Elszaporodtak a magyar híroldalak elleni túlterheléses támadások, de korábban az előválasztás oldala is órákra elérhetetlenné vált emiatt. A KÜRT Zrt. etikus hekkerével beszélgettünk a jelenségről, motivációkról, károkról és védekezésről.
Magyar Narancs: Kezdjük az elején: mit jelent a DoS vagy a DDoS-támadás?
Bujdosó László: A ’90-es évek óta létező jelenségről beszélünk – az első komolyabb támadás még 1996-ban érte az egyik legnagyobb internetszolgáltatót, a Panixet. Aztán teret hódított, és ma már egyre komolyabb eszközöket használnak hozzá. Maga a kifejezés, a denial of service szolgáltatásmegtagadást jelent. Ha ezt hálózatban követik el, ahogyan egyébként szokták, mert úgy hatványozottan hatásosabb, akkor a kifejezés kiegészül a distributed jelzővel, ez a DDoS. A lényegük az, hogy a támadók olyan tömegű egyidejű kéréssel bombázzák a szervert, hogy az képtelen legyen ezeket teljesíteni. Emiatt először lelassul, majd elérhetetlenné válik az oldal. Hétköznapi hasonlattal élve olyan ez, mint amikor Morzsi, az engedelmességi vizsgás blöki a legapróbb jelzésekre is azonnal engedelmeskedik, és mellette rengeteg parancsot ismer. Ha tudatosul benne, hogy a gazdi szól neki, a legkülönbözőbb attrakciókra lehet rávenni. De ha megjelenik 10–20 ember, akik egymást túlkiabálva elárasztják a kutyát a parancsokkal, Morzsi előbb nem fogja tudni megkülönböztetni a parancs kiadójának pontos személyét, majd a parancsok sokasodásával teljesen összezavarodik.
MN: Mennyi számítógépre van szükség egy sikeres túlterheléshez?
BL: Manapság már jellemzően nem is feltétlenül csak számítógépeket használnak, a legtöbb támadást az IP-kamerákkal, hálózati berendezésekkel, robotporszívókkal, internetre kötött különféle háztartási berendezésekkel végzik el. Ezek nem a támadás célpontjai, csak a végrehajtásához használják eszközként. Egy egyszerű támadás akár egyetlen eszköz segítségével is lebonyolítható, de van, amikor százezres nagyságrendben összekötött eszközök hálózatáról beszélünk.
MN: Hogyan férnek hozzá a támadók ezekhez az eszközökhöz?
BL: Kihasználják a sérülékenységüket. Számos weboldal, fórum létezik, ahol elérhetők az okos eszközök még nem javított sérülékenységi hibái. Úgy hívják ezeket, hogy 0day exploitok. Ezeken keresztül hozzáférnek a támadók az eszközökhöz, amelyekre bejuttatják a támadó scriptet, amely általában egy nagyon egyszerű kódsor. Ha a támadók beférkőznek ezekbe az eszközökbe, a fertőzött eszközök, az úgynevezett zombi gépek távoli irányítással rosszindulatú feladatok elvégzésére használhatók. Csak annyit kell nekik mondani, hogy a kiszemelt oldalt megadott időben meghatározott ideig árasszák el felesleges kérésekkel. Léteznek külön erre specializálódott gyűjtőszájtok is, ahol ezeknek a sérülékeny eszközöknek az IP-címeire lehet keresni.
MN: Felhasználóként észreveszem, ha az eszközömet használják egy ilyen akcióhoz?
BL: Egy átlagos támadó script vagyis kódsor még egy átlagos képfájl méretét sem éri el. Emiatt olyan helyekre lehet elrejteni, és olyan kódrészletekbe lehet becsomagolni, ahol észrevétlen marad.
MN: Meg tudom akadályozni, hogy a saját eszközeimet ilyen akciókra használják?
BL: Annyit tehetünk, hogy telepítjük az eszközre érkező ajánlott frissítéseket. Vannak olyan szervezetek, amelyek fizetnek azért, ha valaki feltár valami sérülékenységet. Ha így kiderülnek ezek a 0day, vagyis nulladik napi hibák, akkor nehezebb ezeket az eszközöket támadni. Mi is végzünk folyamatosan hasonló teszteléseket, de a hagyományos támadási metódusokkal szemben az a gyakorlat, hogy nagyrészt az erősebb hardver „győz”.
MN: Kik állnak az ilyen akciók mögött?
BL: Általános jelenség, hogy a kódoláshoz kevésbé értő, de a hekkerség iránt nagyon is érdeklődő fiatalok, script kiddie-k szórakozásból vagy kíváncsiságból blokkolnak oldalakat. A kapacitásaik általában korlátozottak, de így is komoly károkat, leállásokat tudnak okozni. Gyakran összekötik a támadást különféle deface tevékenységgel, vagyis a megtámadott weboldal főoldalán kicserélik a tartalmat, majd ezeket az eredményeket büszkén megosztják. Vannak olyan oldalak, ahová a feltört vagy deface-elt oldalakat gyűjtik. Ilyen például a zone-h.org, ahol jelen pillanatban közel 1,5 millió feltört weboldal található. És ezek nem a legnagyobb szervezetek akciói, hanem azoké a fiataloké, akik egy-egy eljárást elsajátítva támadják meg a weboldalakat. A Zone-h-ra feltöltött oldalak feltört és irányítás alá vont szájtok. Ritka önmagában, hogy DDoS eljárással történt a deface létrehozása, de az jól látszik, hogy szinte percenként törnek fel oldalakat, és a címek között rengeteg gov-os érdekeltség is található. Itt inkább a nulladik napi hibák másfajta kihasználását mutatja meg a szájt. Nemcsak eszközök, IP-kamerák sebezhetőségei kerülnek ki a netre, hanem különféle CMS (tartalomkezelő rendszer) és egyéb szerverekkel is ez a helyzet. Ezek kihasználását mutatja gyakorlatilag valós időben a Zone-h.
A másik lehetőség, hogy ezek a támadások szervezetten történnek, sokszor ideológiai alapon. Ilyenkor különböző hekkercsoportok – például Anonymus, Cozy Bear, BBHH (Bangladesh Black Hat Hackers), Croatian Revolution, Cyber Partisans, Honker, LulzSec – végzik el az akciókat.
MN: Kik, mik a célpontok?
BL: A választási oldalak az első számú célpontok. Orosz részről hivatalosan nem erősítették meg ugyan, de a 2016-os amerikai elnökválasztás előtt a DNC (Democratic National Committee, Demokrata Nemzeti Bizottság, a párt vezető testülete – a szerk.) felkérésére készített tanulmányok alapján a Cozy Bear és Fancy Bear nevű orosz érdekeltségű csoportok garázdálkodtak hetekig az amerikai választási rendszerekben. Ez a támadás célzott volt. Nem központi szervereket, hanem gyenge védelemmel rendelkező célgépeket támadtak, többnyire a Cobalt Strike-kal vagy hasonló célszoftverekkel.
Ezek a támadások nagyrészt politikai indíttatásúak. A hekkerek is háborúban állnak, és a legérzékenyebbek természetesen a választási vagy a választást megelőző időszakok.
MN: Milyen károkat tudnak okozni?
BL: Nemrég a Facebook több órára leállt. Ez ugyan nem DDoS-támadás volt, de jól mutatja, hogy milyen volumenű anyagi károk keletkezhetnek egy ilyen akció során. A Facebook részvényárfolyama 4–5 százalékot esett percek alatt, és a cég tőzsdei értéke 7 milliárd dollárral esett vissza a pár órás leállással; és további 10 milliárd dolláros veszteséget könyveltek el. Egyetlen napról beszélünk, nem egészen 24 óráról. Minél nagyobb egy portál, annál sebezhetőbb. Sok tőzsdei kereskedő valós időben figyeli a hekkertámadásokat, mert jól tudja, hogy ha az adott portált DDoS-olják, akkor az árfolyama esni fog. Ugyanez kormányzati szerveknél más jellegű, de szintén komoly károkat tud okozni.
MN: Milyen károkat?
BL: Egy állami szerv esetén nehezen behatárolható, de mindenképpen jelentős kárról beszélünk. A 2016-os amerikai választások idején a DDoS csak egy része volt a támadásnak. A valós támadás több fronton, egymástól eltérő eszközökkel zajlott. A DDoS, mivel mindenki felfigyel rá, sokszor csak elterelő szerepet tölt be. A valós károkozás sokszor egyetlen gyenge láncszem megtalálásából áll. Ez lehet egy belső hálózaton – például állami intranet hálózaton – lévő nyomtató, IP-kamera vagy PC.
MN: Az anyagi veszteségen kívül milyen károk keletkezhetnek? Előfordulhat egy ilyen támadás során adatvesztés is?
BL: Az adatvesztés nagyon ritka DDoS-támadás esetén. A károkozás célja ilyenkor kimondottan a portál működésképtelensége. Aki direkt adatlopással próbálkozik, az többnyire különféle illegális kiskapukon jut be a szerverre, és épphogy nem akarja, hogy észrevegyék. Még a nyomokat is igyekszik eltakarítani maga mögött.
MN: Hogyan lehet a DDoS-támadást kivédeni?
BL: Technikailag csak részleges megoldás van arra, hogy ezeket a túlterheléses támadásokat kivédjék. Az Egyesült Államok és a NASA szervereit is rendszeresen érik támadások. Léteznek különféle védelmek, erre specializálódott szolgáltatók, de a gyakorlatban igazából nincs ezekre a támadásokra teljes megoldás. Inkább azon múlik a védelem hatásossága, hogy a fertőzött és a védettségbe bekötött szerverek száma hogy aránylik – azaz mennyiségileg ki nyeri meg ezt a versenyt. Sok védelmi szolgáltatás eleve lassítja az oldal betöltését, ebből fakadóan nagyobb szerveroldali hardverparkot igényel, amit sokszor csak a nagyok engedhetnek meg maguknak. Mintha őrt állnék a kapuban, és minden egyes embert ellenőrzök, hogy tényleg rajta van-e a listán. De ez jelentősen lassítja a forgalmat.
MN: Költségesek ezek a védelmek?
BL: Egy komolyabb portál esetében akár havonta 1–2 millió forintos tétel is lehet, és ez még csak az alapcsomag, tulajdonképpen csak a készenlét, de támadási időszakban jelentősen növekedhet, akár a többszörösére is. Az egyik legnagyobb támadás a GitHubot, a világ egyik legnagyobb szoftverfejlesztői portálját érte, és ezt a másodpercenként 1,3–1,5 terabites volumenű támadást elhárította az általuk megbízott szolgáltató. Ebben az esetben a védelem költsége akár 50–100 millió forint is lehet havi szinten. A napokban történt DDoS-események is jól mutatják, hogy mekkora költséget okozhatnak, akadt akár 76 milliárd forintnak megfelelő váltságdíj is a támadás beszüntetésére hekkeroldalról. Ez a nagyságrend azonban csak a kimondottan nagy, nemzetközi portálokra jellemző. Egy-egy itthoni, nagy méretű portál esetén 10 és 30 millió forint közötti a végösszeg. A nagy cégek igyekeznek ezeket az adatokat és magát a támadás tényét is titkolni. Ha ezek az információk nyilvánosságra kerülnek, jelentős tőzsdei veszteséget okozhatnak, és a cégek hitelessége is csökken. Mindegy, hogy mennyit költ valaki a portáljára, ha biztos és állandó DDoS-védelmet akar, ezt az összeget sajnos simán meg kell, hogy duplázza.
MN: És mennyit költ egy hekker a támadásra?
BL: Sima DoS-támadással könnyedén haza lehet vágni bármilyen tartalomkezelő rendszert (CMS-t). Ehhez már komplett megoldások szerezhetők be a netről, és egy ilyen, alig 30 kB-os, letölthető állomány a régebbi és egyszerűbb szervereket teljesen tönkre tudja tenni. Léteznek nyílt forráskódú DoS-támadó eszközök is az interneten, amelyek nem mindig kerülnek jó kézbe. A darkweben pedig ezek a csomagok már szolgáltatásként is elérhetők. Ott lehet szervereket bérelni erre-arra. Ebben az esetben hálózatba kötött gépekről, ún. botnetekről beszélünk. Vannak különböző botnethálózatok, de ezek nem pörögnek olyan szinten közforgalomban, hogy ahhoz sokan hozzáférjenek. A gyakorlat azonban az, hogy ezeket a botnethálózatokat kiadják bérbe. Ezeknél van olyan, ahol zombi gépek 150–200 ezer darabos, de akár 4–5 milliós csoportja van hálózatba kötve.
2019-ben a darkweben a tor-hálózaton egy 150–200 ezres botnet bérlése egy 3 órás, többnyire szabadon választott akcióhoz 50–70 ezer dollár, vagyis 18–20 millió forint között mozgott.
MN: Mennyire beazonosíthatók a támadók?
BL: Szinte semennyire. Ha a támadás egyénenként zajlik, akkor általában az ember elbújik egy VPN, egy proxy mögé, vagy ezeket egymás után sorba kötve alakítja ki a megfelelő védelmet. A nagyobb szervezetek az idegrendszerhez hasonló felépítésűek. A zombi gépek között vannak, amelyek IP-t cserélnek az alájuk rendelt többi vasnál, de akadnak, amelyek proxykat kötnek egymásba, és semmi mást nem tesznek, mint a támadó oldal forgalmát átvezetik egy nehezen lenyomozható internetes elosztóponton. Ezek visszafejtése komoly adminisztrációs nehézségekkel jár. Én küldhetek Bangladesbe, Indiába az ottani IP-szolgáltatónak egy levelet, hogy a naplófájlok szerint erről és erről az IP-címről ilyen és ilyen támadás érkezett, de mire ez végigfut, mehetek a következőre, aztán a következőre, és a gyakorlatban arra sem igazán van biztosíték, hogy az azonosított szerver nem további azonosítatlan forrású üzeneteknek engedelmeskedett-e. Ez rettentő időigényes. Nagyon sokat mond, hogy évekig vagy akár egy évtizedig nem találták például a Zeus nevű trójai vírus készítőit.
MN: Ha ennyire nem beazonosíthatók a támadók, hova tudok fordulni jogorvoslatért? Tehetek feljelentést a rendőrségen?
BL: Nagyon sokan tesznek, ennek van is valamennyi visszatartó ereje. Nemzetközileg nagyon komoly szankciók követik az ilyen akciókat. Nem ritka a félmillió dolláros kártérítési összeg. De volt, akit 8–10 évre börtönbe csuktak. Egy olyan embernek, aki az interneten él, ez egy bődületesen hosszú időszak. Ha tíz év kiesik az internetes korszakából, azzal vége a hekkerpályafutásának. Akad persze ellenpélda is, amikor az elkövető a saját maga által írt DDoS-program igazolt használatát követően pár hónap elzárással megúszta. Ezek a programozók a későbbiekben sokszor új életet kezdenek, és a társadalom szolgálatába állítják a tudásukat.
MN: De ehhez az kell, hogy a nagyon lassú, rendkívül időigényes beazonosítási folyamat sikeres legyen.
BL: Igen, de ez a gyakorlatban nagyon ritka. Egy támadás alatt általában csak országokat, városokat tudnak megjelölni támadási forrásként. Az IP-címek tól–ig beazonosíthatók, de az, hogy én ezekben szűrjek, szinte lehetetlen feladat. Nagyjából megállapítható, hogy milyen eszközökről érkezett a támadás, de ha körbenézünk, több tízezer, százezer eszköz vesz körül minket. Minden egyes porszívót, kamerát megnézni olyan, mint tűt keresni a szénakazalban. Rengeteg adatot át kell vizsgálni, és sokszor a szerencsén múlik, hogy eredményes-e egy ilyen felderítés. Ha egy 3 órás DDoS-támadás alatt nem sikerül eredményre jutni, utólag már szinte biztosan nem beazonosíthatók a támadók. Inkább az a jellemző, hogy egy-egy szervezet magára vállalja az akciót.
MN: Mit kezd a büntetőjog ezekkel a támadásokkal?
BL: A DDoS-támadás összetett folyamat, főleg, ha hálózatban követik el. Kapásból megáll a szándékosság, a szándékos károkozás, a különösen nagy értékre elkövetett bűncselekmény, hálózatos támadás esetén pedig a bűnszervezetben vagyon elleni bűncselekmény, folytatólagosan elkövetett támadás. Ezek könnyen felsrófolhatják a büntetési tételeket. De ha beazonosítható is a támadó, nehezíti az eljárást, hogy jellemzően országhatárokon átívelve érkeznek a támadások. A felderítéshez elengedhetetlen a jól működő jogi kapcsolat az országok között. Össze kell vetni a büntető törvénykönyvet, meg kell nézni, van-e kiadatás, volt-e megbízó? Nagyon komplikált az ilyen ügy, a vizsgálat évekig elhúzódhat. Ha politikai indíttatású volt a támadás, az sem biztos, hogy egy politikai ciklus alatt véget ér.
MN: Az elmúlt hetekben Magyarországon független és kormánypárti oldalakat egyaránt ért túlterheléses támadás. Unatkozó informatikusok játékáról van szó, vagy szervezett támadásról?
BL: Egy komolyabb felderítés során a támadást összevetik hasonló támadássorozatokkal, azoknak a felépítésével, ebben az esetben felismerhetők azonos mintázatok, amiből lehet következtetni az elkövetőkre. De ez a nagyobb, szervezett támadásoknál fordulhat elő. Egy komolyabb portált szólóban „ledosolni” szinte lehetetlen.
Ebben az esetben szinte biztos, hogy csoportos akcióról van szó.
Ezzel szemben egy alap CMS-rendszer megbénítása egy apró kis eszközzel megoldható.
MN: Különböző híroldalak akár ugyanazon a szerveren is futhatnak, így előfordulhat, hogy az egyik oldalt célzó támadás egy másik működésére is kihat. Ezek a támadások összefügghetnek-e?
BL: Ezt nehéz pontosan megállapítani. A hekkerek mindig egy lépéssel a politikusok előtt járnak. Ha közeledik egy választás, biztos, hogy a támadások száma is megnő. Ez várhatóan itthon is erősödni fog, aminek különböző netes szondázó portálokon már most látszanak a nyomai. Európa követi Amerikát, elég az ottani eseményekre vetni egy pillantást.
