Сайтовете на властта атакувани от компютри зомбита в чужбина по време на изборите
На 25 октомври хакерите запушили информационния канал с DDoS, не успели да проникнат в базата данни
През последните няколко седмици станахме свидетели на поредното кибернападение срещу информационни страници на български ведомства. Единственото по-различно този път е размерът на атаката. Докато преди се случваше да бъде хакнат единичен сайт, например този на НАП (последната такава атака лиши институцията от оригиналната страница за повече от месец), сега едновременно паднаха НАП, ГРАО, ЦИК, Президентството, МВР, Министерството на външните работи, Министерството на финансите, ДАНС, Народното събрание, "Информационно обслужване", Комисията за енергийно и водно регулиране и БНБ.
Към настоящия момент положението вече е под контрол. Тече разследване на ДАНС по случая, специалното звено за реакция при компютърни инциденти - CERTTBG, продължава да работи с пълна сила, а хакерите не са проникнали в държавните бази данни. До края на ноември очакваме и излизането на Национална стратегия за киберсигурност. Казано накратко: най-накрая спряхме да крием глави в пясъка и осъзнахме, че и България може да стане жертва на киберпрестъпления.
Колкото и голямо неудобство да създадоха атаките, равносметката от тях е по-скоро положителна. За в бъдеще надали отговорните ще бъдат заварени неподготвени, ще се отдели по-голямо внимание на проблемите по киберсигурността и ще спре пестенето от онлайн защити. Това не е проблем, пряко засягащ само IT индустрията. Съответно не е проблем, чието решение лежи на плещите на една обособена група специалисти, а е споделено от държавните институции и самото общество. Време е да добавим към така таченото словосъчетание обща култура едно минимално ниво знание по IT въпроси.
Хакерските атаки по време на първия тур от изборите - 25 октомври, бяха от типа DDoS или "разпределен отказ от услуга", обясниха специалисти. Това не е хакерска атака в класическия смисъл на компрометиране на информация - чрез проникване в чужда компютърна система или чужд сайт. Опит за традиционно хакване имаше по време на вторите атаки около втория тур на изборите, когато кибератаките бяха на две фази: DDoS и опит за проникване в IP пространството на "Информационно обслужване", където "физически" се намират нападнатите сайтове.
Какво всъщност е DDoS и как действа?
Най-просто казано DDoS (Distributed Denial of Service), или "разпределен отказ от услуга", представлява запушване на комуникационния канал до съответната интернет страница с фалшив трафик, в резултат на което нормалните потребители не могат да ползват услугите й. Т.е. страницата продължава да съществува, но е недостъпна. За целта се използват така наречените ботмрежи или botnet. В тях могат да бъдат включени компютри от цял свят, заразени със зловреден софтуер и контролирани групово без знанието на техните собственици от един команден център. Инфектирането обикновено става чрез "троянски кон", идващ под формата на прикачен файл в мейла, или компютърен вирус, обобщи за "Капитал" Албена Спасова, председател на УС на Международната академия за обучение по киберразследвания и бивш специалист по онлайн сигурност в eBay.
Обикновено собствениците на въпросните машини дори не подозират, че са част от кибератака. Това се дължи основно на факта, че милиони хора по света разчитат на trial (пробни) версии на антивирусни програми, не напълно лицензирани такива (free версии), които не съдържат пълен пакет защити или изобщо не се възползват от услугите на програми срещу зловреден софтуер. По този начин компютърът им бива "зомбиран" понякога дори без да се забелязва забавяне на работата му или друг вид страничен ефект от заразяването. Добрата новина е, че програми като Malwarebytes успяват да извършат качествено сканиране на компютъра ви и да премахнат зловредния софтуер, но често цената е загуба на файлове.
Подобни мрежи от "зомби компютри" вече се предоставят под наем срещу съответното почасово заплащане според потребностите на "клиента". Това става през сайтовете от т.нар. Deep Web или "Тъмната страна на интернет", до която няма достъп през масовите потребителски браузъри, и използвайки онлайн разплащателната валута bitcoin. Огромният им брой и методът им на управление през криптираната мрежа на браузъра TOR (The Onion Router), който е единственият способ за достъп до Deep Web, прави проследяването на атаките практически невъзможно заради гарантираната от TOR непроследимост на мрежата. Според заместник-министъра на транспорта, информационните технологии и съобщенията Валери Борисов, пряко отговарящ за държавната IT инфраструктура, атаките идват от редица чужди държави. Това означава, че са засечени областите, в които се намират част от "зомби компютрите", а не централният управляващ команден център на атаката.
Всичко това прави DDoS атаките, не само последните, а и изобщо, една от най-големите опасности в киберпространството. Хакерските нападения целят компрометиране на информация, а DDoS - претоварване на системата. Този път бяха нападнати само информационни сайтове, а директната хакерска атака беше навременно спряна от "Информационно обслужване". Спиране достъпа до услуги може да е фатален, ако бъде насочен към болници, електрически компании, транспортни служби, телекоми или други подобни, значими за нормалното обществено функциониране, системи.
Държавата отвръща на удара
Вторият тур от атаката - около 1 ноември, срещна доста силна съпротива от страна на институциите въпреки масивността си. Веднага след първата вълна на 25 октомври са били въведени антиDDoS защити. Така страниците бяха достъпни за потребители, но работеха по-бавно от обичайното. Интернет страниците на "Информационно обслужване" и на МВР активираха облачната услуга CloudFlare, парираща подобни атаки с интензивност до 100 гигабита в секунда. Сайтове на определени държавни ведомства пък бяха видими само от определени интернет доставчици, а от други - не. Т.е. бяха предприети мерки за филтриране на фалшивия трафик. Също така достъпът до някои държавни страници е ограничен само до българското онлайн пространство. Чрез пълно блокиране на чуждестранния трафик например беше спасена страницата на ГРАО.
По-думите на заместник-министър Борисов държавният CERT център работи на пълни обороти за подобряване защитата на страниците на държавните ведомства. CERTBG е отговорен за защитата на 567 държавни организации, но правомощията му са ограничени до подаване на методически указания за киберсигурност на ведомствата, без да може да се намесва пряко в системното им управление, което е поверено на вътрешните IT специалисти на институциите. Частният сектор пък е оставен да се оправя както може, което не е повод за притеснение. Частните компании винаги имат добре обучени кадри в IT отделите си, което не може да се каже със сигурност за държавните предприятия, в които понякога компютърни специалисти изцяло липсват.
Допълнително е била организирана среща с представители на телекомуникационния бранш, на която телекомите са поели ангажимента да осигурят специалисти, работещи 24/7 за реагиране в реално време при онлайн инцидент. Системните администратори на различните държавни ведомства пък са получили специални въпросници, на базата на които да могат да индентифицират по-лесно и бързо потенциални проблеми в своите мрежи и да ги докладват в CERT. Потърсена е консултация и от американския CERT център, съобщи още "Капитал".
Дали разследването на ДАНС ще има успех в намирането на извършителя и мотивацията зад атаките - тепърва ще видим.
Очевидно е обаче, че времето на атаката и нейните субекти не са случайни.
При първата атака бяха засегнати сайтовете на ведомства, имащи пряка или косвена връзка с изборния процес. Освен това беше проведена в деня на национален референдум за въвеждането на електронно гласуване. Всичко това няма как да не ни накара да се замислим, че умисълът зад атаките може да е пореден опит за саботаж и сриване доверието на обществото в електронното гласуване.
Втората версия, по която работят разследващите, е за организирана масивна кибератака от друга държава с цел създаване на хаос в България в дни на избори.
Добре е да разберем от къде е започнало всичко, но е по-важно да знаем, че е завършило в известна положителна насока.
Първо, държавните органи си свършиха работата, когато трябваше. Оказа се, че защити могат да се сложат и първата атака е допусната заради липсите им. Всъщност защо изобщо се стигна до тук? Заради броене на стотинки или чиста доза непукизъм? Най-сетне ще имаме национална стратегия за киберсигурността. Чудесно! Само дето сайтовете на държавните ведомства не съществуват от 2 седмици, а интернет не е измислен преди месец. В такива моменти разбираме, че колкото проекти и хубавинки да се създават в България, има области, в които сме с толкова назадничаво мислене, че чак раците ни правят път.
Но нека завършим на позитивна нотка. Мерки се предприемат. Сега остава да понаучим едно-две неща, по възможност преди отново да е станала голяма патаклама. Ако ли не, пак ще ни пернат по нослето и ще се научим тогава.
Или е кибервойна, или пробват защитата ни
Софийският форум за сигурност организира инициатива, свързана с киберсигурността, чиято кулминация е 10 ноември с "Конференция за сигурността на младите в интернет. Предизвикателства на киберсигурността". Потърсихме за коментар председателя на организацията Йордан Божилов.
- Как си обяснявате хакерските атаки от последните седмици?
- Този опит за кибератака срещу България, към нейни ключови институции - не само държавни, но и частни, показва, че ние много бързо трябва да обърнем внимание на сектора - защита от киберпрестъпления и кибертероризъм. Киберпрестъпленията ще стават все по-ужасяващи и ще имат все по-поразяващ ефект. През 2007 г. Естония беше блокирана от хакерски атаки. Спрян достъп до услуги, спрени банкови разплащания. Представете си какво може да стане, ако се блокират комуникациите. Ето защо проблемът с киберсигурността не трябва да се подценява, а в България вече 5-та година се опитваме да направим някаква Стратегия за киберсигурност, да изградим орган по киберсигурността. Да променим закони, така че да могат по-лесно да се преследват нарушителите. Нищо от това не съществува. Целта на нашия проект е точно в тази област. Да алармиране обществеността и да създадем натиск към държавните органи за предприемане на необходимите действия. Българите се правим, че не виждаме тези проблеми, но това не означава, че те ще ни подминат. Хакерските атаки срещу информационните сайтове на няколко български ведомства са пример за това. Колкото повече се бавим с изграждането на системи, с обучение на хората, със създаването на технически и други видове защити, толкова по-уязвими ще станем.
- Оказа се, че вече съществува Национален координатор по киберсигурност, който подготвя Национална стратегия по киберсигурност до края на ноември. Т.е. не можем да кажем, че проблемът е в липсата на орган, занимаващ се с киберсигурността.
- Знаете ли колколко органа се занимават с въпросите за киберсигурността в България? Вече са към десет. Министерство на отбраната имат един, МВР друг, ДАНС трети. Имаме Главна дирекция за огранизираната престъпност и няколко комисии, занимаващи се със сигурността в интернет. Липсва обаче обединяващото звено, което да посочи какви са съвременните рискове и заплахи, към какво трябва да се насочим, как да се осъществява координация. По-голямата част от обектите, представляващи интерес за кибератаки, дори не са в държавата, а извън нея. Това са телекомуникационни компании, интернет доставчици и т.н. Не е изяснена връзката между държавата и този тип фирми по въпросите с киберсигурността. За това повечето държави в Европа и Северна Америка създадоха орган, който да установява критерии, да прави политики. Който да съобщава и да прави анализи на най-новите вируси. Това са все неща, които трябва да се следят и когато възникват, да се удовомяват съответните органи, фирми и т.н. Законодателството ни е крайно остаряло в това направление. В други държави след големи кибератаки именно законодателството претърпяваше първите промени. При нас това го няма.
- Атаките този път дойдоха на две вълни. Според заместник-министъра на транспорта, съобщенията и информационните технологии Валери Борисов първата вълна е била само "тренировка" за втората. Имате ли някаква теория защо изобщо бяхме атакувани?
- Тези атаки показват, че България не е изолирана от киберпрестъпления и кибертероризом. Впрочем хакерските атаки срещу Естония през 2007 г. започнаха точно с подобни опити - блокиране на страници на отделни ведомства. След това се стигна до блокиране на почти цялата система. Дали това ще се случи и у нас, тепърва ще видим. Интенциите за атака може да са различни. Възможно е да са просто проба каква е защитата на българските сайтове. Друга възможност е наистина зловредно действие от лица, които не харесват президента и негови политики. Но не бяха блокирани само Президентството, а и ЦИК и НАП. В такъв случай вече гледаме към своеобразна кибервойна срещу цялостното управление на Република България.
- Защо изобщо трябваше да се стигне до тук, за да се започне активна работа върху Националната стратегия за киберсигурността?
- Ха де? Нашият непукизъм и инертност ще ни доведат до там, че да се опитваме да спасяваме всичко чак след голямо поражение от кибератаки. За съжаление действаме тогава, когато е опрял ножът до кокала. Трябва нещо да ни задейства, да ни покаже, че сме неподготвени. Много отдавна трябваше да я направим тази стратегия.
Вижте всички актуални новини от Standartnews.com
