Lenne megoldás a KRÉTA-s és neptunos támadások ellen, csak nem használják

• Az elmúlt hetekben előbb a közoktatási KRÉTA, majd a felsőoktatási Neptun tanulmányi rendszer ellen követtek el hekkertámadást: valaki kormánykritikus, többnyire trágár üzeneteket küldött szét az érintett iskola és egyetemek felhasználóinak, azt sugallva, hogy a támadáshoz köze van a Telexnek is – természetesen teljesen alaptalanul.
• Nem arról van szó, hogy magukat a tanulmányi rendszereket feltörték, csak az érintett intézmények felületéhez fért hozzá a hekker egy-egy hallgató vagy oktató jelszavának megszerzésével. Ezzel együtt is nagy felfordulást okozott, volt, ahol több napig elérhetetlen volt emiatt a Neptun, de máshol is korlátozták a funkcióit. A rendőrség nyomozást indított.
• A cikkben végigvesszük, hogy pontosan hol és hogyan zajlott a támadás, mit lehet tudni az esetleges elkövetőről, illetve mi vezethetett a támadás sikeréhez, és hogyan reagáltak az egyetemek. Megszólal az egyik oktató is, akinek a lopott jelszavával a hekker hozzáfért a Neptunhoz.
• Szakértői segítséggel bemutatjuk, hogyan lehetne a kéttényezős hitelesítéssel csírájukban elfojtani az ilyen támadásokat, hogyan lehetne ezt bevezetni, milyen ellenérvek miatt nem történt ez eddig meg, és hogyan áll nemzetközi viszonylatban a magyar felsőoktatás IT-biztonsága.

Az utóbbi hetekben támadáshullám érte a magyar köz- és felsőoktatási informatikai rendszert is. Az első nyilvánosságra került eset április 24-én történt, amikor a Madách Imre Gimnázium KRÉTA-jához fért hozzá valaki, és egy tanári profilról küldött üzeneteket és írt be jegyeket, ugyanúgy LiL AdaM aláírással és magát telexesnek nevezve, mint a későbbi neptunos üzenetekben. Az eset után megkérdeztük az iskolát a történtekről, de nem válaszoltak, viszont kiadtak egy rövid közleményt: „A Kréta felületére eddig számunkra ismeretlen, idegen személy hatolt be. Több ezer üzenetet küldött ki, illetve jegyeket írt be, többnyire kommentárral, amiben személyes – egyes diákjainkkal összefüggésbe hozható – sérelem is állhat. A rendőrségen a feljelentés megtörtént, valószínűleg hamarosan azonosítani fogják. A téves információk törlése folyamatban van. A rendszerkritikus üzenetek mellett szerepel, hogy a tanárok mellett áll. Ezzel a cselekedetével több tucatnyi tanárnak, szülőnek és diáknak okozott kellemetlenséget és többórányi pluszmunkát.”

Ezután következett a Neptun: egymás után több egyetem tanulmányi rendszeréhez is hozzáfért az illetéktelen behatoló. Először április 26-án este jöttek az üzenetek a hallgatóknak, illetve ezekről az üzenetekről a képernyőképek olvasóinktól nekünk is, először a Budapesti Corvinus Egyetem felől, majd a következő napokban más egyetemek hallgatóitól is. A hekker ezúttal is a Telex nevében írt kormányellenes, trágár üzeneteket, de még Elon Muskot is belekeverte a történetbe, aki állítása szerint a Telexszel szövetkezve vette célba a Neptunt.

Az illető egy Twitter-oldalt is indított, de azt gyorsan lelőtte a cég. Ennek a nevében a Telex mellett a KRÉTA is szerepelt, ami szintén arra utal, hogy azonos lehet az elkövető, vagy legalábbis ezt akarja sugallni. Láthatóan követte a Redditen az első üzeneteiről indított beszélgetést is, mert Neptun-üzenetekben reagált a reddites felvetésekre, amivel persze nagy sikert aratott a Reddit-felhasználók körében: a legtöbb hozzászóló valamiféle Robin Hoodként ünnepelte az egyetemi rendszerben garázdálkodó hekkert, aki egy későbbi üzenetben már ironikus módon arról adott tanácsokat, hogyan kell jelszót változtatni, illetve biztonságosabb jelszót választani.

Némelyik kép alapján az is látszott, hogy egy-egy hallgató, illetve oktató fiókjához fért hozzá az illető, és jobbára egy legitim üzenetre írt válaszként küldte el a mondandóját. Az egyik érintett oktatót sikerült is elérnünk (a nevét és az egyetemet nem írjuk le, mert az illető maga is áldozat). Ő a Telexnek megerősítette, hogy az ő fiókjából érkeztek a kéretlen üzenetek:

„Engem a rendszergazda értesített: küldött egy levelet, hogy letiltották a belépésemet, mert valami szokatlan tevékenységet fedeztek fel. Előtte este rengeteg ilyen neptunos levelet kaptam, amiket persze nem olvastam el, mert sejtettem, hogy valami spam, de akkor még nem gondoltam, hogy mi történt.”

Ezután az adminisztrátor visszaállította a jelszavát, amelyet aztán meg kellett változatnia. Arról elképzelése sincs, hogy a korábbi jelszava hogyan kerülhetett ki. Azt mondta, ugyanazt a jelszót máshol nem használta, és miután egy ideje összetett jelszavak használatát követelik meg, jelszókezelő alkalmazást is használ, „mert egyszerűen nem lehet ezt már fejben tartani”.

Átmenetileg letiltjuk, ideiglenesen leállítjuk

Tudomásunk szerint öt egyetem volt érintett eddig. Az első áldozat a Corvinus volt április 26-án este, de még ugyanaznap elesett az ELTE és az Óbudai Egyetem Neptunja is. Őket követte 27-én a Budapesti Műszaki és Gazdaságtudományi Egyetem (BME), majd 28-án a Pécsi Tudományegyetem (PTE). Hasonló történt május 1-jén a Debreceni Egyetemen (DE) is, de mint arra majd visszatérünk, ez utóbbi kakukktojás volt.

A Corvinus másnap két közleményt is kiadott a történtekről. Az elsőben azt írták: „Egyik hallgatónk Neptun-fiókját külső támadás érte, amely következtében hallgatóink hamis üzeneteket kaptak. Az esetet azonnal észleltük és még este megtettük a szükséges lépéseket.” A másodikban bejelentették, hogy átmenetileg letiltották a Neptun üzenetküldési funkcióját: „A Neptun belső üzenetei nem érkeznek meg, és az oktatók irányából érkező e-mailek fogadására sincs lehetőség. Ameddig a rendszer működését a Neptun fejlesztő külső partnere helyreállítja, addig kérjük a hallgatókat, hogy kiemelten figyeljék a Moodle rendszert, mert az oktatók azon keresztül fognak üzenetet küldeni.”

Az ELTE a támadás miatt a teljes Neptun ideiglenesen leállításáról döntött, de másnapra már visszaállt a rend: „Az esetet az Egyetem informatikusai az éjszaka folyamán kivizsgálták, és megállapították, hogy egy ELTE-s Neptun-kóddal és jelszóval visszaélve (phishing) hamis üzenetek kerültek kiküldésre. Az érintett ELTE-polgár Neptun-hozzáférését blokkolták, és mivel a rendelkezésre álló információk alapján további incidens nem áll fenn, a rendszer webes felületét újra elérhetővé tették mind az oktatók, mind a hallgatók számára.”

Az Óbudai Egyetem „két hallgatójának Neptun-fiókját érte külső támadás”, de a közleményük alapján őket látszólag kevésbé viselte meg a dolog: „Az egyetem rendszereit semmilyen károsodás nem érte, nem történt jogosulatlan hozzáférés, a Neptunban tárolt adatok nem kerültek ki. Köszönhető a korszerű informatikai infrastruktúránknak és a magasan képzett informatikai incidenseket kezelő kollégáink azonnali beavatkozásnak, rendszereink továbbra is teljes szolgáltatást biztosítva, megbízhatóan és biztonságosan üzemelnek.”

A közleményből azonban néhány dolog kimaradt. Bár azt írják, „nem történt jogosulatlan hozzáférés”, ahogy az egyetem több hallgatója még aznap jelezte nekünk képernyőképeket is mellékelve: legalább egy hallgató fiókjához az Óbudai Egyetem Neptunjában is hozzáfértek, és onnan legalább két, tartalmában a más egyetemeken látottakhoz hasonló üzenetet szintén kiküldtek más hallgatóknak. Emellett egy belső levél is eljutott hozzánk, amelyben az oktatókkal közlik, hogy az ő részükre visszaállították a korábban biztonsági okok miatt korlátozott üzenetküldési funkciót, de „a hallgatói webes felületeken továbbra is érvényben marad a korlátozás”, a hallgatók emailben tudnak írni az oktatóknak – ez ellentmondani látszik annak, hogy „rendszereink továbbra is teljes szolgáltatást biztosítva” üzemelnek.

Pécsen másfél hétig állt a Neptun

A legrosszabbul a PTE járt, mert az ő rendszereiket több támadás is érte, amelyek ráadásul egy tervezett leállást hosszabbítottak meg. Először április 21-től 24-ig volt elérhetetlen a Neptun tervezett karbantartás miatt, ezután azonban nem tudott újraindulni 24-én. A Pécs Aktuál akkor arról írt, hogy az egyetem informatikai rendszereit a megelőző napon zsarolóvírus-támadás érte, emiatt, a további károk és az adatvesztés megelőzése érdekében több rendszert is leállítottak, többek között a Neptunt is. A PécsMa is úgy értesült, hogy hekkertámadás okozta a leállást.

Ezt egy hozzánk eljutott belső levél is megerősíti. Ebben az informatikai és innovációs igazgató értesíti az egyetem szervezeti egységeinek vezetőit arról, hogy az egyetem rendszereit támadás érte. „A helyzet súlyosságát jelzi, hogy a támadás az Egyetem működését kiszolgáló és támogató informatikai rendszerek teljes, visszahozhatatlan leállásával is járhatott volna. A támadás eszköze a már klasszikusnak mondható, napjainkban sajnos roppant elterjedt kripto zsarolóvírus. A felderítés során már találtunk arra utaló jeleket, hogy a vírus valószínűsíthetően egy kliens számítógépről került egy csoportmunka támogató (SharePoint) szerverre. Eddig nem ismert okok miatt a szerveren emelt szintű jogosultságot szerzett, és innen terjedt tovább a kártékony kód. A kollégák gyors helyzetfelismerésének és beavatkozásának köszönhetően nem terjedt végig a teljes egyetemi infrastruktúrán. […] Mivel a támadás az alapvető rendszerekben okozta a legnagyobb kárt, melyre a többi szolgáltatás épül, ezért jelenleg sajnos nem tudunk még tájékoztató jellegű időpontokat sem megbecsülni a teljes helyreállítás végleges befejezésére.”

Április 28-án aztán újraindították a Neptunt, de hamarosan megérkeztek oda is a más egyetemeken a megelőző napokban terjedő kéretlen üzenetek, így a rendszert még aznap újra leállították. Az egyetem Neptunjának nyitóoldalán egy ma már nem olvasható üzenetben azt írták, „feltételezhető, hogy egy felhasználói fiók biztonsága sérült, ezért a teljeskörű átvizsgálásig a rendszer, mind a kliens, mind a webes felületek leállásra kerültek”.

Végül május 2-án vált megint elérhetővé a Neptun, azaz a karbantartás, a zsarolóvírus-támadás és az adathalász támadás miatt kisebb-nagyobb szünetekkel összesen 10-11 napon át volt elérhetetlen, ami a vizsgaidőszak előtt különösen érzékenyen érinthette az egyetem 25 ezer hallgatóját. Ez idő alatt a vizsgajelentkezést is trükkösen tudták csak megoldani, és a szakdolgozatok-leadási és a záróvizsga-jelentkezési határidőt is kitolták. A május 2-i újraindulásról szóló üzenet szerint a rendszer még aznap sem állt teljesen helyre: „az eddigieknél biztonságosabb és stabilabb üzemeltetés érdekében” egyelőre csak magyarországi IP-címekről tették újra elérhetővé.

Semmi közöm ahhoz a szánalmas korcshoz

A Debreceni Egyetem Neptunjában is érkezett kéretlen üzenet egy oktató profiljáról, de a feladó állítása szerint a többi egyetemet ért támadástól függetlenül: „Mielőtt belevágnánk, előre felhívnám a figyelmet, hogy semmi közöm ahhoz a szánalmas korcshoz aki »liladam«-ként hivatkozott magára és az ELTE, valamit a többi egyetem Neptunjában küldözgetett üzeneteket. Miért emelem ezt ki? A Neptunos üzenetei alapján egy borzasztóan arrogáns kisgyerek akihez egyáltalán nem akarom, hogy bármi közöm legyen vagy akárcsak összekapcsoljanak vele.”

„Azoknak pedig akik dícsérik, hogy wow, milyen ügyes, nem, lófaszt. Semmi különlegeset nem csinált sem én, sem ő azért, hogy bejussunk ide, egyszerűen a fejlesztők agyán át sem futott a gondolat, hogy talán nem ártana jobban védeni az oktatók profiljait.”

„De amúgy tényleg, mi a fasznak azt? Tök felesleges, nem? Sajnálattal kell közölnöm, hogy a Debreceni Egyetem Neptunja is pont ugyanolyan biztonságos, mint a többi egyetemé, semennyire” – írta, majd egy kormánykritikus szövegfolyam következett.

A szövegek alapján valóban szembetűnő a különbség a Debreceni Egyetem Neptunjában kiküldött üzenet és a többi egyetemen terjesztett üzenet stílusa és színvonala között. Abban is különböznek, hogy míg a többi egyetemi rendszerbe bejutó elkövető fenyegető üzeneteket is írt arról, hogy mi mindent módosíthat, a debreceni azt írta: „Nem töröltem vagy módosítottam senki jegyét, egyrészt felesleges károkozás, másrészt úgyis vissza tudják állítani gyorsan szóval értelme sem lett volna.”

De ki az a LiL AdaM?

Ha már a debreceni ellenhekker is megidézte, térjünk ki röviden erre is. Ez a név nem most tűnt fel először adathalász támadásokról szóló hírekben: egy 2021-es ügyben is előkerült, amikor a KRÉTA-hoz fért hozzá illetéktelenül egy akkor 13 éves fiú. Egy esztergomi iskola diákjának küldött el egy játékprogramot, amellyel egy abban elrejtett adathalász program is települt a diák gépére, ellopva a gépen található összes jelszót, így a KRÉTA-ét is.

A két évvel ezelőtti történetben azonban volt egy csavar: kiderült, hogy az elkövető nem az Instagramon LiL AdaM néven futó, debreceni fiú, hanem egy kisvárdai, aki ellopta a nevet és a képeket az Instagramról, hogy azok felhasználásával készítsen magának egy álprofilt.

Azt, hogy a mostani ügyekben ugyanarról a fiúról van-e szó, mint két éve, vagy valaki megint ugyanazt az egyszer már ellopott nevet vette kölcsön, ennyi alapján nem lehet eldönteni. Mindenesetre próbáltuk több csatornán is felvenni a kapcsolatot az online fórumokon ezen a néven ismert felhasználóval, egyelőre sikertelenül.

A rendőrséget is megkerestük az ügyben, és többek között arra is rákérdeztünk, hogy tudomásuk szerint van-e összefüggés az akkori ügy és a mostaniak között. Azt megerősítették, hogy nyomozás indult az ügyben, azaz hivatalosan is keresik a KRÉTA és a Neptun meghekkelőjét. Múlt heti válaszuk szerint a nyomozás akkori szakaszában nem merült fel az illető neve.

Elég egy-egy jelszót megszerezni

Bár a KRÉTA és a Neptun történetileg rokonrendszerek, mert eleinte ugyanaz volt a fejlesztőjük, így a kódjukban is lehet a mai napig átfedés (ennek a hátteréről itt írtunk bővebben), ennek feltehetően nincs köze ahhoz, hogy mindkét rendszert gyakorlatilag egyszerre érte hasonló támadás, még akkor sem, ha valóban ugyanaz lenne az elkövető.

Novemberben nagy figyelmet kapott, amikor kiderült, hogy még szeptemberben feltörték a KRÉTA-t fejlesztő eKRÉTA Zrt.-t, amiről maga a cég már akkoriban tudomást szerzett. Azóta a közvélemény is fogékonyabb a KRÉTA-val kapcsolatos hekkerakciókról szóló hírekre, de fontos különbséget tenni: ahogy egy januári esettel kapcsolatban is írtuk, az ilyen támadásoknál általában nem magát a KRÉTA-t vagy a fejlesztőcéget sikerül feltörnie a támadónak, hanem egy-egy iskola KRÉTA-felületéhez tud hozzáférni, jellemzően egy ottani tanár jelszavának a megszerzésével. A KRÉTA korábbi fejlesztői akkor a Telexnek azt mondták, az ilyen esetek kis túlzással mindennaposak, nagyságrendileg havi egy ilyen történt már korábban is.

Jellemzően a gondatlan jelszókezelés vezethet oda, ha például egy tanár jelszava illetéktelen kezekbe kerül. Ennek klasszikus példája a monitorra ragasztott cetlin tárolt és onnan könnyedén leolvasható jelszó, illetve az egyszerűen kitalálható, 1234 jellegű jelszavak, de az is elég, ha az illető bejelentkezve marad valamilyen fiókjával egy közös használatú számítógépen, vagy ha önhibáján kívül érintett egy korábbi adatszivárgásban. Az eddigi információk alapján hasonló történhetett az újabb KRÉTA-s és a több neptunos esettel kapcsolatban is. Ahogy a támadások utáni közleményekből is kiderült, egyetemenként egy-két felhasználó volt érintett, az ő jelszavukat szerezte meg valahonnan a támadó. Némelyik levelében ő maga is arra utalt, hogy kiszivárgott ELTE-s bejelentkezési adatokhoz jutott hozzá, de egyelőre nem tudni, valóban így történt-e.

Egyébként a már említett 2021-es eset, amelyben a LiL AdaM név is előkerült, szintén jó példa arra, hogyan működik a zsonglőrködés az innen-onnan összehalászott személyes adatokkal. A rendőrség akkori Facebook-bejegyzése szerint „lefoglalták a fiatalkorú elkövető SSD-kártyáját és mobiltelefonját, és kiderült, hogy lejárati dátumokkal és biztonsági kódokkal együtt szerzett meg bankkártyaadatokat. Netflix-, Facebook- és 40-50 Discord-felhasználó kódjával tevékenykedett a világhálón” – írták az akkor 13 éves fiúról.

A KRÉTA és a Neptun elleni támadásokról megkérdeztük Krasznay Csaba kiberbiztonsági szakértőt, a Nemzeti Közszolgálati Egyetem adjunktusát is. „Az elmúlt nagyjából fél évben, ősz óta kimondottan aktívan támadják a magyar felhasználók fiókjait, ez az apróhirdetési oldalaktól kezdve mindenhol látszódik. Ami nem túlságosan meglepő, tekintettel arra, hogy a Haveibeenpwned oldala alapján világszerte nagyjából 12,5 milliárd lopott felhasználónév és jelszó kering. Viszont nem lehet nem észrevenni, hogy ezek a támadások nagyon-nagyon megszaporodtak. Ez valószínűleg annak is betudható, hogy az adathalász támadások, a sokkal jobb fordítóknak köszönhetően – a DeepL-re gondolok itt konkrétan vagy éppen a ChatGPT által legenerált adathalász levelek szövegére –, jobban célba tudnak érni, mert a nyelvi akadályokat könnyebben le lehet győzni.

Ebbe a sorba tökéletesen beleilleszkedhet az, hogy a felsőoktatási rendszert támadják, hiszen az alapvetően jelszóalapú. Tehát mi kell ahhoz, hogy be tudjak lépni? Kell hozzá ugye egy Neptun-kód, meg kell hozzá egy jelszó.”

„Ha a Neptun-kódot és a nevet vagy az emailcímet össze tudom valahogy kapcsolni, akkor valószínűleg már fogok valamilyen adatszivárgásból származó jelszót találni valami adatbázisban.”

„A másik, hogy egyetemi oktatóként el tudom mondani, hogy nem egyszer volt már szerencsém úgy elindítani az órámat, hogy megnyitottam a böngészőt, ami valakinek a nevében éppen be volt lépve, tehát mondjuk egy komplett Google-profil volt elmentve, és akkor onnantól kezdve már nem olyan nagy varázslat az ott lementett jelszavakat megtekinteni. És ezzel tudom, hogy a hallgatók nagyon szívesen játszanak, mert a tanári gépek jellemzően védtelenek” – mondta Krasznay.

Tartalmazzon nagy betűt és legalább egy számot

Az érintett egyetemek hasonló módon reagáltak a támadásra: a legtöbbjük vagy a teljes Neptunt állította le ideiglenesen, vagy az üzenetküldési funkciót korlátozta. Utóbbi egyébként nem először ad teret visszaélésnek: januárban írtunk arról, hogy valaki baboslecsóreceptet és más, a felsőoktatási ügyekhez viszonylag lazán kapcsolódó tartalmakat küldött szét a rendszer felhasználóinak az Óbudai Egyetemen. Az egyetem akkori reakciója szerint abban az esetben nem támadás állt a történtek mögött, csak egy rossz beállítás: egy üzenetnél „nem volt a Válasz tiltása bejelölve, és így mindenki, aki megkapta az üzenetet, tud rá válaszolni, és azt minden címzett megkapja. A fejlesztőkkel felvettük a kapcsolatot a probléma megoldása érdekében.” Februárban az ELTE-n történt hasonló, akkor a hallgatók többek között a 22-es busz megállójában található, herélt kutyáról értesülhettek a Neptunon keresztül.

A reakciókban az is közös volt, hogy az egyetemek vagy kötelezően jelszót cseréltettek a felhasználókkal, vagy új jelszó beállítására ösztönöztek. Több helyen javaslatokat is tettek arra, hogyan érdemes erősebb jelszót választani, illetve volt, ahol szigorították is a beállítható jelszóra vonatkozó követelményeket, például a PTE-n. Emellett például az Óbudai Egyetem az eset után bevezette a Neptun belépési oldalára a reCAPTCHA-t, amely ellenőrzi, hogy valódi ember akar belépni az oldalra, és nem valamilyen automatizmus próbálkozik – bár ez csak a gyenge jelszavakra menő jelszópróbálgató robotokat állíthatja meg, egy ellopott jelszóval belépő hekkert pont nem.

Mindemellett a legtöbb egyetem felhívta a figyelmet arra, hogy senki ne ossza meg mással a Neptun-jelszavát, illetve ne használja azt máshol, az illetéktelen behatoló által küldött üzenetekre pedig ne válaszoljon.

Ami viszont egyelőre nincs a láthatáron, az a Neptun-fiókok erősebb védelme, hogy ne lehessen egy-egy innen-onnan ellopott jelszóval telespammelni és ezzel közvetve megbénítani egy egyetem komplett tanulmányi rendszerét.

Lenne mivel jobban védeni

Már a korábbi KRÉTA-s esetek után is rendre felmerült szakmai és laikus körökben is, hogy egy ilyen fontos rendszernél, amely több tízezer diák adatait kezeli, miért nem elérhető erősebb védelem legalább a szélesebb körű hozzáféréssel rendelkező tanári fiókok esetében. Ez most a Neptun-ügy nyomán is legalább ilyen aktuális kérdés, mert az nyilvánvalóan nem ideális, hogy egyetlen jelszó megszerzésével ilyen szintű hozzáférést lehet szerezni, illetve ekkora felfordulást lehet okozni.

A fiókok védelmének megerősítésére a legkézenfekvőbb megoldás a ma már egyre elterjedtebbnek számító kéttényezős hitelesítés (más névváltozatban kétfaktoros autentikáció, 2FA vagy MFA). Ennek a lényege, hogy ha be akarunk lépni a fiókunkba, nem elég beírni a jelszót, szükség van egy második azonosítási módra is. Ez többféle lehet, régen főleg a ma már kevésbé biztonságosnak ítélt, de még ma is elterjedt sms-kód volt használatban; manapság a leggyakoribb az a módszer, hogy egy mobiltelefonos kódgeneráló alkalmazásból kimásolt, rövid ideig érvényes számsort kell megadni; de vannak kódmentes megoldások is, mint amikor a telefonra érkező értesítést kell csak leokézni; vagy amikor egy hardverkulccsal – egy USB-csatlakozóba bedugható vagy vezeték nélkül a gépünkhöz kapcsolódó kis kütyüvel – igazolhatjuk magunkat. Mindegyik módszerben az a közös, hogy egy plusz védőfalat húz a fiókunk elé, így hiába szerzi meg valaki a jelszavunkat, csak azzal nem tudja feltörni a fiókot.

Azt írtuk, egyre elterjedtebbnek számít a kéttényezős hitelesítés, és elég csak a nemrég szigorított netbankos és bankkártyás azonosításra gondolni ahhoz, hogy ezt alátámasszuk – az elterjedtsége azonban még így is viszonylag szerény ahhoz képest, hogy manapság hányan lépnek be nap mint nap több különböző fiókjukba a neten. Pedig a legtöbb népszerű szolgáltatásban a Gmailtől a Facebookig elérhető választható opcióként a 2FA.

A KRÉTA-ban és a Neptunban viszont egyáltalán nincs ilyen lehetőség.

Mi sem jellemzi jobban ezt a helyzetet, mint az a bizonyos 2021-es rendőrségi Facebook-bejegyzés a KRÉTA-jelszót ellopó 13 éves hekkerről: „Kiderült, hogy a rejtélyes LiL AdaM megszerezte a diák számítógépén elmentett összes felhasználónevet, így tudott belépni a KRÉTA-rendszerbe. Az elektronikus levelezésbe és az említett VanityEmpire játékba már nem nyert bebocsátást, mert azoknak erősebb volt a védelmi rendszerük” – azaz a közoktatási tanulmányi rendszerbe könnyebb volt bejutni, mint egy online játékba, pedig mindkettőhöz volt lopott jelszó.

Na de miért nem védik jobban a KRÉTA-t és a Neptunt?

Erről a kérdésről a korábbi KRÉTA-s esetek után több volt KRÉTA-fejlesztővel is beszélgettünk, és az ő véleményük sem volt egységes. Ennek az az oka, hogy mint általában a IT-biztonsági kérdésekben, itt is kényes az egyensúly a biztonság és a használhatóság között: pusztán technológiai szempontból egyértelmű, hogy minél több biztonsági réteget építenek egy rendszerbe, annál jobb, de ha ettől az adott rendszert épp a célközönsége tudja nehezebben használni, akkor mérlegelni kell, hogy minek mekkora a kockázata.

„Az utóbbi években gyakori, hogy kikerül egy-egy tanár jelszava, amivel valaki visszaél. Ezt mindig lerázza magáról mindenki mint »egyedi« eset. Tanári hibaként van elkönyvelve az is, hogy a jelszavak túl egyszerűek – megváltoztatjuk őket, és akkor minden rendben van. Mindig az a vége, hogy a KRÉTA megvédi magát, hogy hát a tanárok nem értenek hozzá, és rendszerhiba nincs” – mondta az egyik egykori KRÉTA-fejlesztő.

„Véleményem szerint hiba nincs, de hiányosság van. Ami nem is elhanyagolható.”

Mint mondta, a kéttényezős hitelesítés kötelezővé tételét a tanárok hiányos informatikai kompetenciái miatt ellenezték a cégnél, mert attól tartottak, hogy „a rendszert fogják hibáztatni, ha a tanárok ügyetlenek és nem tudnak belépni.” Ennek ellenére szerinte mégis érdemes lenne bevezetni a plusz biztonsági funkciót, mert a tanári jelszavakkal nemcsak vicces üzeneteket lehet szétküldeni, hanem érzékeny adatokhoz is hozzá lehet férni: „El lehet bagatellizálni ezt a helyzetet. Ki lehet nevetni a tanárt, hogy miért az a jelszava, hogy 123456. Le lehet söpörni a dolgot, mert »nem rendszerhiba«. De ha a behatoló rossz szándékú, akkor akár olyan adatokat is megszerezhet, hogy egy diák hol lakik, mi a bankszámlaszáma és milyen fogyatékossága van.”

„Ezeket az ellenérveket én is hallottam sokszor egymás után – mondta Krasznay Csaba. – Jó példa az Ügyfélkapu: 2004-ben volt egy publikáció, amiben leírtam, hogy problémás az, hogy az akkor frissen létrejött Ügyfélkapunál nincsen erős autentikáció. Végül 2022-ben vezették be az erős autentikációt, úgy, hogy egyébként tudom, hogy maga a háttérrendszer nagyjából 2010 óta készen áll. És az indok nagyon hasonló volt.” Egyébként az is jól jellemzi a helyzetet, hogy feltehetően ma is kevesen tudják, hogy egyáltalán létezik az Ügyfélkapuban ilyen kéttényezős belépési lehetőség Ügyfélkapu+ néven.

„Az iparági aranyszabály a következő szokott lenni. Valóban minden hitelesítési megoldásnak van egy bevezetési ciklusa. Ez alatt azt értem, hogy valóban rengeteg adminisztrációs energiát, erőforrást szokott magával hozni az, hogy a kizárt felhasználókat valahogy beengedjék. Nem véletlen, hogy erre bődületesen drága megoldásokat hoztak az automatizáció érdekében a nagyvállalatoknál. Viszont ott, ahol a műszaki lehetőség erre adott, ott egy opcionális megoldást is létre lehet hozni, mint az Ügyfélkapu esetében. Tehát aki akarja, azt használja. Fontos lenne, hogy ezeknél a nagy felhasználói bázissal rendelkező szolgáltatásoknál legalább az opcionális bevezetés megjelenjen. Illetve azt szokták még csinálni, hogy olyan felhasználói csoportokat, akik képesek jól használni ezt a megoldást, tesztelésből ráengednek, majd utána újabb és újabb felhasználócsoportoknak nyitják meg az erős autentikációt, és ezzel szépen terjed el maga a kultúra” – mondta Krasznay.

„Azt el tudom fogadni, hogy eddig istenigazából nem volt indok arra, hogy az erős autentikációt bevezessék, mert nem voltak olyan vélt vagy valós incidensek a KRÉTA-val vagy a Neptunnal szemben, amik indokolttá tették volna ennek az egésznek a bevezetését, mert azért bődületes licencköltségek tudnak lenni a háttérben, illetve fölmerül egy csomó adatvédelmi kérdés. Ma már a kódgenerátorok nyílt szabvány alapján működnek, de ez nagyon sokáig nem így volt. Most vált alkalmassá a technológia. Illetve most van az, hogy amúgy egyre többen használnak erős autentikációt például a netbankok miatt, tehát megszokottá vált az, hogy felugrik valami kis figyelmeztetés.”

„Ez egy szerencsétlen helyzet abból a szempontból, hogy előbb történik probléma, és utána kell rapid módon valami megoldást hozni. A megoldás nyilván az lenne, hogy igenis be kell dobni az erős autentikációt,

először opcionálisan, illetve kockázatalapon azoknál a felhasználóknál, akiknek nagyon mély hozzáférésük van, kötelezően. Ez kezelhető, megvan rá az iparági tudás, hogy hogyan kell ezt csinálni” – mondta Krasznay Csaba.

Az, hogy maga egy ilyen megoldás bevezetése mennyi munkával járna, nagyban függ a konkrét rendszertől is. „A Neptun esetében azt vegyük hozzá, hogy egy több mint 25 éves rendszerről van szó, és nagyon sok mindent kellhet összereszelni ahhoz, hogy ez működjön, tehát egyáltalán nem biztos, hogy ez annyira triviális, mint amilyennek tűnik.”

Természetesen a Neptunt fejlesztő SDA Informatika Zrt.-t is megkerestük, és többek között azt is megkérdeztük tőlük, hogy felmerült-e akár korábban, akár most, a friss esetek után, hogy bekerüljön a Neptunba a kéttényezős hitelesítés, akár kötelező jelleggel, akár opcionálisan, az adott egyetem vagy a felhasználók által aktiválható szolgáltatásként. Arról is érdeklődtünk, hogy ha felmerült ilyen fejlesztés, akkor van-e konkrét terv a bevezetésére, és ha igen, mikor történhet ez meg. Cikkünk megjelenéséig semmilyen választ nem kaptunk.

Egyébként úgy tudjuk, a Corvinuson fut egy projekt, amelyben tesztelik a kéttényezős hitelesítést, de ez nem a Neptunra vonatkozik (hiszen azt feltehetően a rendszer fejlesztője tudná beletenni a Neptunba), hanem a dolgozók Microsoft-fiókját védi, és azt is csak akkor, ha az egyetem védett hálózatán kívülről próbálják elérni (azaz ha az egyetemen kívülről, de nem az egyetemi hálózat távoli elérését lehetővé tevő VPN-szolgáltatáson keresztül próbál valaki bejelentkezni). A tesztprojektről szóló belső tájékoztató szerint ezt a biztonsági szolgáltatást a teszt tapasztalatai alapján a teljes egyetemen tervezik majd bevezetni, bár az nem világos, hogy opcionálisan vagy kötelező jelleggel.

Nem jó, de nem is tragikus

Az egy gyors netes keresés alapján is látszik, hogy számos nyugati egyetem vezetett már be több-kevesebb szolgáltatására kéttényezős hitelesítést, például a Chicagói, Aucklandi, Oslói, Utrechti, Illinois-i, York-i, Cincinnati-i, Tennessee-i, Rochesteri, Washingtoni, Manchesteri vagy a londoni City Egyetem. Ennek ellenére Krasznay Csaba szerint nemzetközileg sem igazán elterjedt még a felsőoktatásban ez a megoldás.

„A felsőoktatás tipikusan egy olyan terület, aminek nincsenek információbiztonsági jogszabályi követelményei. Magyarországon is a felsőoktatási intézmények túlnyomó többségében nincsen olyan jogszabály, ami előírná, hogy biztonságot kell csinálni. A Közszolgálati Egyetem ebből a szempontból például azért kivétel, mert nevesítve benne van az információbiztonsági törvényben. De a legtöbb felsőoktatási intézményben, és ez a világon mindenhol így van, gyakorlatilag nincs ilyen jogszabályi előírás. Attól függően, hogy anyagilag mennyire vannak eleresztve, nagyon változó a helyzet, de hozzátartozik, hogy amúgy a felsőoktatást érő informatikai biztonsági incidenseknek a számossága is az elmúlt években, különösen egyébként a Covid alatt, a távoktatás miatt kezdett el megemelkedni, tehát nem igazán volt indokuk az egyetemeknek arra, hogy erre érdemben költsenek” – mondta.

„Mindenhol próbálnak most nyilván utánamenni ennek az egész helyzetnek, de nem kell azt gondolni, hogy Magyarország borzasztóan tragikus helyzetben lenne.

Az egyik doktoranduszom pont most ebből írja a doktori disszertációját, és nagyon alaposan fölmérte azt, hogy mi a helyzet Magyarországon, Európában és a világban felsőoktatási információs rendszerekkel. Azt kell, hogy mondjam, hogy egyáltalán nem vagyunk ebben rossz helyzetben mondjuk az európai viszonylatban.”

Krasznay Csaba szerint ennek történeti okai is vannak: „A nagy felsőoktatási intézményekben az információbiztonságért felelős személyek egy viszonylag szűk kört alkotnak, és gyakorlatilag évtizedek óta együttműködnek. Ott van például a magyar felsőoktatás incidenskezelésére létrehozott úgynevezett CERT (Computer Emergency Response Team). Ez ma a KIFÜ-nél, a Kormányzati Informatikai Fejlesztési Ügynökségnél van, de ez eredetileg valahol a kilencvenes évek második felében indult el, tehát ennek az egésznek van hagyománya. Nyilvánvalóan nem ez a legnagyobb prioritás, de azért itt formálisan és informálisan is egészen jól össze van rakva a magyar felsőoktatás információbiztonsága.”

Annak, hogy a felsőoktatás vagy – ami a mostani neptunos incidens szempontjából különösen fontos – a felsőoktatásnak beszállító cégek nincsenek szorosabb biztonsági felügyelet alatt, Krasznay szerint elsősorban jogszabályi hiányosság az oka. „A Nemzeti Kibervédelmi Intézet a jogszabályi státusza alapján jól meghatározott intézményi kör incidenskezelésében tud részt venni. A felsőoktatás vagy éppen a felsőoktatásnak bedolgozó cégek ebben a jogszabályi körben nincsenek benne, kivéve, hogyha az a néhány egyetem érintett, aki az információbiztonsági törvényben nevesítve van. Ez azt jelenti, hogy ha történik egy ilyen incidens, akkor nyilván informálisan próbálnak segíteni, amennyire lehet. Megindul a nyomozás, foglalkoznak a dologgal, de jogszabályilag jelen pillanatban nem igazán van ez a kör lefedve.”

Ebben azonban Krasznay szerint változást fog hozni az Európai Unió új kiberbiztonsági irányelve, az úgynevezett NIS 2, amely idén január 16-án lépett életbe, és a tagországoknak 2024. október 17-ig kell átültetniük, azaz onnantól kell majd alkalmazni. „Addig ott a KIFÜ CERT, aminek a felsőoktatás valamiféle védelme a feladata, de ez nem egy jogszabályban lefektetett védelem, nem jogszabályi kötelezettség ezt csinálni. Mondjuk úgy, hogy az organikus fejlődés útján itt ragadt ez a szervezet az elmúlt 30 évben – nyilván ennek megfelelő finanszírozással és lehetőségekkel.”

Ehhez a cikkhez fizetett együttműködés keretében az Alrite beszédfelismerő (speech-to-text) megoldást használtuk.