A használt technikákról, a keletkező károkról és a lehetséges védekezésről Tóth Istvánt, az informatikai biztonság szakértőjét kérdeztük.
A választási kampány utolsó hetében számos hazai portált ért hekkertámadás. Március 28-án több online lap (a Magyar Nemzet, a Nemzeti Sport és a 888.hu) vált elérhetetlenné, a támadás során előfordult olyan is, hogy külső forrásból kormánykritikus tartalom került ki. Sokan az Anonymous nemzetközi hekkercsoportot sejtették az akció mögött, a történtekre még Varga Judit igazságügyi miniszter is reagált, aki szerint a jobboldali hírportálokat a nemzetközi médiától eltérő véleményük miatt támadták meg.
Két nappal később, március 30-án a Fidesz honlapját érte hekkertámadás, amit a nagyobbik kormánypárt az országgyűlési választásokba való beavatkozásként értékelt. A Momentum weboldala is leállt március 31-én, a párt közleménye túlterheléses támadást jelölt meg okként.
A kampányhajrá időszakában az Index címlapját is többször próbálták a megszokott forgalom sokszorosával lassulásra kényszeríteni, a lapunkat működtető szerverek azonban akkor ellenálltak ezeknek a törekvéseknek. Más internetes portálok (444, Telex) hasonló lassulásról vagy teljes leállásról számoltak be március utolsó hetében.
Bár a felsorolt támadásokat némiképp különböző módon hajtották végre, Tóth István informatikai biztonsági szakértő kérdésünkre elmondta, az mindenképpen közös bennük, hogy egyikhez sem kell feltétlenül túlságosan magas szintű ismeretekkel rendelkezniuk a támadóknak.
Például egy túlterheléses támadáshoz rendelkezésre állnak már bárki által hozzáférhető, nyilvános eszközök. Sőt előfordulhat az is, hogy a végrehajtó anélkül vesz részt egy támadásban, hogy mélyebb ismeretek birtokában értené, hogy valójában mi is történik pontosan.
„Ugyan nem a legkifinomultabb támadási forma, mégsem kell lebecsülni a túlterhelést, mert a védekezés ellene egyáltalán nem nyilvánvaló. Mivel a támadás eredménye – hogy például nem elérhető az oldal – kézzelfogható, így a közvélemény is ezzel találkozik a leggyakrabban, és az üzleti kár is jelentős lehet” – hangsúlyozta a szakember. Tóth István az orosz–ukrán háborúra is kitért: léteznek olyan nyilvános Telegram-csatornák, amelyekhez bárki csatlakozhat, és tájékozódhat egy túlterheléses támadás kivitelezéséről. Ezeken a fórumokon orosz célpontok ellen irányuló konkrét eszközöket ajánlanak, és instrukciókkal is ellátják az „önjelölt hekkereket”.
Ez egy kitűnő gyakorlóterep, ahol, úgy tűnik, egyelőre mindenféle jogi és egyéb következmény nélkül próbálgathatják a szárnyaikat azok, akik ehhez a projekthez önszántukból csatlakoznak.
Ha egy kicsit továbbgondoljuk, egyértelművé válik, hogy az itt megszerzett tapasztalat más, akár nem orosz célpontok ellen is felhasználható, de azt sem zárhatjuk ki, hogy akár már fel is használták – mondta el a kiberbiztonsági szakértő.
De hogyan zajlik pontosan egy efféle támadás? Alapesetben sok számítógépnek és IP-címnek kell részt vennie benne, de az is lényeges, hogy a támadók egy konkrét forrásból legyenek képesek erős forgalmat generálni. Amennyiben valaki magasabb szintű tudással rendelkezik, és megtalálja egy weboldalnak azon gyenge pontjait, amelyek számításigényesebbek, akkor már nagyságrendekkel kevesebb – akár néhány – számítógép és IP-cím is elegendő lehet egy hatékony támadás kivitelezéséhez.
„Ha, mondjuk, nem a gyorsítótárazott főoldalt böngészi az illető a weboldalon, hanem egy olyan lekérdezést hajt végre, ami komplexebb hátteradatbázis-beli műveletsort igényel, akkor ezeket a lekérdezéseket futtatva nyilvánvalóan sokkal kisebb támadói kapacitással kivitelezhető, hogy egy adott oldal elérhetetlenné váljon” – magyarázta a technikai részleteket Tóth István.
A választási kampányban megtámadott oldalak egy kisebb részénél a hekkerek a weboldal tartalmát is átírták egy rövid időre. Tóth István rámutat: ezek minőségileg teljesen más, jóval magasabb szintű támadások, mint az egyszerű túlterheléses támadások, komolyabb technikai képzettséget igényelnek. A támadónak ilyenkor már hozzáférést kellett szereznie vagy az oldal adminisztrációs felületéhez, vagy az oldalt működtető kiszolgáló operációs rendszeréhez. Ellentétben a túlterheléses támadással, ha egy hasonlattal akarunk élni, itt nem a „tűzerő” számít, hanem inkább az, hogy milyen pontosan célzunk.
A magyar választási kampány hajrájában történt támadássorozatról egy laikus elsőre azt gondolhatná, hogy mivel ez sok weboldalt érintett egy időben, ezért összehangoltan és egy nagy létszámú hekkercsoport részvételével történt, amit komoly előkészítés előzött meg.
A szakértő azonban máshogy látja ezt: „Bár nem tudjuk pontosan, hogy mi történt, mert semmilyen hiteles részlet nem került nyilvánosságra, de az elérhető információk alapján több jel arra utal, hogy itt egy viszonylag egyszerű dologról lehet szó inkább. Az érintett oldalaknál megfigyelhető volt, hogy vagy ugyanannál a szerverszolgáltatónál voltak, vagy hasonló, esetleg ugyanazon IP-címen, közös kiszolgálón működtek. De megfelelő szakemberek bevonásával készített incidenselemzések ismerete nélkül lehetetlen megmondani, mi is történt pontosan.”
Tóth István szerint a specifikus naplókat kell(ene) megnézni, a pontos felderítéshez pedig mélyre kell ásni. A szakértő ugyanakkor úgy látja, hogy a március 28-i támadássorozatnál egyáltalán nem biztos, hogy az történt, amire elsőre gondolnánk, vagyis hogy az egyes oldalakat külön-külön, nagy előkészítést követően érte támadás.
Az is egy lehetséges forgatókönyv, hogy a közös infrastruktúrán kiszolgált rengeteg oldal között találtak egy-két gyenge láncszemet.
Ezeken a gyenge láncszemeken keresztül pedig olyan magasabb szintű, illetve szélesebb körű jogosultságot tudtak szerezni, ami az összes többi oldalhoz is, akár egy lépésben, hozzáférést biztosított a támadóknak. Vagyis lehetséges, hogy egy fontosabb híroldal profibb védelemmel rendelkezik, ezért nehezebb is lenne feltörni, viszont egy elavultabbnak számító, kevésbé vizsgált – ismert sérülékenységgel rendelkező – oldalt kompromittálva a támadó a közös infrastruktúrán kiszolgált többi oldalhoz, illetve azok tartalmához, fájljaihoz és adatbázisaihoz is hozzáférést szerezhetett.
Ebben az elméleti forgatókönyvben a támadás tehát nem volt túlságosan szervezett vagy nagyon előkészített. De persze történhetett másként is.
Ha visszaidézzük az átírt tartalmú honlapok esetét, a módosítások csak rövid ideig voltak láthatók, az oldalak viszont utána hosszú ideig még elérhetetlenek voltak. A szakember szerint ennek az lehetett az oka, hogy a működtetőknek időbe tellett, mire visszaállították a szervereket a megfelelő működésre. Az üzemeltetők ugyanis ilyenkor sokszor inkább azt választják, hogy az átírt oldalt teljesen elérhetetlenné teszik, amíg nem sikerül visszaállítani az eredeti tartalmat.
„Ilyenkor az a veszély is fennáll, hogy a támadók egy úgynevezett backdoort (hátsó kaput) helyeznek el a kiszolgálón, ami a későbbiekben hozzáférést, belépést biztosít számukra a szerverekre, ugyanakkor az üzemeltetés és az adminisztrátorok elől el van rejtve, akár úgy, hogy egy mentésből visszaállítás sem írja azt felül. Ezen a hátsó bejáraton keresztül akár hetekkel, hónapokkal vagy akár évekkel később könnyedén vissza tudnak jönni a támadók, és megismételhetik az akciót” – tette hozzá Tóth István.
Tóth István szerint hatékony védekezés helyett inkább hatékonyabb védekezésről érdemes beszélni, nincs százszázalékos biztonság: amit ma még biztonságosnak hiszünk, az lehet, hogy holnap már nem az. Amint rátalálnak egy sérülékeny pontra, beindul a gépezet, a támadók megpróbálják minél gyorsabban kihasználni, a védekezés pedig megpróbálja ennek útját állni.
A védekezés egyik leghatékonyabb módja, ha olyan típusú sérülékenységvizsgálatokat végeznek rendszeres időközönként az éles rendszereken, amik a támadók repertoárjában szerepelnek. A szakértők ugyanis rendelkeznek azokkal a naprakész ismeretekkel, amelyekkel a támadók, és ezenfelül még azt is tudniuk kell, hogyan lehet kivédeni mindezt.
Ezek a támadó, offenzív szemléletű sérülékenységvizsgálatok azt jelentik, hogy a megbízott szakértők (a köznyelv őket nevezi etikus hekkereknek) a megbízó hozzájárulásával gyakorlatilag ugyanazokkal az eszközökkel ugyanazt csinálják, mint a kiberbűnözők: megpróbálják a rendszereket feltörni. Gyakorlatilag végrehajtják élesben azt, ami egy valódi támadáskor történik. Amennyiben sikerrel járnak, javaslatokat tesznek arra, hogy mit kell tenni annak érdekében, hogy egy hasonló támadás elkerülhető legyen
– részletezte a pontos folyamatot a szakértő. Hozzátéve, ezek a vizsgálatok komoly, folyamatosan naprakészen tartott szaktudást igényelnek, nem olcsók, de a mai világban egyre inkább elkerülhetetlenek. Magyarországon ez a fajta információbiztonsági tudatosság fejlődik, a tengerentúlon ugyanakkor már sokkal előrébb járnak. Ott már sok helyen nyilvánvaló, hogy bár ez költséges, de a komolyabb rendszerek üzemeltetéséhez elengedhetetlen valamilyen típusú komplex, állandó vagy szolgáltatásként igénybe vett informatikai biztonsági csapat (Security Operation Center, Blue Team, Red Team stb.) folyamatos jelenléte.
A túlterheléses támadás vagy a weboldalak átírása ráadásul csak a jéghegy csúcsa, ez az, amit a legtöbben észlelnek, azonban ennél sokkal súlyosabb következményekkel járó támadások történnek a felszín alatt – ezek mindegyike természetesen törvénysértő. A 2012-es Btk. önálló fejezetben szabályozza a tiltott adatszerzést és az információs rendszer elleni bűncselekményeket. Aki csak annyit tesz, hogy jogosulatlanul vagy akár csak a jogosultságai kereteit túllépve belép egy információs rendszerbe, vagy belépve marad, az két évig terjedő szabadságvesztéssel büntethető.
Tehát még az sem kell, hogy valaki módosításokat hajtson végre, már önmagában egy illetéktelen belépés is súlyos bűncselekmény.
(Borítókép: Annette Riedl / picture alliance / Getty Images)