"Az elmúlt 24 órában több hullámban, ezres nagyságrendben támadás érte külföldi szerverekről a kormányzati informatikai hálózatot, a támadásokat sikerült elhárítani" – húzta meg a vészharangot a Belügyminisztérium szombat délután.

Később, szombat este aztán Orbán Viktor első számú vésztanácsadója, Bakondi György is kiállt a nyilvánosság, pontosabban az M1 kamerái elé: "Nagyfokú szervezettségre utal a magyar kormányzati rendszereket érő informatikai támadás", és egy nap alatt 62 ezer támadás érte a kormányzati információs hálózatot. De a kormány a helyén volt, a kormányzati adatbázisoknak fejlett informatikai védelmi rendszere van. A kormányzati gerinchálózat elleni túlterheléses támadás jelenleg is tart, hallhatta szombaton este az ország.

Flickr / Creative Commons / Katy Levinson

A 62 ezer "még gombócból is sok", hát még kibertámadásból, mi lesz így Magyarországgal? – tette össze a kezét az ország. Mivel tisztán akartunk látni, megszólaltattunk egy sokat próbált rendszergazdát, magyarázza el, mi is a helyzet ezzel a támadással. Szerinte ami egyértelműen látszik, az az, hogy Bakondi nem ért a kibervédelemhez.

Túlterhelés az élet megrontója

A túlterheléses támadásról (DOS) sokan hallottak már: ilyenkor egy weboldalt, informatikai helyet egy vagy több gép elkezd bombázni kérelmekkel - mintha ellátogatna az oldalra, és letöltené az ott található képeket, logókat stb. -, amire az dob egy választ. (Mintha valaki odaköszönne nekünk, mi meg automatikusan visszaköszönnénk neki. De ezt ezerszámra már elég megterhelő elvégezni.) Ha ezek a kérelmek ipari méreteket öltenek, ez lelassítja a szerver(eke)t, túlterhelést okoz. "Ez olyan, mintha egy autót úgy akarnál lelassítani, hogy homokvihart küldesz rá" – mond a forrás egy érzékletes hasonlatot. Amikor elkezdi érzékelni a rendszer felügyelete a lassulást, és rájön, hogy egy bizonyos IP-címről rengeteg megkeresés érkezett, azt egyszerűen feketelistára teszi, eldobja az onnan érkező forgalmat.

Épp ezért, mivel ez elég gyorsan felfedezhető és kivédhető, ritka a sima túlterheléses támadás. Ma már jellemzően a DDOS dívik, ami szétosztott túlterheléses támadást jelent: nem egy, hanem sok címről, vagyis sok gépről, sok csatornán jön támadás, ami kevésbé feltűnő és detektálható. Itt sokszor nem is egy IP-tartományból érkezik a támadás, hanem teljesen összevissza. Tehát nem olyan egyszerű kiszűrni, hogy melyik gépről érkezik sima érdeklődés és melyikről rosszindulatú megkeresés, azaz nehezebb eldönteni, hogy melyik kiiktatandó. (És, visszatérve a köszönéses példára, itt már nem egyszerűen vissza kell köszönni, hanem egy nehezebb, agyalósabb kérdést intéz az egyik, pontosabban rengeteg sok gép a célgéphez.)

De még ha sikerül is beazonosítani a rosszindulatú gépeket, ha a feketelista túl hosszú egy szerveren, az is lassíthatja a forgalmat, mert minden egyes bejövő csomagnál le kell csekkolni, hogy a forrás feketelistás, vagy sem. Itt másodpercenkénti több tízezres nagyságrendű megkeresést kell elképzelni.

Amennyire nehéz viszont védekezni a DDOS ellen, annyira rutinfeladatnak számít. Bár ugyanarra a hostra, webhelyre ritkán érkezik többször egymás után ilyen támadás, maga a jelenség heti-havi rendszerességgel tapasztalható a magyar interneten is.

Maga a védekezés így néz ki: 

Egy: A rendszergazda felfedezi a támadást.

Kettő: elemzi.

Három: reagál, lekapcsolja a célpont szervereket egy időre, (ez a támadó gépeknek is okozhat galibát), feketelistát készít, értesítheti a támadó gépek rendszergazdáit, stb. 

Túlterheléses támadásból is többféle van, a legalapvetőbb mellett (amit homokviharhoz hasonlítottunk) a másik a protokollspecifikus támadás, amikor a webszervert vagy egy másik szolgáltatást (SSH, FTP) támadják, "ez olyan, mintha távolról állandóan megemelnénk az autó motorjának fordulatszámát, hogy felforrjon a hűtővíz és leálljon a motor". Ha az van, amit Bakondi mond, akkor valószínűleg ilyen támadás érhette a magyar kormányzati informatikai hálózatot. 

De mi az a 62 ezer?

A támadások két fontos mérőszáma a támadó hostok száma, vagyis az, hogy hány helyről érkezik rosszindulatú megkeresés, illetve a lekérések, ezt másodpercenkénti bontásban mérik a szakmában. 62 ezer lekérés másodpercenként már komoly, sok géppel indított támadást jelent. Másodpercenként. Amiről Bakondi beszélt, vagyis az, hogy szombaton este 62 ezer támadást indítottak, az semmiség, egy nem túl frekventált weboldal napi forgalma. Úgyhogy Bakondi ilyen szavai nagyjából azzal egyenértékűek, mint amikor a mosóporreklámban azt mondják, hogy több millió molekula veszi fel a harcot a piszokkal.

Más kérdés, ha nem túlterheléses, hanem célzott protokollspecifikus támadás történt. Ezek más típusú rosszindulatú akciók: míg a túlterhelés arra utazik, hogy a túl sok kérelem miatt lerohadnak a gépek, a másik már betöréses jellegű – nem ledózerolni akarja a szervert, hanem bejutni. Ez olyan, mintha egy trezor számzárját próbálnák kinyitni gyakran használt kombinációk kipróbálásával, vagy megkerülve egy típushiba miatt az egész számkombinációs balhét. De (nagy többségben) nem azért akarnak bejutni, hogy elvigyenek valamit, hanem azért, hogy a szerverből zombit, távolról irányítható eszközt csináljanak.

Norse

Hogy mi célból? Hát hogy a magyarhoz hasonló túlterheléses támadásokhoz vagy szpemmelésre, kéretlen levelek küldözgetésére használják őket. Mert a DDOS-támadásokat ma már mindig botnet, zombigépek hálózata hajtja végre. Ilyenkor egy kiszolgáló kódot juttatnak a gépbe, és minden más változatlanul marad – a cél az, hogy minél kevesebb jele legyen a betörésnek. Ha ilyen típusú támadás ért minket, akkor – mivel informatikus forrásunk szerint az állami kibervédelem nemzetközi szinten nagyjából olyan fejlett és erős, mint a magyar honvédség –, még az is elképzelhető, hogy nemsokára mondjuk a Magyar Tudományos Akadémia szerverei állnak a következő DDOS-támadás első vonalában, vagy onnan érkezik egy e-mail hogy egy kongói milliomos ránk hagyta vagyonát.

Hogy mire használnak a kiberterroristák egy ilyen túlterheléses támadást?

– tesztelik a hálózati struktúrákat egy későbbi támadás megtervezéséhez

– elérhetetlenné tesznek rivális weboldalakat

– megfélemlítés céljából

– elterelő hadműveletként, mivel a támadás kavarodást okoz a hálózatban, lefoglalja a kapacitást, mindenki a bajra figyel, és ilyenkor senkinek nem tűnik fel, hogy valaki közben beoson a hátsó ajtón. Jön az informatikus hasonlat: „Felgyújtasz egy háztömböt, és miközben a rendőrség és a tűzoltóság minden szabad kapacitását felhasználva rohan a tüzet megfékezni, te közben nyugodtan fütyörészve kirabolod a bankot egy sarokkal arrébb".

A szakértő szerint az első és a negyedik cél lehetséges a mi esetünkben, hisz a magyar állam nem riválisa senkinek üzletileg, és a megfélemlítés sem jöhet szóba, mert az vagy általában jól látható eredménnyel szokott járni, mint weboldalak átalakítása (defacement), elcsúfítása, vagy (ha kormányok közt történik) olyan helyről érkezik – a szakértők általában Oroszországot emlegetik – akivel jó a viszonyunk, legalább is hivatalosan.

Ha és amennyiben

Mármint ha tényleg támadás történt. Ha nem csak a – kormányzati propaganda miatt – megnövekedett érdeklődést volt képtelen menedzselni a kormányzati informatikai rendszer. Vagy simán csak rosszul ment egy szoftverfrissítés – erre is volt már példa. (Ne feledjük, Bakondi Györgytől hallottunk már átdobott migránsgyerekekről, és tömegesen lefegyverzett horvát rendőrökről is harangozni.) 

Ha nem csak a totális terrortematikai nyomulást fokozza a kormány minden csatornán, fenntartván az ostromlottság állapotát, és a társadalmi félelemérzetet. A TEK vezetője már izraeli példákat venne át, egy államtitkár a 70-es évek titkosszolgálati viszonyait dicséri. Gőzerővel zajlanak a pártközi egyeztetések a kormánynak teljhatalmat adó terrorveszélyhelyzet Alaptörvénybe vezetéséről, és a kormány nemsokára bevezeti a terrorellenes akciócsomagot. A kormányközeli média és a kormány híradásai alapján azt hihetnénk, hogy Magyarország hadban és ostrom alatt áll.

A Belügyminisztériumtól meg szerettünk volna tudni, hogy:

- Sikerült-e azonosítani a forrást?

- Miért tartott napokig a védekezés felépítése, amikor egy DDOS-t a felfedezés után tipikusan 4-5 órán belül leállítanak?

- Mi volt a támadás célja?

- Ha a magyar kibervédelem olyan erős, hogy fordulhatott elő ilyen támadás egyáltalán?

Várjuk a Belügyminisztérium válaszát.