam” – panaszolta a kiszivárogtatott dokumentumokat elsőként közlő The Hillnek. Annak a lapnak, aminek a július 18-án megjelent cikkére szinte a teljes világsajtót megelőzve csapott le az MTI washingtoni tudósítója, a Magyarországot érintő fontos hírekről néha csak kisebb-nagyobb késéssel tudósító Járai Judit, aki már a múlt kedden összefoglaló cikket írt róla.

Mindezek alapján nagyon valószínűnek tűnik, hogy

Guccifer 2.0 nem létezik, csak a lebukás után teremtették meg kapkodva és hanyagul, hogy eltereljék a gyanút a valódi elkövetőkről, az orosz katonai hírszerzéshez köthető két hackercsoportról.

És hogy mi lehetett ezzel a cél? Az, amit Guccifer 2.0 eddig művelt, kényelmesen beleilleszthető az új orosz propagandába, aminek a célja már nem egy alternatív valóságolvasat megteremtése, hanem a nyugati olvasatok valóságosságának megkérdőjelezése, a nyugati közvélemény elbizonytalanítása. Illetve vannak olyan részletek, amiknek a nyugati közvélemény befolyásolásában nincs jelentőségük, viszont annál inkább használható belföldi propagandára Oroszországban. Például annak, hogy hány, magát LGBT-ként meghatározó személy támogatta anyagilag Hillary Clinton kampányát, az USA-ban semmi jelentősége, a homofób orosz állami propaganda viszont jól használhatja belföldön.

Arra is van némi esély, hogy a szivárogtatások java még hátra van. Elképzelhető ugyan, hogy a DNC szerverein kizárólag ilyen viszonylag érdektelen dolgokat – régi donorlistákat, kicsit kellemetlen emaileket – tartottak, de elég valószínűtlen. Ebből a ThreatConnect szerint két dolog következhet:

  • az igazán értékes dokumentumokat nem is akarják kiszivárogtatni, mert azokat jobban hasznosíthatja a titkosszolgálat;
  • később, valószínűleg a választás előtti napokban akarják kiszivárogtatni, hogy a lehető legnagyobb hatást kiváltva akár a választás végeredményét is befolyásolják.

Guccifer 2.0 pedig még hasznos lehet a jövőben a nyugati újságírókkal most kiépített kapcsolatai miatt is, illetve tanulhatnak is a most elkövetett hibákból: legközelebb jobban odafigyelnek a fiktív hackerük háttértörténetére – „legendájára” –, hogy ne legyen ennyire nyilvánvaló a kamu. Mondjuk legalább arra, hogy az álhacker blogján posztolt dokumentumokon az utolsó módosítást ne egy „Феликс Эдмундович” nevű, nevével a szovjet politikai rendőrség, a KGB-előd Csekát alapító Feliksz Edmundovics Dzerzsinszkijre utaló személy végezze.

Különben is, le lehet szállni az igazi Gucciferről, aki előtt ezzel a gyönyörű Bush-önarcképpel tisztelegnék, amit neki hála ismerhettem meg:

Kommentek

Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.