Да "хакнеш" изборите
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Да "хакнеш" изборите

Да "хакнеш" изборите

Кибератаката в деня на местния вот не проби публичната IT-инфраструктура, но припомни, че да се пести от онлайн-сигурност е все по-хазартно

Мария Манолова, Момчил Милев
11073 прочитания

© shutterstock


Ако сте следили отблизо новините за местния вот в неделя и понеделник, може би сте останали с грешното впечатление, че хакери са пробили интернет страниците на Централната избирателна комисия (ЦИК), на служба ГРАО, на МВР и на външно министерство. Това всъщност не е точно така. Дори напротив.

Да, въпросните четири сайта действително станаха обект на масирана кибератака от типа "разпределен отказ от услуга" или Distributed Denial of Service (DDoS) в неделя. Това обаче изобщо не означава, че са били хакнати, тоест, че е имало неоторизирано проникване и достъп до информацията на компютрите, на които са инсталирани.

DDoS атаката всъщност представлява своеобразно запушване на комуникационния канал до съответната интернет страница с фалшив трафик, в резултат на което нормалните потребители не могат да ползват услугите й. На практика нападнатият сайт продължава да си е на мястото, но до него просто няма достъп.

Целта на онлайн офанзивата очевидно беше да докаже, че технологията на интернет гласуването е несигурна и че гражданите не бива да дават своя вот в подкрепа на въвеждането му в неделя. Всъщност действията в часовете след началото на киберинцидента по-скоро показват точно обратното - че администрацията има капацитет за сравнително адекватна и бърза реакция. И то с ангажиране на сравнително скромен ресурс – използвайки бизнес абонамента на онлайн услуга като CloudFlare срещу нищожните от гледна точка на държавата 200 долара месечно на защитен сайт. В съзнанието на масовата аудитория вероятно ще остане заблудата, че изборите са били "хакнати". Което е и явната пропагандна цел на DDoS атаката и вероятно ще бъде един от основните манипулативни аргументи против интернетвота при предстоящото му задължително обсъждане в парламента. Точно затова е нужно изключително задълбочено и сериозно разследване на въпросния онлайн инцидент - защото се опитва да всява хаос, несигурност, да моделира и манипулира процеси на най-високо политическо ниво.

Как работят DDoS атаките

"Когато има DDoS атака, тя се извършва на принципа, че едновременно се изпраща една и съща заявка. Най-грубо казано, ако имаме сървър и си представим, че интернет е една тръба, когато започнеш да получаваш много заявки, тази тръба се запушва. В случая не става въпрос за хакване, просто сървърът е претоварен", коментира за "Капитал" Албена Спасова, председател на управителния съвет на неправителствената организация "Международна академия за обучение по киберразследвания" и бивш специалист по онлайн сигурност в Ebay. За да се постигне въпросното затлачване на комуникацията към сайта жертва с фалшив трафик, се използват така наречените ботмрежи или botnet. Това са компютри по целия свят, заразени със зловреден софтуер и контролирани групово без знанието на техните собственици от един команден център. Инфектирането обикновено става чрез троянски кон, идващ под формата на прикачен файл в мейла, или компютърен вирус. Обикновено собствениците на въпросните машини дори не подозират, че са част от кибератака. "При DDoS атаките въпросната botnet мрежа се построява на базата на човешката глупост", обобщава Албена Спасова.

За момента не се знае публично точно колко "зомбирани" компютъра са участвали в кибератаката от неделя и къде се намира контролният сървър, откъдето е дошла командата за активирането им. Знае се обаче, че подобни ботмрежи вече се предоставят под наем срещу съответното почасово заплащане според потребностите на "клиента". Според официалното съобщение на Информационно обслужване – държавната компания, която администрира изборите, DDoS акцията е "безпрецедентна за България". "От началото на атаката към интернет портала на ЦИК са направени над 530 000 000 заявки в рамките на 10 часа, като една четвърт от тях са от видими IP адреси с произход Виетнам, Турция и САЩ", съобщават от фирмата. И уточняват, че "през 2013 г., когато беше отразена подобна атака, бяха регистрирани общо 12 000 000 заявки за цял месец, което е около 44 пъти по-малко от регистрираните днес за 10 часа."

Това, което не е толкова известно около кибератаката, е, че тя продължи и в дните след това, в някои случаи с още по-голяма интензивност. Според данните от CloudFlare за сайта на МВР в рамките на няколко часа във вторник са регистрирани 1.8 млрд посещения. Въпреки това обаче в резултат на взетите мерки страницата продължава да функционира, след като в понеделник по примера на "Информационно обслужване" вътрешното ведомство също се абонира за гореспоменатата антиDDoS защита. Сайтът на ГРАО пък е спасен, като е отрязан международният му достъп. Също така по информация на "Капитал" методът на DDoS атаката неколкократно е променян, което провокира някои подозрения, че хакерите може би са получавали вътрешна информация за контрамерките, които се взимат. Този факт също така значи, че поръчителят на акцията не е жалил средства, защото смяната на използваната технология също вдига цената на онлайн офанзивата.

"Идентифицирането на причинителите на DDoS атаката е трудно. Тук се наместват ботнет мрежи, плоски сървъри, технология за скриване на IP адреса на този, който е източник на атаката. За голямата част от управлението на тези неща, особено за командване и контрол, се използва криптираната TOR мрежа. Предварително човек много трудно може да направи прогноза какъв трафик би могъл да се получи към него", каза за "Капитал" Васил Грънчаров, ръководител на държавния CERT център – организацията, която трябва да се грижи за сигурността на мрежите на министерства, ведомства и местна власт. Той категорично отказа да коментира настоящия киберинцидент, но добави, че "DDoS атаките в днешно време са едни от най-опасните, особено по отношение на сайтовете на публичната администрация". Според него не случайно през 2014 и до юни 2015 г. на подобни атаки бяха подложени сайтове на НАТО. "При първата атака много трудно се справиха, вероятно е имало някакъв момент на изненада. След това имаше съответната подготвеност", споделя специалистът по мрежова сигурност.

На кибербарикадата

На теория оглавяваната от Грънчаров организация трябва да се погрижи за мрежовата сигурност на 567 държавни организации. На практика обаче CERT центърът може да дава само методически указания как ведомствата да се справят с подобни киберзаплахи. По отношение на частния сектор пък няма официални правомощия. Иначе от началото на тази година организацията е изпратила до държавните си абонати 4883 предупреждения за компютърни и мрежови уязвимости. Конкретните действия за неутрализирането на въпросните уязвимости обаче трябва да се извършат от IT специалистите на всяко отделно ведомство, върху които CERT центърт няма пряка власт. Суровата реалност всъщност е, че в някои държавни учреждения дори няма определен човек за контакти на тема киберсигурност, споделя Грънчаров. "През годината до нас са стигали сигнали за DDoS атаки в държавната администрация. Не казвам, че са били някакви суперинтензивни и с голям капацитет. Според мен те бяха неутрализирани в напълно приемливо време. В някои случаи колегите го правеха самостоятелно, в някои с наша помощ. Давали сме указания къде какво да се направи, да се филтрира трафикът и т.н. Трудно е да кажа, че администрацията е напълно готова и няма проблеми. Някой, ако каже това, ще излъже", обобщава Грънчаров.

По повод решението за защита при петъчната кибератака шефът на CERT центъра е пестелив в оценките си. "Трудно мога да дам оценка от последна инстанция дали CloudFlare е решението или не. Това, което знаем, е, че той се е справял с много по-тежки DDoS атаки. За миналата година знаем, че има атаки с над 40 гигабита в секунда, които CloudFlare е неутрализирал. Със сигурност е добро решение, но не може да се каже, че решава проблема. CloudFlare не е панацея. Няма Мистър Пропър, който да чисти всичко", коментира Грънчаров.

Албена Спасова от академията по киберразследвания пък се опитва да качи едно ниво по-високо дебата по проблема. "България още няма стратегия по киберсигурност. Експертите обявиха, че са почти готови със стратегия и план за действие. Но бяха готови и преди една година. Тоест какво се случва, ако някой хакне електропреносната мрежа? Или обърка светофарите? Или изтрие файловете на една болница? Какво се прави в такива случаи, към кого ще се обърнат засегнатите? Към Явор Колев от ГДБОП? Но той е човекът, който трябва да разследва, а не да осигури устойчивост и функциониране на инфраструктурата", реторично пита тя. Всъщност настоящият инцидент може да се разглежда като предупреждение какво би могло да се случи, ако въпросът с киберсигурността се подценява. В неделя ЦИК имаше късмет, че "Информационно обслужване" е било на своя пост. Какво би станало обаче, ако нещо подобно се случи в някое от държавните ведомства, където по думите на Васил Грънчаров още дори няма човек, който да се занимава с киберсигурността?

Ако сте следили отблизо новините за местния вот в неделя и понеделник, може би сте останали с грешното впечатление, че хакери са пробили интернет страниците на Централната избирателна комисия (ЦИК), на служба ГРАО, на МВР и на външно министерство. Това всъщност не е точно така. Дори напротив.

Да, въпросните четири сайта действително станаха обект на масирана кибератака от типа "разпределен отказ от услуга" или Distributed Denial of Service (DDoS) в неделя. Това обаче изобщо не означава, че са били хакнати, тоест, че е имало неоторизирано проникване и достъп до информацията на компютрите, на които са инсталирани.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

12 коментара
  • 1
    mapto avatar :-|
    mapto

    "DDoS атаките в днешно време са едни от най-опасните, особено по отношение на сайтовете на публичната администрация"

    Наистина ли? Може би това важи само за администрации, при които съществените данни още са офлайн. Иначе не знам за какво сравнение може да става дума...

  • 2
    tehgruhter avatar :-|
    Pow

    За пореден път статията няма нищо общо със заглавието. По-подходящо заглавие би било "как да НЕ хакнеш изборите". Освен това хората се боят не толкова от "Хакване" на изборите ( примерно масирана MITM атака, компрометиране на сървър в изборната секция, компрометиране на централния сървър ), отколкото от изначално, заложено от програмистите пишещи софтуера манипулиране.

  • 3
    comandante avatar :-P

    да се пести от онлайн-сигурност е все по-хазартно
    _________
    Или с други думи ако искате електронно гласуване , то няма да е никак сигурно - или няма как да се запази тайната на вота ,или ще се запази ама ще е такава тайна ,че и вие няма да знаете за кого сте гласували !
    :-) :-) :-)

  • 4
    storm avatar :-P
    Storm Of Change

    Капитал говори за манипулации и пропаганда?! Пропагандата ми е много по-добра от пропагандата тье. :D Моля ви се, спрете. :D
    Иначе по теамата, само да вметна, че DDoS-а всъщност е прелюдията преди самото хакване. Хората дето разбират, а особено тези, които са имали досег с минитчната държавна администрация, освен калинки с тигрови токчета, са забелязали отлично нивото в държавния апарат. Ако трябва да сме честни, сайтът на ЦИК не е хакнат само защото не е била това целта. :) То какво да хакнеш там - пет ексела и два документа на Уърд.
    Вие кажете защо сайта на вашия човек, най-технологичния президент на България, още не може да се оправи цял ден... Щото си е резил, наистина. :D

  • 5
    voklev avatar :-|
    voklev

    "Електронното" , успешно ще замести досегашното решаване на изборите по протоколите , слез 19.00ч. Досега минаваше , но вече го знаят и трябва хакер да бръкне за по чисто.

  • 6
    tbb02395059 avatar :-|
    tbb02395059

    DDoS атаките в наше време се организират най-вече oт тийнейджъри на по 14-17 години (справка - последните атаки над Ziggo в Холандия и над TalkTalk в UK). Тези хлапета са изгледали в Youtube всички видео-презентации от форуми и конференции като BlackHat, докато "специалистите" по кибер-сигурност се чудят какво става и как става.
    Държавата просто има нужда от стабилен и доказан ИТ секюрити консултант (извън приятелските кръгове на уравляващите), който да подготви средата и впоследствие да помага в случай на нужда в пикови моменти като например избори.

  • 7
    jxj24394852 avatar :-|
    jxj24394852

    То има такива консултанти - едни чичковци пенсинирани полицаи от скотланд ярд,както и военни служители за кибер защита(полски офицер)-
    и какво като имат?И не точно въпросната дама Албена разбира от киберзащита и киберсигурност - тя е юрист а както знаем,технологиите винаги изпреварват законите.Колкото до Клоудфлайр - аз имам акаунт там и го ползвам по друго предназначение,настройките относно киберзащита са се оказали доста сложни за някой сисадмин от Инф.Обслужване-а не искам да коментирам изказванията на г-н Президента и шефа на инф.обслужване и други "големи" експерти.Фактът ,че се провалиха е факт.

  • 8
    mamarinov avatar :-|
    Marinov Martin

    Москва се постара да помогне на спонсорираните от нея партии (БСП и Атака) в убеждаването на електоратите им, колко опасно е да гласуват хората, избягали в загнилите западни държави!

  • 9
    z_zafirov avatar :-|
    The_Curious

    Дали ще се манипулира хартиен или електринен вот, за мен като избирател е все тая, но електронното гласуване би било улеснение за отчитане на резултати т.е. да се намалят простотиите като случая в "Арена Армеец", което не е без значение за мен като данъкоплатец плащаш изборите, а и за хората от комисиите. В този ред на мисли подкрепям дигитализирането на процеси. Тъпото е, че пак ще име "Искахме да стане хубаво, а стана както винаги" - недомислено, недонаправено и т.н. А, и Капитал, не се мъчете да образивате хората с такива анализи, читателите ви (изключвам троловете) са интелигентни хора и са наясно с проблематиката, а тролчетата, идеологически или платени, не можете да ибедите с разумни доводи.

    Публикувано през m.capital.bg

  • 10
    mrdan avatar :-|
    Аvеree

    Статията излиза точно на време за да покаже, че в същност реална атака срещу сайтовете на ЦИК, на служба ГРАО, на МВР и на външно министерство НЯМА.

    До коментар [#8] от "mamarinov":


    [quote#8:"mamarinov"]опасно е да гласуват хората, избягали в загнилите западни държави![/quote]
    Не ме интересува мнението на хора, които са отишли на другия карай на света за да продават пица.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK