A jelszókezelőt lopták el a Google-tól a kínaiak

A Google és más amerikai nagyvállalatok elleni kínai hackertámadások azon túl, hogy komoly diplomáciai bonyodalmakat okoztak a két ország között, komoly károkat okozhattak az internetes vállalatnak úgy is, hogy közvetlenül nem fenyegették a felhasználókat - állítja a New York Times egy, az eset vizsgálatában részt vevő, a neve elhallgatását kérő forrásra hivatkozva. A lap informátora szerint a támadók a "Google koronájának ékkövét", a Gaia nevű jelszókezelő rendszert támadták meg, ami lehetővé teszi, hogy a keresőcég szolgáltatásainak felhasználói egy bejelentkezés után bármit elérjenek (így például a Gmail mellett az online dokumentumszerkesztőt vagy a fotótárat).

Ugyan úgy tűnik, hogy a hackerek nem szereztek meg felhasználói jelszavakat, a szakember szerint a jelszókezelő olyan gyengeségeiről szerezhettek információkat, amelyekről még a Google fejlesztői sem tudnak, így a jövőben tovább veszélyeztetik a vállalat szolgáltatásainak biztonságát.

A Messengeren keresztül támadtak

Az internetes vállalat január 12-én jelentette be, hogy a szervereit támadás érte Kínából az interneten keresztül, de azon túl, hogy a felhasználók fiókjai nem voltak veszélyben, nem árult el részleteket az incidensről. Ennek következtében inkább a diplomáciai lépésekről lehetett hallani: az USA és Kína viszonya megromlott, és a Google akkor jelentette be, hogy nem hajlandó tovább cenzúrázni a keresési találatait, majd márciusban el is kezdte a kínai kommunista kormány igényeinek megfelelően működtetett Google.cn leépítését, ami már a hongkongi oldalra irányítja a felhasználókat. A cég egy újabb titkosítási réteg közbeiktatásával erősítette meg a Gmail levelezőt a támadások után, Hillary Clinton amerikai külügyminiszter pedig felszólította a kínai kormányt, hogy átlátható vizsgálatot folytasson le az ügyben, mivel annak a gyanúja is felmerült, hogy a hackerek a kommunista kormány megbízásából, vagy legalábbis ahhoz közeli szervezeteknek dolgoztak.

A New York Timesnak nyilatkozó szakember részletesen elmesélte, hogyan hatoltak be az elkövetők a Google rendszerébe. A cég egyik kínai alkalmazottja a Microsoft Live Messengeren (vagy ahogyan idehaza régebbi nevén közismert, az MSN-en) kapott egy kártékony kódot tartalmazó oldalra mutató linket. Miután ezt lekattintotta, a támadók átvették az irányítást a gépe fölött, és azon keresztül a cég kaliforniai, Mountain View-i központjában lévő fejlesztők szoftverkészletéhez jutottak el.

A célpont itt már egyértelműen a Gaia fejlesztőcsapata volt: a névtelen informátor szerint a támadók egy belső adatbázisból keresték ki, kik azok a szakemberek a cégnél, akik a beléptető rendszeren dolgoznak, és egyenesen az ő számítógépeikre akartak eljutni. Miután ez sikerült, a támadók az általuk használt fejlesztői szoftvertárra léptek tovább, ahonnan lementették a Gaia forráskódját, amit először a Rackspace tárhelyszolgáltató texasi szervereire, majd onnan ismeretlen helyre továbbítottak a hosztingcég tudta nélkül.

Nem valószínű, hogy ki-be járnának a Google-nál

A New York Times által megkérdezett szakértők szerint a fejlesztőknél őrzött szoftververziók ismeretében a támadók egy sor olyan biztonsági rést tárhattak fel, amelyek még kijavítás előtt jártak, illetve a Gaia részletes ismeretében megtalálhatják a rendszer más gyenge pontjait, vagyis jelentős lépéselőnybe kerülhettek a fejlesztőkkel szemben. A lap szerint felvetődött annak a lehetősége is, hogy a támadók a beléptetőrendszer átalakítása és egy úgynevezett trójai faló beépítése révén a Google más szerverein is kiépítettek maguknak úgynevezett hátsó ajtókat, amelyek lehetőséget adnak a későbbi behatolásra. A biztonsági szakemberek azonban úgy vélik, hogy mivel a cégnél gyorsan értesültek a lopásról, erre nem kerülhetett sor.

Az eset jól rávilágít a távoli szerverekről üzemeltetett (hosztolt) szolgáltatások kockázataira: maga a Google felhasználók és vállalatok millióinak adatait, dokumentumait tárolja. Ennek tudatában érthető, hogy a támadás pontos következményeit titokban tartotta a vállalat, amely nem kommentálta a New York Times értesüléseit. A cég szakemberei azonban nem hivatalosan felhívták a lap riporterének figyelmét arra, hogy a Kínából megtámadott nagyvállalatok közül mindeddig a Google közölte a legtöbb információt az incidensekről. A hackertámadásoknak áldozatul esett több tucat cég - többek között az Adobe, a Symantec vagy a Yahoo - szervereit eltérő módszerekkel próbálták meg feltörni, és volt közöttük olyan, amelyik már évek óta állt folyamatos ostrom alatt.