Miután a kormány múlt hét végén bejelentette, hogy kibertámadás érte az országot, Bakondi György miniszterelnöki főtanácsadó pedig drámai hangon jelentette be, hogy napi 62 ezer támadó megkeresés zúdult a magyar állami informatikai rendszerre, utánamentünk szakértőknél, hogy ez mit is jelent.

Kiderült, hogy a napi 62 ezer, bár szép nagynak tűnik, inkább csekélynek számít a ma dívó kibernetikai terrortámadások dimenziójában. A rendszergazda szakértőnk azt is elmondta, hogy túlzottan is nagy fennakadást okozott ez a rutinfeladatnak számító támadás, már ha egyáltalán támadásról van szó, és nem valamilyen szoftverfrissítésből vagy átmeneti forgalomnövekedésből származó rendszerhiba.

MTI/Balogh Zoltán

Megkerestük azért a Belügyminisztériumot is a következő kérdésekkel, hogy segítsenek értelmezni Bakondi némileg ködös szavait:

– Sikerült-e azonosítani a támadás forrását?

– Miért tartott napokig a védekezés felépítése, amikor egy túlterheléses támadást a felfedezés után tipikusan 4-5 órán belül leállítanak?

– Mi volt a támadás célja?

– Ha a magyar kibervédelem olyan erős, hogyan fordulhatott elő ilyen támadás egyáltalán?

A Belügyminisztérium hosszabb levélben válaszolt. Azt írják, elosztott túlterheléses támadás (DDOS) történt (azaz sok gépről indult rosszindulatú adatigénylés a kormányzati gépekre), „a támadás során kiesett szolgáltatások elérhetőségének helyreállítása, az eset kivizsgálása és a hasonló esetek hatásának mérsékléséhez szükséges intézkedések végrehajtása folyamatban van”. Több hullámban, összesen háromszor támadták meg a kormányzati rendszerek nyilvánosan elérhető állomásait. „A támadások fő célpontjai igazolhatóan a Közigazgatási és Igazságügyi Hivatal honlapja (kih.gov.hu), a kormany.hu és a Külgazdasági és Külügyminisztérium publikus szolgáltatásai voltak.”

A belügy biztosít minket arról, hogy érzékeny információkhoz a támadó nem fér hozzá – nem is ez a célja –, de jelentős károkat okozhat. „A mostani támadás összetettségét és komplexitását jellemzi, hogy a támadások során felhasznált számítógépek valós címeit rejtették, több DDOS-támadásfajtát kombináltak, valamint a támadás erősségét – szükség szerint, annak hatását figyelve – növelték. A támadáshoz hamisított IP-címeket használtak fel, ami miatt a támadók, vagy akár a támadás céljából felhasznált számítógépek nem, vagy nehezen azonosíthatóak. A támadást ez idáig semmilyen ország vagy szervezet nem vállalta magára.” Ahogy azt megírtuk, ha nem megfélemlítés, és látható károkozás (weboldalak átrajzolása) a cél, nem is szokták felvállalni a támadást a bűnösök.

A banánhéj, amin elcsúszik minden

Informatikai szakértőink szerint ez a válasz már szakmaibb, bár mérőszámokat most sem mondtak, a napi 62 ezerről nem lettünk okosabbak. De egyáltalán nem lett meggyőzőbb, hogy tényleg támadással állunk-e szemben, sőt a belügyes magyarázat még gyanúsabbá tette a dolgot.

Azt olvassuk ugyanis, hogy a támadó gépek valós címeit elrejtették, illetve hamisított IP-címeket használtak fel, hogy ne lehessen visszakövetni a támadókat (az IP-cím a számítógép egyedi azonosítója az interneten). Elég logikusan hangzik. De a szakértők szerint ennek a rejtőzködésfajtának nagyon kicsi az esélye – gyakorlatilag kivitelezhetetlen.

Ezt az eljárást IP-spoofingnak hívja a szaknyelv, az eljárás pedig az lenne, hogy a támadó gépről induló adatcsomag nem a valódi IP-címét adja meg. Ez olyan, mintha valaki csalni szeretne, ezért csináltat magának egy hamis igazolványt egy valódi, létező névvel.

Viszont forrásunk szerint ez régebben volt csak egyszerű módszer, ma már alig használják, mert a biztonsági rendszerek felkészültek az IP-spoofra, és ezért nehezebb kivitelezni. Ma már a hálózati csomópontok ellenőrzik az érkezési IP-címet, és ha egy adatcsomag nem onnan érkezett, mint ahonnan „mondja magát”, az gyanús, és eldobják. Ilyen ellenőrzés ma már gyakorlatilag mindenhol történik, ezért nagyon nem érdemes IP-spooffal kísérletezni. Sokkal egyszerűbb a botnetes DDOS-módszer, a zombigépeken ráadásul sokkal lekövethetetlenebb marad a támadó, sokkal nehezebben kiszűrhető a támadás – sokkal inkább megfelel a célnak: olyan, mintha csaláshoz egy lopott, de valódi személyijt használnánk fel, nem pedig drága pénzen csinálnánk egy újat.

Magyarul a BM válasza valamelyest szakmaibb, mint a Bakondi-féle 62 ezer csapás, de csak egy hajszállal profibb maszatolásnak tűnik. „Fenntartom, hogy félrekonfigurálás vagy nem várt látogatói roham volt a háttérben, csak persze ezt szégyellik bevallani” – véli informatikai forrásunk.