Tényleg terroristák bénították meg a BKK honlapját?

A kiberbiztonsági szakértő szerint a T-Systems hibái után előállt helyzetben nem terroristák terhelték túl a honlapokat, hanem valószínűleg felháborodott szakmabeliek.

Ma számoltunk be arról, hogy Horváth József vezérőrnagy szerint a BKK és a T-Systems rendszerét érintő támadásoknak nagyon komoly nemzetbiztonsági vetületei vannak, egy alapos vizsgálat után akár terrorcselekménynek is minősíthetőek e tettek, és fennáll annak lehetősége, hogy mindez csak próba volt egy későbbi, a nemzeti infrastruktúra részeit célba vevő támadássorozathoz.

E kijelentések igen súlyosak, ezért megkérdeztük Hubert Csaba kiberbiztonsági szakértőt, akinek a gondolatait és vélekedését az alábbiakban közöljük.

A BKK-t meghackelő fiú előállításának híre után először a BKK, majd a T-Systems rendszereit érte támadás, melynek következtében a cégek weboldalai és a BKK egyes háttérszolgáltatásai elérhetetlenek lettek hosszabb időre.

Fontos megértenünk, hogy mi is történt valójában, és ezt hogyan lehet a valóságban kivitelezni.

Az érintett cégek rendszereit ún. elosztott szolgáltatásmegtagadással járó támadás (Distributed Denial of Service, DDoS) érte. Ezt a gyakorlatban annyit jelent, hogy olyan nagy számú csomag érkezik folyamatosan a támadott rendszer irányába, amit azt nem képes feldolgozni és mindegyikre válaszolni, emiatt a mögötte levő szolgáltatások részben vagy teljesen elérhetetlenek lesznek.

Egy ilyen támadás kivitelezéshez nem szükséges mélyreható informatikai tudás, ugyanis a nyílt interneten és a dark weben is elérhetőek olyan oldalak, melyek fizetős szolgáltatásként kínálják ezt a támadást. Fizetni pedig lehet anonim módon is, pl. bitcoinnal. Ezek az oldalak általában a CloudFlare névtelenséget biztosító szolgáltatása mögé vannak bújtatva, továbbá a felhasználók VPN és más egyéb anonimizáló szolgáltatás (pl. TOR, Tails) segítségével érik el azt.

Mindezek miatt gyakorlatilag lehetetlen beazonosítani a valódi elkövetőt.

A támadáshoz használt infrastruktúrát olyan globális botnet-hálózatok összessége alkotja, mely fertőzött számítógépekből áll össze. Egy ilyen akció során egy magasabb csomag vásárlása esetén több száz Gbit/sec sebességű támadás indítható hosszabb időre.

Az alábbi képen is láthatjuk, hogy már mindösszesen havi ~ 38 ezer Ft-ért tudunk bérelni egy 250-300 Gbps-os nagyságú támadást, amivel csaknem 2,5 óráig tudjuk támadni a célpontot.

DDoS
[+]

A kezelése rendkívül egyszerű, mindösszesen a támadni kívánt rendszer IP-címét kell megadni, majd a start gombra kattintva azonnal elindul a támadás.

Egy ilyen nagy volumenű támadás kivédéséhez rendkívül nagy sávszélesség és komoly eszközök szükségesek. Általában csak a legnagyobb rendszerek védettek az ilyen jellegű támadások ellen, de elmondhatjuk, hogy ha a támadás intenzitása kellően nagy, akkor a legkomolyabb cégeket is megbénítja. (lásd a korábbi DynDNS szolgáltatót ért támadás.) Természetesen szeretném kihangsúlyozni azt, hogy a Büntető Törvénykönyv 423. §-a szerint – mely az információs rendszer vagy adat megsértése tényállást taglalja – az ilyen jellegű cselekmény elkövetése bűncselekménynek számít – vagyis a sok helyen olvasható vélekedéssel szemben a DDoS nem vicc, nem poén, végrehajtásának komoly következményei lehetnek.

DDoS
[+]

Egy hosszú ideig tartó, intenzív DDoS-támadás során a kiesés következtében óriási anyagi károk keletkezhetnek az áldozatnál, hiszen a szolgáltatásaik elérhetetlenek lesznek. Rosszabb eset az, ha egy kritikus infrastruktúrát vagy létfontosságú rendszerelemet érint a támadás, hiszen ez minden állampolgár életére kihatással van és komoly nemzetbiztonsági kockázatot hordoz. E rendszereket érintő támadások kivédésére hozták létre az Országos Katasztrófavédelmi Főigazgatóság irányítása alatt működő Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központot (LRLIBEK).

Kétségtelen, hogy napjainkban a különféle informatikai rendszereket számtalan kisebb-nagyobb támadás éri folyamatosan, azonban egy komolyabb támadás mögött leggyakrabban államilag támogatott hackerek állnak és céljuk a kiberterrorizmus. A módszerük pedig jelentősen szofisztikáltabb egy egyszerű DDoS-támadáshoz képest. Az állami és önkormányzati rendszereket érintő támadások esetében hazánkban a Nemzeti Kibervédelmi Intézet alatt működő GovCERT lát el megelőző, elhárító feladatokat.

Nagy valószínűség szerint tehát a BKK-ügy esetében nem történt más, csak annyi, hogy azok az elégedetlen szakmabeliek, akik nem értettek egyet a fiatal fiú meghurcolásával, egyszerűen befizettek egy ilyen szolgáltatásra. Valószínűleg sosem fog kiderülni, hogy kik voltak az elkövetők valójában. Elhamarkodott megállapítás tehát e történések után terrorcselekményről beszélni, vagy éppen a kritikus infrastruktúrákat célzó támadásokat vizionálni. Mindezek valóban létező kockázatok, de igen kicsi az esélye annak, hogy ezzel az üggyel összefüggésben lennének.

Azóta történt

Előzmények