Kósa Lajos szerint a Fidesz weboldala és archívuma azért nem elérhető hetek óta, mert hekkertámadás érte, és a nyomozóhatóságok kérésére még várnak az újraindításával. Összeszedtük, hogy mit lehet erről tudni, mi történhetett a párt rendszerével a kvótanépszavazás délutánján, és miért tarthat ennyi ideig a visszaállítás. Mert hogy nem a Kósa által emlegetett nyomozás miatt, az biztos.
A Fidesz honlapja, a fidesz.hu még október másodikán, vagyis a kvótanépszavazás kellős közepén dőlt be, és azóta se állították vissza, így most már több mint három hete elérhetetlen, a cím a Fidesz Facebook-oldalára irányít át.
Mivel
joggal merülhet fel az egyszeri médiamunkásban, hogy ez a szokatlanul hosszú szolgáltatáskimaradás a Fideszt nem biztos, hogy olyan nagyon zavarja. Pláne, hogy a Népszabadság online archívuma se érhető el, mióta beszántották átalakítják a lapot, és a Fidesszel is fordult már elő, hogy technikai okokból eltűntek a régi bejegyzések a holnapjáról.
Az Index kedden megkérdezte Kósa Lajost, a Fidesz frakcióvezetőjét, mi a helyzet a honlappal, és miért tart ilyen sokáig életet lehelni bele. Kósa cáfolta a rosszindulatú feltételezéseket, és azzal csillapította az aggodalmunkat, hogy amint lehet, minden vissza fog kerülni a helyére, csak egyelőre még a hatóságok ezt nem szeretnék:
Miket is állított tehát a frakcióvezető?
Mivel maga Kósa is jelezte, hogy ő ehhez a témához nem nagyon ért, megkértük Durmics Tamás kiberbiztonsági szakértőt, a magyar állami kibervédelmet korábban ellátó Nemzeti Biztonsági Felügyelet egykori tagját, hogy segítsen kibogozni a helyzetet. Nézzük sorban a fenti pontokat!
Kívülről nézve sose lehet tudni ilyen esetekben, pontosan mi is történt, milyen súlyos volt a támadás, és mekkora kárt okozott. (A kérdéseinket elküldtük a Fidesznek, a cikk megjelenéséig nem válaszoltak, de ha később, fognak, frissítjük.) Az oldalakat megbénító túlterheléses támadások (DDoS) viszonylag gyakran érnek céges és kormányzati rendszereket is, de ha itt csak erről lenne szó, Durmics Tamás szerint nem lenne indokolt és nem is érné meg fenntartani az oldal elérhetetlenségét.
Az ilyen DDoS-támadások egy része kifejezetten csak támogatótámadás, arra használják, hogy ellehetetlenítsék a védelmi rendszerek használatát, lekössék az erőforrásokat, és ezzel eltereljék a figyelmet, hogy közben precízebb támadásokat hajthassanak végre. Durmics szerint itt is az történhetett, hogy a túlterheléses támadással arra késztették a rendszereket, hogy a működés érdekében visszavegyenek a védelmükből, vagy nyitva hagyjanak olyan kapcsolódó szolgáltatásokat, amelyek lehetőséget biztosítanak a bejutásra a támadott rendszer környezetében lévő más rendszereken keresztül.
Az informatikai rendszereket ugyanis általában – hibásan – körülbástyázzák vasbetonbunkerrel, de úgy, hogy mellette ott van egy alacsony kerítés, amin egyszerűen át lehet lépni a szomszédba
– mondja Durmics, aki szerint ezért leggyakrabban oldalirányból érdemes támadni: egy levelezőrendszer, egy VoIP-telefonszerver, egy modern router, de akár egy hálózatra kötött nyomtató vagy egy irodai okostévé is ilyen behatolási pont lehet – hasonlóan ahhoz, ahogy múlt pénteken a világ eddigi legnagyobb túlterheléses támadása is zajlott, amely a fél internetet bedöntötte. Ott is okoseszközök firmware-ét (gyakorlatilag az operációs rendszerüket) hekkelték meg, hogy a több milliós kütyüből álló botnettel hajtsák végre a DDoS-támadást.
Ha viszont a támadó nem akar botnetként üzemeltetni egy rendszert, akkor a módosított firmware-en keresztül tud adatokat kiszivattyúzni a hálózatból. Ez viszont úgy a legegyszerűbb, ha egy fedőtámadással nehezíti a támadó ennek az észrevételét. Amíg az könnyen feltűnhet a rendszergazdának vagy más szakembernek, ha a mosógép egyszer csak elkezd egy titkosított kapcsolatot felépíteni a hálózaton kívülre, akkor már nehezebb kiszűrni az ilyen kisebb rendellenességeket, ha amúgy is épp minden védelmi rendszer riaszt. Ilyenkor a védelem a legsürgetőbb, leglátványosabb veszélyekre koncentrál.
Ha meg tudok fogni egy olyan eszközt, ami a célszervernek a közelében üzemel, és onnan tudok támadni, akkor sokkal finomabban, sokkal nagyobb hatékonysággal és sokkal csendesebben tudok kárt okozni, mint ha közvetlenül támadnék
– foglalja össze Durmics.
Kósa Lajos azt mondta, “a nyomozóhatóságok azt kérték, hogy az adatok biztosítása és a nyomozás érdekében akkor indítsuk újra a fidesz.hu-t, amikor már biztosítottak mindent. [...] van, aki azt állítja, hogy az egész szervert helyre lehet állítani azokkal a tartalmakkal, ami nem tünteti el a nyomokat, amit esetleg a feltörők hagytak. Mások azt mondják, hogy ez nincs így, hanem tényleg meg kell várni ezt.”
Ezzel az indoklással nem értek egyet
– mondja Durmics. Ezeknek a nyomoknak a vizsgálata úgy történik, hogy egy digitális nyomrögzítő biztonsági mentést készít, méghozzá legalább hármat. Ezeket jogilag is ellenőrzik, illetve ellátják mindenféle metaadattal, ami bizonyítja, hogy tökéletesen megegyezzen az eredeti állapottal. Egy másolatot letesznek letétbe, eggyel nekiállnak a munkának, a harmadikat pedig elrakják tartalékba. Onnantól, hogy ez megtörtént, az eredeti rendszereket minden további nélkül vissza lehet kapcsolni.
Néhány órányi munka elvégzése után tehát semmi szükség arra, hogy továbbra is elérhetetlen legyen a rendszer, hiszen már minden adatot begyűjtöttek, amire szükség lehet. Ha simán vissza akarnák kapcsolni a szolgáltatást, akkor feltehetően vannak biztonsági mentéseik, ezekből szintén maximum pár órát vehet igénybe a visszaállítás.
Vagyis Kósa érvelése olyan, mintha valaki betört volna a Fidesz pártszékházába, a kiérkező helyszínelők pedig már rég rögzítették volna az ujjlenyomatokat, de a takarítónő még mindig nem söpörhetne össze, nehogy elkenje őket.
Felmerül, hogy Kósa esetleg arra gondolhatott, hogy a hibát, a kihasznált sebezhetőséget akarják megtalálni és javítani a visszaállítás előtt, hogy még egyszer ugyanazon az ajtón már ne tudjanak bejönni. Durmics szerint ugyanakkor egy megfelelő szakembercsapat még egy gyenge minőségű rendszernél is néhány óra, maximum pár nap alatt megtalálja és kijavítja a jelentősebb hibákat. Illetve az oldal elé lehet húzni egy webes tűzfalat vagy bármilyen támadásdetektáló rendszert, amely egy hibáktól hemzsegő rendszer is meg tud annyira védeni, hogy nyugodtan vissza lehessen állítani. Az ilyen védelem beüzemelése megint csak rosszabb esetben egy-két nap.
Ami mégis valóban indokolhatja a hosszú kimaradást Durmics szerint, az az, hogy egy csalit – úgynevezett mézesbödönt – állíthatnak a hekkereknek, hogy ha legközelebb arra járnának, lehessen elemezni a viselkedésüket, meghatározni a helyüket, információt gyűjteni róluk. Ha tényleg ez a helyzet, akkor csak azután állíthatják vissza a rendszert, hogy felállt és működésre kész a csapda.
Az ilyen proaktív védelem kiépítése kimondottan magas szintű munkát és sok humánerőforrást igénylő feladat, meg kell tervezni, el kell készíteni, és sokat tesztelni az éles bevetés előtt, ezért ebben az esetben indokolt lehet akár a több hetes idő is. Azt azonban, hogy erről van-e itt szó, a megtervezésével megbízott szakembereken kívül nem sokan tudhatják – még a Fidesz saját technikai alkalmazottai se feltétlenül, hiszen egy-egy sikeres kibertámadást gyakran belső információ segíthet, így célszerű nem az orrukra kötni a terveket.
Na de indokoltak lehetnek-e egy magyarországi párt esetében ilyen komoly lépések? Mennyire reális ez a forgatókönyv? Durmics szerint a védelem megszervezésében mindig azt kell mérlegelni, hogy mennyire fontos, értékes az adott szervezet birtokában lévő információ, és mit hajlandó megtenni ennek a védelmében. Egy DK-nak például valószínűleg semmi olyan hatalmas kockázata nincsen, amiért érdemes lenne ekkora erőforrásokat befektetni. Egy kormányzópártnál viszont nemcsak közvetlenül az adat értékéről van szó, hanem a támadások által okozott presztízsveszteségről is, mert egy ilyen támadás Durmics szerint azt az üzenetet közvetíti, hogy sebezhetőek, képtelenek megvédeni magukat.
A támadás részleteit tehát nem tudni, ahogy azt se, hogy mi a Fidesz szándéka. Az, hogy a nyomozás miatt, kvázi a helyszínelés biztosítására hagyják hosszú hetekig lekapcsolva a rendszert, amire Kósa szavai utalnak, nyilvánvalóan nem igaz, de legalábbis nem indokolt. Ilyen hosszú időt csak az indokolhat – a bénázást vagy más, nem technikai okokat leszámítva –, ha az egész rendszert újratervezik, hogy felkészülten várhassák az újabb támadást.
Mi nagyon szurkolunk, hogy Kósa Lajos és a Fidesz ez irányú törekvése sikerrel járjon.
A Fideszen kívül elküldtük a kérdéseinket a nyomozásról a rendőrségnek is, illetve írtunk a Nemzeti Kibervédelmi Intézetnek (NKI) is, hiszen a kormánypártot érte kibertámadás.
Frissítés 1:
Egyelőre az NKI, pontosabban az intézet alá tartozó Kormányzati Eseménykezelő Központ (GovCERT) válaszolt, már a cikk megjelenése után. Egyrészt azt, hogy a fidesz.hu fenntartójának nincs az Infotörvény szerinti incidensbejelentési kötelezettsége, vagyik ők nem illetékesek. A támadás utáni helyreállításról általánosságban azt írták, a támadás típusától függ, szerintük "kompromittálódással járó támadás esetén általában javasolt az érintett rendszerelemek leválasztása, elszigetelése a kivizsgálás lezárultáig, ugyanis a visszaállítás akadályozhatja vagy akár el is lehetetlenítheti a műszaki adatok (nyomok, bizonyítékok) begyűjtését."
Frissítés 2:
Az ORFK válasza szerint a Fidesz feljelentése október 3-án, azaz egy nappal a támadás után érkezett be, és a Készenléti Rendőrség Nemzeti Nyomozó Iroda indított az ügyben eljárást információs rendszer elleni bűncselekmény gyanúja miatt, ismeretlen tettes ellen. Többet "a folyamatban lévő nyomozás érdekeire tekintettel" nem árultak el.
Frissítés 3:
Október 26-án, azaz két nappal a cikkünk megjelenése után a Fidesz bejelentette, hogy megkezdték a rendszer visszaállítását, újra elérhetővé vált a fidesz.hu. A visszaállítás biztonsági megfontolások miatt lépcsőzetesen történik.