Ködösítenek a választásnapi hekkertámadás körül

A rendszer lelassulása alig fél órán át tartott, ami arra utal, hogy a támadás nem lehetett túl profin megszervezve. A Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala egy hét múlva furcsa közleményt adott ki, amiben közölték, hogy az esetet kivizsgálták, megállapították, hogy nem történt bűncselekmény, ezért nem is tett a hivatal feljelentést.

Bűncselekmény, ami nem bűncselekmény

Amikor a támadás technikai részleteiről érdeklődtünk, azt a választ kaptuk, hogy az ügyet a KEK KH lezártnak tekinti, és nem ad további tájékoztatást. Ez több szempontból is nehezen érthető: egyrészt a hivatal közfeladatot lát el, közpénzből működik, ezért a vizsgálat eredménye közérdekű adat, legalábbis az a része biztosan, aminek a nyilvánosságra kerülése nem veszélyeztetné a szerverek biztonságát (a támadók gépeinek ip-címeiből fakadó információk, például hogy milyen országból érkezett a támadás, vagy a felhasznált sávszélesség, amire rákérdeztünk, nem ilyen adat).

Ennél is furább az indoklás, miszerint nem történt bűncselekmény. A számítógépes rendszerek elleni bűncselekmény fogalmát a magyar jog is ismeri, a Btk-ban a fogalom meghatározásánál (300/C paragrafus) többek között ez szerepel: „Aki adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel büntetendő.”. Ez pontosan ráillik a túlterheléses támadásra.

Mi az hogy DDOS?

A túlterheléses támadás (distributed denial of service, DDOS) lényege, hogy a célpont szervert több (esetenként több ezer) számítógépről egyszerre bombázza a támadó ártatlan lekérdezésekkel. Mivel egy lekérdezés sokkal kevesebb erőforrást, számítási igényt és sávszélességet igényel, mint annak kiszolgálása és a válaszadás, hiába óriási kapacitásúak a szerverek, ha elég gép vesz részt a támadásban, könnyen túlterhelhetőek. Ilyenkor a működésük lelassul, extrém esetben össze is omolhat. Túlterheléses támadásokhoz tucatnyi könnyen használható program tölthető le a netről, a legnépszerűbb a Low Orbit Ion Cannon, amit többek között a 4chan fórumozói használtak néhány hete a zeneipari óriáscégek elleni támadáshoz.

A védekezés alapesetben egyszerű: a szervernek meg kell adni egy listát a támadó gépek ip-címeivel, hogy ezekről a címekről semmilyen kérést ne szolgáljon ki (persze egy igazán profi támadásnál ennél bonyolultabb műveletekre van szükség). A választás tévés közvetítésén jól lehetett követni, hogy a KEK KH-ban pontosan így védték ki a támadást. Mindez azt is jelenti, hogy a támadást elhárító szakamberek ismerik az ip-címeket, amiket a támadók használtak.

Amatőrök vagy óvatosak

Ez persze önmagában még nem bizonyíték, hiszen az ip-cím csak egy számítógépet azonosít, azt nem, hogy ki ült mögötte. Ráadásul valós esély van arra is, hogy a gép a használója tudta nélkül, vírussal fertőzötten, egy zombihálózat tagjaként vett részt a támadásban. Ettől függetlenül nehezen érthető, hogy nem indítottak eljárást, hiszen az internetszolgáltatóknak ilyen esetben kötelességük kiadni, hogy az adott időben melyik előfizetőjüknek osztották ki éppen a kérdéses ip-címeket. A támadó pedig így érezné, hogy ha rábizonyítani esetleg nem is sikerül, utolérni azért utolérik.

Az, hogy a valasztas.hu elleni támadást fél óra alatt elhárították, arra utal, hogy vagy komolytalan próbálkozás volt az egész, vagy óvatos tapogatózás, hogy mit bír a rendszer, és hogyan reagálnak a fenntartói. Biztonságtechnikai szakértők szerint az online alvilágban néhány tízezer forintnyi összegért lehet túlterheléses támadásra több ezer gépből álló, több gigabites sávszélességen támadó zombihálózatokat bérelni – sőt, mostanában olyan túlkínálat van a piacon, hogy már óránként 10 dollár (2000 forint) alatt is kínálnak DDOS-támadásokra botneteket.