Zombiszámítógépek támadhattak a magyar kormányra

2016.04.08. 14:14

A Kormány.hu elérhetetlenné tétele lehetett figyelemelterelés is, miközben a háttérben egy komolyabb hackertámadást hajtottak végre. Ugyanakkor marketingfogásnak is kiváló az eset, bizonyítva a magyar információs rendszer védelmének fejlettségét. Már csak egy jó elemzőközpont kéne, mint az amerikai NSA. Kérdés, hogy a magyar „szuper titkosszolgálat” átesne-e a ló túloldalára az Iszlám Állam támadásaira hivatkozva, ahogy az NSA tette több mint egy évtizeden keresztül a New York-i ikertornyok elleni támadás után. 

Még egyeztetés alatt áll a Pintér-csomagnak is nevezett, mintegy két tucat törvényt érintő intézkedési javaslat. A végleges koncepciót a héten kapják meg az ellenzéki pártok, és a jövő héten kezdődik az ötpárti egyeztetés. 

Technikai szempontból két fontos pontja is van: 

  • A titkosítás – az amerikai Apple–FBI vita mintájára folyna arról a vita, hogy betiltsák-e, büntessék-e a titkosítást használó programokat, appokat, mint újabban a Facebook Whatsapp csevegője. Az eredeti tervek szerint a felhasználókat is sújtotta volna a törvény. A szolgáltatók büntetéséről azonban nem tettek le, ha nem működnek együtt a hatósággal. Ahogy az Apple nem segített a San Bernardinó-i elkövető iPhone-jának feltörésében egy egyedi iOS szoftver kifejlesztésével, egy hasonló magyarországi esetben a kormány büntetné a gyártót. Pedig a techóriások az FBI elleni vita hatására éppen azon dolgoznak, hogy erősebb titkosítást építsenek be a szolgáltatásaikba. 
  • TIBEK, a szuper titkosszolgálat – ez gyakorlatilag a mára hírhedtté vált amerikai Nemzetbiztonsági Ügynökség (NSA) magyar megfelelője lenne. Edward Snowden 2013 nyarán robbantotta a bombát, és kiszivárogtatta, milyen módszereket is alkalmaztak a titkosszolgálatok a tömeges lehallgatások, és megfigyelések során a New York-i ikertornyok elleni támadás, azaz 2001. szeptember 11-e után életbe léptetett hazafias törvényre (Patriot Act) hivatkozva. A TIBEK ugyanígy gyűjtené, tárolná és elemezné ki a hatalmas mennyiségű adatot. Gyakorlatilag összefésülné a különböző szolgálatok információit. Ahogy az Egyesült Államokban is nagyobb jogkörhöz jutott az NSA a terrorfenyegetettség nyomán, úgy kérdéses, most a TIBEK mely adatokhoz férne hozzá, ki felelne működésért, és a kielemzett infókat ki kezelné. 

Az eset úgy két éve történt  – meséli neve elhallgatását kérő olvasónk. „Egy dokumentumot kerestem az interneten, de mivel a pontos nevét nem ismertem, beírtam a kifejezést a Google keresőjébe. Ki is dobott egy linket a következő formátumban: www.honlap_neve.hu/Download/dokumentum_neve.pdf Rákattintottam, megnyílt a keresett fájl, letöltöttem. 

Eszembe jutott, hogy később egy másik dokumentumra is szükségem lesz, aminek szintén nem tudom a nevét, ezért a letöltésekhez akartam ugrani, hogy megkeressem. A böngésző címsorából kitöröltem a /dokumentum_neve.pdf részt, és átugrottam www.honap_neve.hu/Download linkre. Arra számítottam, itt majd látok egy listát a letölthető dokumentumok linkjeivel. Nem ez történt. 

Ezt kellett volna látnia, vagy egy listát a dokumentumokkalForrás: Origo

Legnagyobb döbbenetemre az oldalt kiszolgáló Apache webszerver gyökérkönyvtárát láttam a képernyőn. Normál esetben ezt csak a rendszergazda láthatja, miután egy jelszóval belép az adminisztrációs felületre. 

Egy hibás konfiguráció által gyakorlatilag megvalósítottam az URL-átugrásos támadást. Ha jól van beállítva minden, akkor az 'Az oldal nem elérhető' üzenetet kellett volna látnom. 

Bármit megnézhettem volna, amit csak akarok.  Szerencsére bizalmas adatok nem voltak az oldalon. Mindenesetre megkerestem az üzemeltető elérhetőségét, és jelentettem a hibát. A biztonsági rést pár órán belül javították, és levélben megköszönték a segítségemet” – mesélte olvasónk.

Hackernek sem kell lenni hozzá

Az eset azonban nem egyedi. Még hackernek sem kell lenni, elég csak böngészni. A Google keresőből többször nyíltak már meg olyan oldalak, amelyeknek nem szabadott volna publikusnak lenniük. A honlaptulajdonosok nem veszik elég komolyan a biztonságot

Pedig a könyvtárakhoz való hozzáférést be lehet állítani, jelszóval védeni, IP-cím szerint szűrni, egyedi hibaoldalakat létrehozni, ami jelzi, ha a látogatónak nincs jogosultsága megtekinteni egy dokumentumot. 

Azt is meg lehet adni, hogy mely könyvtárakat ne indexeljék a keresők, így a nem publikus fájlokat, aloldalakat alapból nem dobják ki az olyan sokak által használt keresők, mint a Google vagy a Yahoo.

A legtriviálisabb hiba

A biztonsági rést egy magyar kormányzati oldalon találták, és azóta persze befoltozták. „Ez az egyik legtriviálisabb hiba. Ha megkérdezi az első éves hallgatókat az informatikai karon, hogy mik a legegyszerűbben elkövethető biztonsági hibák, akkor ezzel fogják kezdeni”  – mondta az Origónak Márton Miklós, a Kürt. Zrt. üzleti vezérigazgató-helyettese a fent említett esetről. 

A rendszereket ugyanis a legtöbb esetben gyári beállításokkal szállítják le, hogy az adott üzemeltető maga állíthassa be a jogosultságokat, jelszavakat. „Ha a sérülékenységet folyamatosan és ciklikusan ellenőrzik, ezek a hibák kiszűrhetők.” 

Beállítási hiba?

„A kormányzati informatikai hálózatot a múlt hét végén ennél sokkal komolyabb támadás érte. Egyetlen nap alatt mintegy 62 ezer támadást hajtottak végre külföldi szerverekről. A kormány és a Magyar Tudományos Akadémia (MTA) oldala is elérhetetlenné vált” – mondta el Bakondi György. A miniszterelnök belbiztonsági tanácsadója szerint a támadás nagyfokú szervezettségre utal. 

Pár órára nem volt elérhető a Kormány.huForrás: Origo

A néhány tízezres nagyságrendű lekérdezés nem tűnik egy nagyon komoly támadásnak. Ezen rendszereknél csak több tízmilliós lekérdezésnek kéne gondot okozni – mondta a Kürt szakembere. „Én inkább beállítási hibát sejtek a háttérben.” 

Igen, valóban bírnia kell egy Kormány.hu oldalának többmilliónyi lekérdezést, de! „A 62 ezer forrás IP-cím nem feltétlenül azt jelenti, hogy egy időben, egy számítógép egy lekérdezést végzett. Ha van egy számítógépem, amin a böngészőben megnyitok négy lapot, mindegyiken ugyanazt az oldalt, akkor én egy IP-cím vagyok, mégis egyszerre négy lekérdezést végeztem párhuzamosan, egy időben. A számokkal csínján kell bánni” – magyarázta Krasznay Csaba, a BalaBit termékmenedzsere. 

Az információk alapján arról van szó, hogy 62 ezer különböző IP-címről jött folyamatos, klasszikus túrterheléses támadásra (DDoS) utaló jel. Ez pedig tényleg nagyfokú szervezettségre utal. Azt jelenti, hogy valaki(k) – a legegyszerűbb script kiddiektől kezdve az államilag szponzorált, fenntartott hackercsoportokig lehetett bárki – 

  • vagy felinstallált egy DDoS támadást végrehajtani képes programot, és ezzel hajtotta végre az akciót, de ezt kevésbé valószínűnek tartja a szakértő, 
  • vagy egy botnet hálózaton keresztül indította el a támadást. Ehhez vagy befizette bitcoinban azt az összeget, amibe egy ekkora, megfertőzött zombiszámítógépekből álló hálózat kerül, vagy megfelelő kapcsolatokkal rendelkezik hozzá. 
Forrás: AFP/Adrian Sanchez-Gonzalez
Script kiddie-k
Általában olyan, komoly szaktudással nem rendelkező, a kifejezés nevéből is adódóan fiatalok, akik hackerek által megalkotott eljárások alapján, mások által megírt programokat (szkripteket) használnak arra, hogy adott hálózatokat megzavarjanak, rendszereket feltörjenek, adatokat szerezzenek meg, kárt okozzanak. A mozgatórugó legtöbb esetben az elismertség. Viszont szaktudás hiányában a nyomaikat sem tüntetik el, így a hatóságok is könnyebben rájuk akadnak. Bár nem feltétlen áll szándékukban a károkozás, ettől függetlenül felelősségre vonhatóak tetteikért.

Túrterheléses támadást már több ország és nemzetközi szervezet elszenvedett. Ezen tapasztalatok alapján, ha valóban külföldi elkövetők támadták a magyar oldalakat is, akkor kicsi a valószínűsége, hogy meglesz az elkövető. 

„Ha megfertőzött számítógépek voltak, a felhasználó otthon ül a gépe előtt, és nem is tudja, hogy az közben a Kormány.hu oldalát támadja.  Persze a nyomok elemzését nem lehet megspórolni.” 

Hírszerzési és diplomáciai forrásokat vetnek be inkább, illetve ha hacktivista csoport követte el a támadást, akkor a közösségi oldalon megosztott nyilatkozatok segíthetnek a felderítésben. 

Ha olyan IP-címekről, számítógépekről követték el az akciót, a melyek korábban más támadásban is részt vettek, akkor legalább sejteni lehet az elkövetői kört. 

Az elsőt könnyű hárítani

A szakértő szerint egy túlterheléses támadásnak számos célja lehet: 

  • bebizonyítani az adott szervezet alkalmatlanságát
  • zsarolás: bejelentkezni az adott oldal üzemeltetőjéhez, és közölni, hogy bizonyos összegért cserébe leállnak a támadással, 
  • erőforrások lefoglalása: miközben a szakemberek a támadás elhárításán dolgoznak, a háttérben, csendben végre lehet hajtani egy adatlopást. 

Egy támadást könnyű elhárítani, de egy túrterheléses támadásnak mindig két-három hulláma van. Ha egy szolgáltatást hamar sikerül helyreállítani, nem biztos, hogy a támadó elérte a célját. Ha kiterjedtebb, nagyobb szereplőről – kormányzati oldalak, szolgáltatók – beszélünk, könnyen lehet találni új célpontot. „A tapasztalat viszont azt mutatja, hogy egy-két hétnél tovább nincs értelme fenntartani a folyamatos támadást. Annyi idő alatt általában eléri a célját az elkövető” – mondta Krasznay Csaba.

Adatokat is loptak?

A civil szakértők általában egy háttérben megbújó második támadást (például adatlopást) feltételeznek a DDoS támadások mögött. Ez a tipikus cover channel attack, azaz rejtett csatornán történő támadás. „Ez egy nagyon régi taktika. Konkrét, és főleg elismert példa viszont kevés van.” Ha történt is adatlopás a magyar portálok ellehetetlenítése közben, azt legfeljebb akkor tudjuk meg, ha a támadók közzéteszik az adatbázist, vagy bejelentik egy közösségi oldalon. 

Példaképp ott van Törökország esete, ahol mintegy 50 millió ember személyes adatai kerültek ki az internetre. Ha igaznak bizonyul az adatlopás, az a teljes török lakosság kétharmadát érintheti. 

Könnyen lehet, hogy a szakemberek figyelmét egy másik támadásról terelte elForrás: USAF/Krystal Ardrey

Tavaly húszezer FBI-alkalmazottjának és az amerikai belbiztonsági minisztérium (DHS) kilencezer alkalmazottjának adatait lopták el, majd osztották meg az interneten. A hackerek Twitteren azt állították, az amerikai igazságügyi minisztérium feltörésével szerezték meg az adatokat. 

„Ezen információk nem azért kerülnek ki az internetre, mert nem gondoskodnak az adatok védelméről, hanem lehet, hogy éppen egy másik támadás elhárításával voltak elfoglalva a biztonsági szakemberek, miközben a támadást végrehajtották”  – fogalmazott a BalaBit szakembere. 

Nemzeti távközlési gerinchálózat
Azon informatikai rendszerek, amelyek például az okmányirodákat, kormányhivatalokat, kormányablakokat szolgálják ki, internettől zárt rendszerek. 
Magának a kormányzatnak van egy nemzeti távközlési gerinchálózata: ez egy elszeparált, jól védett, határvédelmi és belső biztonsági eszközökkel biztosított hálózat. Amellett, hogy minden intézmény maga felelős az általa üzemeltetett rendszer védelméért, a nemzeti kibervédelmi intézeten belül van egy kormányzati eseménykezelő központ, amely együttműködve az érintett szervezetekkel azon dolgozik, hogy az ehhez hasonló támadásokat elhárítsa, illetve az eredeti állapotot visszaállítsa.

Százak védhetik a magyar hálózatot

Amikor a Kormány.hu és az MTA oldala elérhetetlenné vált, vélhetően behívták az ügyeletet, felállt egy operatív törzs. 

Az, hogy a kormányzati oldalon hány ember dolgozik a hálózat védelmén, csak megbecsülni lehet, lévén a kibervédelmi intézet a titkosszolgálat alá tartozik. Példaképp az egyik legnagyobb angol banknál több mint ezer információbiztonsági szakember dolgozik. 

„Csak ahhoz, hogy egy 7/24-es ügyeletet fenn lehessen tartani, kell egy-egy ember, aki tudja fogadni, értelmezni és elemezni az eszközöket. Ez egy kisebb szervezetnél is 9–20 főt takar” – mondta Krasznay Csaba. 

Masszív költsége van egy támadásnak

A Kormány.hu-t ért támadás elhárításán 24 órában dolgozhattak a szakemberek. Rögtön számolni kell egy túlóraköltséggel. A támadás teljes összege ilyenkor az emberi és helyreállítási költségekből tevődik össze. Ha történt adatsérülés, akkor azt mentésekből vissza kell állítani. Ez is több napos-hetes munka. 

Ha egy olyan piaci szereplőt, szolgáltatót ér hasonló támadás, amelynek nincs megfelelő háttér-infrastruktúrája, akkor bérelni kell erőforrást. „Ez tud még masszív költséget okozni. Amerikai cég esetén ez dollárszázezreket visz el.” 

Ugyanilyen áramkimaradás milliárdokat vinne el AmerikábanForrás: Intel

A legutóbbi komoly, kritikus infrastruktúra elleni támadást 2015 decemberében követték el. Kibertámadás következtében több mint 225 háztartás maradt áram nélkül Ukrajnában több mint hat órán keresztül. Egy hasonló támadás költsége az Egyesült Államokban 200 milliárd dollár lenne, mondta Maurice Cashman, az Intel Security szakembere a budapesti IDC IT Biztonság konferencián. 

Maga az NSA egykori igazgatója, Keith Alexander is úgy nyilatkozott 2012-ben: tízből hármas Amerika felkészültsége  egy, a kritikus infrastruktúrát célzó, nagyszabású kibertámadás ellen. Akkor vajon Magyarország hogyan áll e téren? 

Forrás: Dennis Skley/Flickr
Cégek is hekkelhetik a magyar rendszereket
A magyar kormányzati hozzáállás vezető Európában, mondta Márton Miklós. Az információbiztonsági törvény megnevezi azon rendszereket, adathalmazokat, amelyeket kiemelten kell védeni, illetve előírja, hogy az ilyen információt üzemelő szervezetek hogyan tudják csökkenteni a kockázatokat. A kiemelt intézmények rendszereinek sérülékenységét folyamatosan vizsgálják, etikus hekkelik.
Attól függően, hogy mennyire kritikus az adott rendszer, vagy a Nemzetbiztonsági Szakszolgálathoz tartozó kibervédelmi központ szakemberei végzik ezt a tevékenységet, vagy egy arra feljogosított cégkör. A szakértői cégek listájára azok kerülhetnek fel, akik megfelelnek a szakmai, nemzetvédelmi és egyéb előírásoknak. Ilyen a Kürt Zrt. is.

Idő: presztízs!

Egy kritikus infrastruktúra, szolgáltatás esetén rendkívül fontos az időtényező, hogy minél előbb helyreálljon a rendszer. „Ha péntek este egy Kormány.hu oldalát éri támadás, az nem egy olyan szolgáltatás, amit azonnal vissza kell állítani. Üzemeltetés szempontjából viszont fontos a presztízs. Nem véletlen, hogy maga a miniszterelnök belbiztonsági tanácsadója, Bakondi György kapta meg a nyilatkozati jogot”  – mondta a balabites szakértő. 

Ebéd előtt kezet mosunk

A legnagyobb probléma mindig az ember. Az elmúlt egy-két évben egyre inkább megmutatkozott, hogy a legtöbb támadás – akár Magyarországon is – emberi felkészületlenségből, tudatlanságból, rosszindulatból, hibákból ered. 

A magyar törvénykezés is arra koncentrál, hogy a felhasználói tudatosságot erősítse, és ezt megpróbálja műszaki oldalról  is támogatni. A mai napig tízből nyolc ember megadja a jelszavát, adatait,  ha egy olyan e-mailt kap, amelyben látszólag a biztonsági osztály kért be adatokat” – mondta Márton Miklós. 

Könnyen kiadjuk adatainkatForrás: AFP/Saeed Khan

Mindkét szakértő a felhasználóbiztonsági tudatosság hiányát hangsúlyozta. „Ahogy ebéd előtt kezet mosunk, olyan szintre kéne eljutni az informatikában. Mielőtt bárhová kattintunk, feltételezzük, hogy ott is fertőzések lehetnek, akár csak a mosdóban.” 

Most kezd kidomborodni, hogy mennyire informatikafüggők lettünk. A világnak nincs már olyan területe, ami ne támaszkodna a technikára. A napi sajtó tele van hackertámadásokkal. 

A Snowden-féle szivárogtatásokkal 2013-ban jelentős hátrányba kerültek a kibertámadásokkal foglalkozó védelmi, nemzetbiztonsági, rendvédelmi szervek. „A támadó oldal most előnybe került, a védelmi oldalnak fel kell zárkóznia” – mondta Krasznay Csaba. 

A tudást nem lehet megvenni

Védelmi szinten a legkomolyabb lemaradás az, hogy nincs elég szakember. „Az eszközt azt meg lehet venni. Erre pedig egyre nagyobb forrást biztosít a világ összes országa, szervezete. A szakembert, akit le lehet ültetni, hogy a rendszer védelmét biztosítsa, azt előtte képezni kell” – mondta a BalaBit termékmenedzsere. 

Ezt erősíti meg az IVSZ és az NFM közös kutatása is: Magyarországon jelenleg mintegy 22 ezer IT-szakember hiányzik,  az Európai Unióban 2020-ra egymillió fős szakemberhiánnyal számolnak. A magyar digitális oktatási stratégia létrejötte egyre égetőbb. 

Előzmény: