Frész Ferenc a Tisza adatbotrányáról: Számomra nem tűnik egyértelműen feltörésből származó adathalmaznak, inkább manipuláltnak, összeállítottnak tűnik
200 ezer felhasználó adatai kerülhettek ki a Tisza Világ applikációból, és ez most a legerősebb kampánytéma. Orbán Viktor azt állítja, átvizsgálták a kiszivárgott adatokat, és megállapították, hogy azok Ukrajnába kerülhettek, ami nemzetbiztonsági kockázat. A miniszterelnök azonnali vizsgálatot rendelt el. A kormánypárti sajtó pedig már azzal riogat, hogy akár a regisztrálók bankkártyaadatai is az ukránoknál lehetnek. Magyar Péter szerint nem adatszivárgás történt, hanem adatlopás. A rendszereiket hónapok óta támadják, és ez orosz mintát követ. A Tisza Párt elnöke szerint a hatalomnak állhatott érdekében az applikáció feltöretése, hogy így bizonytalanítsák el a Tisza-szavazókat, és akadályozzák meg az előválasztást, amihez épp ezt a felületet használták volna. Magyar Péter szerint ennek ellenére az előválasztást megtartják.
Hogyan lehet kideríteni, mi az igazság? Ki állhat az adatszivárogtatás vagy az adatlopás mögött? Erről beszélgettünk Frész Ferenc kiberbiztonsági szakemberrel, aki 2015-ig a kormányzati szervek kiberbiztonságáért felelős Nemzeti Biztonsági Felügyelet kibervédelmi központjának vezetője volt.
— Mi valószínűsíthető a Tisza Világ applikációval kapcsolatban, adatszivárgás vagy adatlopás történt?
— Ha az adatbázis naplóállományait szakértők megvizsgálják, ezekből látszani kell, történt‑e nagy tömegű adatlekérés, voltak‑e jogosulatlan hozzáférési kísérletek, milyen mintázatok utalnak online támadásra. Ha nincs ilyen minta, akkor valószínű, hogy az adatok máshonnan származnak, például egy korábbi mentésből, egy elemzésre összeállított adathalmazból vagy egy betöltésre előkészített állományból.
Én is inkább azt feltételezem, hangsúlyozom: feltételezem, hogy nem egy online feltörésből származó „dumpról” van szó, hanem egy elemzésre vagy biztonsági mentésként tárolt, akár USB‑re vagy merevlemezre kimentett adathalmazról.
— Akkor itt nem klasszikus „hekkerekről” van szó, hanem lehetett belső ember?
— Simán lehet insider. De amíg erre utaló konkrét nyom nincs, ez hipotézis marad. A vizsgálat mindig hipotézisekkel indul, amelyeket az adatok igazolnak vagy cáfolnak. Nincs „jóslás”, csak módszeres kizárás és bizonyítás.
— Hogyan zajlik ez a módszeres feltárás?
— Az adatkezelés teljes életútját feltérképezzük: hogyan keletkezik az adat, hol és hogyan kezelik, mikor és hogyan semmisítik meg. Ha például egy irodai gép merevlemezén lévő mentés a releváns forma, akkor nem az online alkalmazás feltörését vizsgáljuk elsődlegesen, hanem az adott gépet, és azt, hogy ki fért hozzá fizikailag és logikailag, jogosultan vagy jogosulatlanul, mikor, és mit mutatnak a naplók. Így lehet a normál folyamatokat leválasztani a rendellenes eseményekről.
— Az is jelenthet valamit, hogy nagyon kerek szám, pontosan 200 ezer adat?
— Igen, ez gyanús lehet. Többen kérdezték, hogy ez a teljes adatbázis‑e? Szerintem a teljes állomány nem feltétlenül csak 200 000 rekordból állna.
Lehet, hogy arra jogosult személy rakta össze egy adatsorba valamilyen elemzési célból, vagy betöltéshez készítette elő, lehet üzemeltető, fejlesztő is, de az is lehet, hogy különböző forrásokból „összeragasztották”.
— A kormányoldal szerint az ukránokhoz is eljuthattak az adatok, míg Magyar Péter azt állítja, az oroszok keze van az akcióban. Ennyire gyorsan, ilyen kevés információ után felelősen ki lehet ilyesmiket jelenteni?
— Szerintem nem. Informatikai rendszerek ellen folyamatosan vannak támadások és próbálkozások. Nagyjából előre is jelezhető, mely geolokációkból érkezik sok automatizált kérés. Napi működés mellett a robot‑hálózatok aktivitása mérhető Észak‑Koreából, Kínából, thaiföldi, amerikai, orosz IP‑címekről, stb. De ezek mögött jellemzően nem ül valaki és célozza a magyar rendszert, hanem automaták keresik a gyengeségeket.
— Tehát attól, hogy egy IP‑cím adott helyre utal, még nem biztos, hogy onnan irányult a támadás?
— Gyakran használnak proxikat, VPN‑eket, Tor‑hálózatot, vagy feltört átjárókat, hogy máshonnan érkezőnek tűnjön a forgalom. A forrás azonosítása, az attribúció, kifejezetten nehéz, mert egy felkészült támadó eltakarja a saját IP‑jét, vagy „darkwebről”, láncolt proxykon keresztül jön. A támadások forrásának visszafejtéséhez nemzetközi együttműködés kell: a megtámadott ország kiberbiztonsági hatósága megkeresi a következő ország hatóságát, akik az ottani eszköz tulajdonosáig mennek, és így tovább. Ez nagyon nehéz és hosszadalmas munka, jellemzően a lánc első olyan pontjáig jutunk el, ahol már csak egy köztes proxy látszik.
— Gondolom, ez drága is, tehát csak nagyon nyomós érdek esetén viszik végig.
— Alapvetően igen. Ha nincsenek előre kialakított, két‑ és többoldalú együttműködési protokollok a kiberbiztonsági központok között, az adatcsere esetleges. Ráadásul egy felkészült támadó a nyomait el is tüntetheti.
— Tehát egy‑két nappal a kiszivárgás vagy lopás nyilvánosságra kerülése után nagy valószínűséggel nem lehet kijelenteni, honnan jött.
— Az elején legfeljebb hipotézisek vannak. A szakma ezt „gyors triázsnak” hívja: a szakértők „konzílium” jelleggel áttekintik a nyomokat, és meghatározzák, milyen hipotéziseket érdemes vizsgálni. Aztán az elemzés igazolja vagy cáfolja ezeket.
— Nyissunk egy zárójelet: az elhíresült esetnél, amikor a magyar külügy rendszereibe az orosz titkosszolgálatok bejárkáltak, annak az eredetét minden kétséget kizáróan bizonyítani tudták?
— Úgy tudom, igen. Készült erről hivatalos levél, ha jól emlékszem, 2021‑ben, amelyben az illetékes szakszolgálat vezetője a Külgazdasági és Külügyminisztérium vezetését tájékoztatta, forrást és eseményeket is megnevezve.
A részleteket nem verték nagydobra, de ott nagy bizonyossággal állították, hogy az FSZB‑hez és a GRU‑hoz köthető hacker‑csapatok álltak a támadások mögött.
— Térjünk vissza a Tisza Világ applikációra: ez akkora horderejű ügy, hogy azonnal kormányzati szintű vizsgálatot kellett indítani?
— Szerintem minden ilyen ügyben így kellene eljárni. Ugyanígy kellett volna kezelni anno a KRÉTA‑ügyeket is, és ugyanilyen erővel kellett volna ráugrani a VBÜ‑re, a Védelmi Beszerzési Ügynökség esetére is, amikor ott történtek incidensek.
Emlékszik a banki csalások esetére? Ott is ukránokat neveztek meg felelősként a politikai kommunikációban. Ez viszont nem szakmai állítás, hanem propaganda.
— Elvárható‑e, hogy ha kampánycélból ugrottak rá az ügyre, de nem az elvárt eredmény születik, akkor azt is nyilvánosságra is hozzák?
— Nem hiszem, hogy teljesen transzparensen fogják kommunikálni. Abban bízom, hogy a hatóságok szakmai szempontból fogják lefolytatni a vizsgálatot, és ha elég információ áll rendelkezésre, meg is tudják állapítani a történteket. De a kommunikáció ritkán teljes körű.
— Mennyi idő kell egy ilyen vizsgálathoz? Most nagyjából öt hónap van a választásokig.
— Gyors elemzéssel hamar látszik, van‑e elég adat érdemi vizsgálathoz. Ha igen, 1–2 hét alatt eredményt hozhat az első kör. Ha nemzetközi együttműködés kell, például szolgáltatóknál, más országoknál további adatgyűjtés, akkor hónapokig is elhúzódhat.
— De az is lehet, hogy nem vezet eredményre.
— Előfordulhat, igen.
— Ahogy a bűncselekmények kivizsgálásakor is az az első kérdés, hogy „cui prodest”, fel kell tenni a kérdést, hogy egy választási kampány kellős közepén kinek az érdeke egy párt adatbázisát feltörni és nyilvánosságra hozni?
— Ez az egyik első kérdés a támadóprofil‑építésnél: kinek állhatott érdekében.
Emellett nézzük az infrastruktúrát, a bejutás módját, a használt eszközöket. Még ha ez önmagában nem is azonosítja az elkövetőt, leszűkíti a kört és jellemzi a támadás típusát.
— A kormány azt mondja, ukrán nyomokat találtak. Ez mennyire hihető?
— Ez inkább propaganda. A „ukrán nyomok” állítás gyakran arra épül, hogy vannak ukrán fejlesztők vagy ukrán IP‑címek a forgalomban.
Ebből önmagában semmilyen szándék nem következik.
— Az viszont bizonyított, hogy oroszok beavatkoztak például a Brexitbe, a francia, holland, román választásokba. Ez alapján nem valószínűbb, hogy inkább orosz érdek állhat mögötte?
— Az orosz félnek lehet motivációja, de nem csak nekik. Az információs hadviselésben, dezinformáció, zavarkeltés, szürkezónás beavatkozások, több szereplő is lehet érdekelt. Ez már geopolitikai elemzés kérdése. Kézenfekvő, hogy az ellenzék gyengítése bizonyos aktoroknak kedvez, de ez nem kizárólag orosz–ukrán kérdés.
— Attól tartok, hogy itt sosem fogjuk megtudni az igazságot, mert ez senkinek sem érdeke.
— Könnyen lehet, hogy politikai szinten marad az ügy. Mindazonáltal mindenkinek azt javaslom,
Erről kellene beszélnie egy felelős vezetésnek is, nem egymásra mutogatni.
— Jól sejtem, hogy öt hónappal a választások előtt ez az eset még csak egy könnyű nyári teadélután az angolkisasszonyoknál, jöhetnek durvább dolgok?
— Simán lehet. De ebben nincs semmi újdonság: a kampányok idején rendszeresek az ilyen próbálkozások. Emlékezhetünk a ’98‑as választások környékén az MSZP levelezőszerveréhez való hozzáférés ügyére is, már akkor volt hasonló.
— Ezekkel komolyan alá lehet ásni valamelyik politikai erő iránti bizalmat?
— Akkor, ha tömegesen jelennek meg az érintettek ellen célzott támadások, például fiókfeltörések, közösségi profilok elfoglalása, bankszámlás csalások, és ezeket összekötik a mostani incidenssel. Nem akarok ötleteket adni, de ha „felfújják a lufit”, akkor lehet politikai hatása. Ugyanakkor ez általában zavarkeltés, vihar a biliben.
— Állampolgárként teljesen védtelennek érzem magam. Ha Romániában vagy Moldovában történik valami hasonló, ott keményen fellépnek a hatóságok...
— Valóban, voltak határozott lépések a régióban. Nálunk is vannak kiváló szakemberek a titkosszolgálatoknál és a rendvédelemben, napi szinten foglalkoznak ilyen ügyekkel. Amit most érez, a közbizalom megingását, gyakran az a támadás célja maga. Szakmailag van kapacitás és tudás, de a politikai akarat és a transzparens kommunikáció sokat számít. Ugyanis, a korábban említett példákkal szemben Magyarországon most fordított a helyzet: nem a kormányt kell megingatni, hanem az ellenzéket gyengíteni, de a vektorok ugyanabba az irányba mutatnak.
