... mert választani kell

A BKK elleni DDOS valóban csak főpróba volt?

2017/08/02. - írta: Válasszunk

A héten a Magyar Idők oldalain  Horváth József vezérőrnagy ilyen irányú véleménye jelent meg a héten. Azt kell, hogy mondjam: Abban igaza van, hogy ennél lényegesen komolyabb támadások is jöhetnek. Amit ír az egyértelmű: "a jelek pedig arra mutatnak, hogy nincs vége a kibertámadásoknak. Célkeresztbe kerülhetnek akár a nagy nyilvántartó rendszerek is, mint az adóhivatali, a nyugdíjfolyósító vagy éppen a társadalombiztosítási számítógépes nyilvántartások. Gondoljunk bele, mekkora politikai kárt okozna, ha a választási kampány idején lebénítanák a nyugdíjfolyósító rendszerét, és nem vagy csak késve tudnák kifizetni a nyugdíjakat"

Kampány időszak van és a BKK ügy kezelése nem csak a magyar IT szakma rosszallását váltotta ki, hanem nemzetközi visszhangja is van. Számos IT biztonsággal foglalkozó szakértő, "hacktivista" és hacker számára egyértelmű az ügy. A BKK és a T-Systems viselkedése elfogadhatatlan, nincs erre elfogadható magyarázat sem. Amire mindenki a saját vérmérséklete szerint reagál. De biztos az, hogy ahogy van aki festékdobálással, síppal fejezi ki a véleményét úgy van olyan aki hackeléssel. Vagy DDoS támadással. Vagy... Ugye senki sem hiszi azt, hogy ezek az emberek egy sok szempontból kiemelkedő és sokáig aktuálisként megmaradó ügyben, kampány időszakban, szépen csendben lesznek?

Ha egyetlen hacker megvádolása is előhozta a népharagot sok esetben ebből a körből, akkor ki merne arra fogadni, hogy a mostani terroristázás, a sokakat fenyegető keménykedés nem fog a közösség számos tagjában még több ellenérzést kiváltani? És a közösség jelentős része nem Magyarországon él, velük szemben nehéz fellépni. A kollégák a Röszke kapcsán elhangzó terrorvád után egy ilyen forgatókönyvről hallva nem azt fogják mondani, hogy meg kell fogni a tizenéves hacktivistákat, mert szakértelmet és hardwaret igényelt a támadása... Nem, hanem kiröhögik a magyar rendőrséget, és onnan sok más kérésre is ez fogja rányomni a bélyegét. 

Pontosan erre a hozzáállásra mondtam azt: Az esetben való rossz fellépés fertőz és egyre nagyobb problémát okoz. Ugyanakkor meg szeretném jegyezni: A terrorcselekménynél követelések is vannak. A hacktivitsa tevékenysége sem más érdemben, mint a festéket vagy tejfölt dobáló aktivistáé. Vagy a sípolóé aki erőszakkal nyomná el más hangját. 

Csakhogy a célpontokat nem ott kell keresni ahol ő gondolja. Ugyanis akiket most az ügy sok résztvevője feldühített azok saját magukkal szemben nem gyűlöletet, hanem szimpátiát akar kelteni. Így pedig a nyugdíjfolyósító számára nem jó célpont. Ez leginkább a "gyújts fel egy középületet, és fogd rá az ellenfélre" játék hívei számára jelentene jó célpontot, így éppen a kormánypártok számára lenne stratégia. Kicsit zavar is, hogy ilyet emleget olyan akinél megvannak ehhez az erőforrások és a politikai lojalitást a kérdésben a szakmaiság fölé helyezte.

Ugyanis nem kell nagyon nagy rendőrnek lenni ahhoz, hogy felismerjük: Ha hackerek sokaságát dühítette fel a BKK és a T-Systems és ezek között akad nem csak white hat, hanem black hat hacker is, akkor a DDoShoz szükséges tudás rendelkezésre áll. Már a betárcsázós modemek és a sulinet korszakának 12 éves korosztályánál is volt olyan eszköz ami a teljes rendelkezésre álló sávszélességet megpróbálta kihasználni.

Hogy mennyire elérhető ehhez a hardware? Pár száz, pár ezer, vagy pár tízezer ilyen ember által végrehajtott támadás nem vicces, de nem is kivédhetetlen. Fontos, hogy bár a log file 13000 sor / másodperc sebességgel telt meg, egy oldalletöltés például több sor logot produkálna. Induljunk ki abból, hogy ez legfeljebb 13000 lekérés / másodperc. A másodpercenként 13000 lekérés legfeljebb százas nagyságrendben igényel gépeket, de valójában néhány filléres raspberry pi segítségével is megoldható. Az, hogy számos pénztelen KKV esetében a HTTPS elérhető 3 szolgáltatónak köszönhető. Let's Encrypt, a cPanel féle autoSSL, és a Cloudflare is sokat tett ezért. Nos az utóbbi cég DDOS elleni védelmet is kínál. A másodpercenként 13000 lekérés náluk nem jelent gondot.

Milyen egy komolyabb támadás? A komoly politikailag motivált DDOS kapcsán eszembe jut egy eset: Amikor bekopog az Anonymous. Ez ennél több nagyságrenddel nagyobb. De a black hat hackereknél botnet is lehet elég komoly mennyiségű feltört géppel. Az itt látott volumennél nagyságrendekkel nagyobb mennyiségű lekérés jelenne meg. 

Ahhoz sem kell nagy ész, hogy felmérjük: A nyugdíjak folyósítása kapcsán semmi szükség arra, hogy a publikus interneten bármely ismert címet támadjunk. Ez a rendszer nem lenne puha célpont. Az államigazgatás kapcsán puha célpontot inkább mondjuk a takarnet környékén keresnék. Mondjuk visszaélve azzal, hogy sok tanúsítványhibát rutinból fogad el sok érintett és könnyen telepít tanúsítványokat, ez pedig súlyos biztonsági kockázat. 

A puha célpontok között például ott van a jobboldali média sok bástyája. A 888, a Magyar Idők, a Hirado.hu, az Origo. Az utóbbi a Telekomos múltja miatt is jó célpont. De meghackelni egy TV adásért felelős rendszereket és azokon keresztül a TV adást is lehet. De van egy sokkal egyszerűbb és kellően védtelen célpont: Számos FIDESZ szavazó véleményvezér saját privát Facebook accountja. De az Insta, a Google, vagy az Apple account vagy sok más is jó célpont, amivel fotók és sok más kerülhet ki. És ezek mindegyike szavazatokba kerülhet. És a legtöbb ilyen lépés szimpátiát kelt az aktivisták irányában. 

A lehető legtöbb az adott párt választási esélyeit negatívan befolyásolni igyekvő hackerek célja ugyanis azt irányítani, hogy milyen információ jut el a választóhoz. Ehhez információt szereznek, amit ügyesen összeválogatva elérik, hogy sok tényállítás igazolható legyen. Ha a megismert tényeknek csak 5%-a jó, hogy alátámasszon egy storyt, akkor csak az az 5% jelenik meg náluk. Kiegészítve némi innen-onnan összetákolt kontextussal, és véleményekkel. Nomeg "ebből arra is következtethetünk" jellegű mondatokkal taglalt következtetésekkel. És ezt elterjeszteni nem nehéz. 

Az eset kommunikációja kapcsán jeleztem: A probléma nem gátszakadás, hanem járvány, és könnyen fertőződik meg aki rosszul nyúl hozzá. A Magyar Idők számos felháborító cikke pedig könnyen elérheti, hogy nem csak a hazai ellenzék, pár politikai aktivista csoport, hanem az IT szakma nagyobb része haragudjon rájuk. Hackerek is, és máskor Magyarországgal nem foglalkozó hacktivisták is. 

Ez csupa olyan dolog amire kb. bármely webfejlesztő képes. Ha ezen a szinten túllépünk akár a képzett programozók, akár IT biztonsági kutatók, akár az "igazi hackerek" felé akkor ennél érdekesebb dolgok is történhetnek. Ugyanakkor az eddig történt események jelentős része nem a BKKt, a T-Systemset, az ügybe környékig belekeveredett politikusokat, és egyes lapoknál dolgozó seggnyaló bértollnokokat figyelmezteti. Hanem a potenciális felhasználókat akiket ez a webbérlet szintű tákolmány veszélybe sodor. 

A Black hat hackerek eszköztárában ott van a megtévesztés. Aki fel tud építeni egy phishing oldalt és el tudja juttatni sok emberhez, az fel tud építeni egy kamu Magyar Idők vagy 888 klónt és el tudja juttatni a szavazók tízezreihez és eléri a megosztásokat. A phishing esetében használt megtévesztés mellett ott van a social engineering, mint ismert módszer. Ehhez pszichológiai ismeretek, manipulációs módszerek is hozzá tartoznak. A mostani helyzet viszont a white hattól a black hatig mindenkit felbőszíthet.

A mostani eset botrányos, de az arrogancia, sok érintett reakciója is bicskanyitogató ráadásul arra is rámutat, hogy a többi problémás rendszernél sem a felhasználók adatainak biztonsága az első, hanem ilyen reakcióra számíthatunk. 

komment

A bejegyzés trackback címe:

https://valasszunk.blog.hu/api/trackback/id/tr5412709168

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása