Rovatok

Közösségi média

hero
kibertámadás
ddos
túlterhelés
telex
media1
Molnár Zoltán

Rovat:

NextMédia
Becsült olvasási idő: 8 perc
Szőnyegbombázásokkal ütnék ki a hekkerek a független hírportálokat

Áprilisban és júniusban is nagy kibertámadási hullámok zajlottak a független magyar nyilvánosság ellen. Kisebb vidéki városi portáloktól szakmai lapokon át országos híroldalakig senki sem úszta meg a zömmel DDoS-, azaz túlterheléses támadásokat. Hogy ezek miként zajlottak és milyen védekezés lehetséges ellenük, arról két érintett lap képviselőjével és egy kiberbiztonsági szakértővel beszéltünk.

Az utóbbi hónapokban sűrűn találkozni olyan hírekkel, hogy kibertámadás ér hírportálokat, politikai oldalakat, legyenek azok akár országosak, akár helyiek. Áprilisban például a PécsMát támadták több hullámban, aminek az lehetett a célja, hogy kitegye a lapot a webhelyszolgáltatója. Június közepén a Nyugat.hu-t érte túlterheléses támadás, ráadásul (ritka eset) feltört német szerverekről.

Nagyobb portáloknál is szoktak próbálkozni a hekkerek, így a Telexnek is nekimentek áprilisban és júniusban is. A Forbes online kiadása sem úszta meg a júniusi attakokat. Mivel ezeken kívül, többek közt a támadásokról sokat cikkező Media1, a Mérce, az Index (és más indamediás lapok), az Atv.hu, az Eduline, a 444, a Hvg.hu, a Népszava, a Magyar Narancs, a Nyugatifény és a Klubrádió oldalai sem úszták meg a rohamokat, mi is megkérdeztünk pár érintettet és szakértőt a háttérre.

Media1: Mintha a támadókra ráömlött volna a világ összes pénze

A nevéhez hűen médiaipari témákkal foglalkozó Media1-et is betámadták már párszor, ezért Szalay Dániel főszerkesztőt is megkerestük kérdéseinkkel. Elmondása szerint évek óta támadják őket, de eddig ezeket kezelni lehetett, maximum kisebb teljesítménycsökkenések történtek. 

„Idén áprilistól azonban a támadások olyannyira megszaporodtak és felerősödtek, mintha egy támadói csoportra hirtelen ráömlött volna a világ szinte összes pénze és erőforrása” – fogalmazott Szalay.

Az egyre durvább támadásokról azt írta válaszában, volt, hogy „egyszerre másfél milliárd (!) támadó lekérést zúdítottak a Media1 ellen”.

Annak ellenére esett így, hogy a „Cloudflare, a világ egyik legismertebb védelmi szolgáltatója bevett bennünket az úgynevezett Galileo programjába”, ami a DDoS-támadásoktól védi médiumok oldalait. Ennek ellenére is bekaptak 4-5 olyan attakot, ami után átmenetileg nem tudták frissíteni az oldalt. 

A támadások több hullámban történtek, volt, hogy hetekre eltűntek az elkövetők, mintha az új tűzfalak megfogták volna őket, de aztán újult erővel tértek vissza. Szalay szerint valószínűleg ilyenkor bővítették a botnethálózatukat fertőzött eszközökkel (okosporszívók, nem frissített Windowsok, proxy szerverek stb.).

És itt jött be a fő probléma, ami veszélyezteti a független portálok és az őket kiszolgáló szerverszolgáltatók kapcsolatát. Egy ponton az internetszolgáltatójuk is jelezte, hogy nem tudja őket már kiszolgálni, mert az egész rendszer bénul meg, már a szerverfarmot is le akarták vágni az internetes gerinchálózatról. 

„Addig is levettek minket a nemzetközi gerincről, valamint óradíjas alapon tőlünk próbálták a saját rendszereik DDoS-védelmének plusz költségeit megfizettetni” – idézte fel a történteket Szalay.

A főszerkesztő szerint nyilvánvalóan politikai okokból támadják a Media1-et, amire több hátrahagyott nyom is utal. Szerinte elárulta a támadó, hogy 2021-ben ő bénította meg a hazai ellenzéki előválasztási honlapot. Egyszer olyan üzenetet hagyott hátra (angolul), hogy: „Szalay, miért nem írsz inkább a csodálatos nyári időjárásról.”

A támadások mindig a kormányköröknek kedvezőtlen hírek közlése után jöttek, állítja Szalay. Ugyanez a támadó elárulta neki, hogy többek közt a Hvg.hu-t, a BKK vagy a Budapest Pride oldalait is meg fogja támadni, és így is történt. „Néhány egyéb nyomot is hagyott maga után, látszik például, hogy a támadások egy része magyarországi szolgáltatókon (Telekom, Banknet, Intellihome) keresztül is zajlott” – tette hozzá.

A létező legegyszerűbb ábra egy túlterheléses támadásról, kezdve az ártó szándékú aktorral, folytatva a fertőzött gépekkel, végül a túlterhelt rendszerrel. Forrás: ArtemisDiana / Adobe Stock

Szalay Dániel szerint sikerélményként éli meg a hekker, hogy hatalma van, hogy megbéníthat oldalakat. Hozzáfűzte, ez utalhat mentális zavarra is, de az biztos, hogy valahonnan nagyon sok pénze van az illetőnek, 

„számításaink szerint biztosan sok millió forintot, talán már egy lakás árát vagy még többet is elköltötte már a támadások költségeire”.

A főszerkesztő állítja, világos a támadó célja: kellemetlenség és anyagi kár okozása, hogy a napi munkát ne tudják rendesen végezni. „A támadók elérték azt is, hogy több médium külföldre kényszerüljön vagy a szolgáltatóik extra költségeket számoljon, azaz az internetszolgáltatók maguk kockázatosnak érezzék egy híroldal kiszolgálását” – állította Szalay.

Védekezni nehéz, egy kis portálnak és a mögötte álló vállalkozásnak nincs annyi erőforrása, mint egy Facebook vagy Google méretű mamutnak. Igyekeznek fokozni a védelmüket így is, de „az IT-s kollégák nem örülnének, ha én most kiteregetném részleteiben, hiszen a bűnöző is olvashatja ezt a cikket”. 

Szalay azt ajánlja a kisebb oldalaknak, hogy költözzenek külföldi szolgáltatókhoz, hisz a hazaiak nem tudnak mit kezdeni a helyzettel, „sőt az áldozathibáztatás a jellemző”. Össze kéne emellett fogniuk a megtámadott médiumoknak, amiről Szalay szerint már zajlik párbeszéd.

Nyugat.hu: Külföldi kiberbiztonsági cég is budapesti irodát nyitott

„Durvább eszközök vannak, a tendencia fokozódik annyiban, hogy március-június környékén duplázódott az intenzitás” – mondta a Kreatív kérdésére Nagy Ákos Balázs, a szombathelyi központú Nyugat.hu IT-vezetője. 

A támadások súlya változott, nemcsak a klasszikus a DDoS-támadások akadtak, hanem a szerkesztőségi rendszer belső részei ellen is mentek (pl. jelszólfeltörési támadások). A DDoS-támadásokra szerinte sokat költöttek, a jelszavasokra kevesebbet.

Nagy szerint „úgy indult a történet, hogy korábban bevezetjük a Cloudflare-t”, ez a szolgáltatás elrejti a szerverek valós lokációját, a valódi IP-címhez nem jut hozzá a támadó. Ez technikailag bonyolult átállás. Éppen az előkészítő szakasznál tartottak, miközben megtörtént a támadás. Fél napig zajlott a roham, és a hosting cég közölte velük, ha nem tudják megoldani a problémát, inkább menjenek el tőlük vagy átmenetileg állítsák le a portált. De az utolsó pillanatban sikerült átállni a Cloudflare-re, így maradhattak. 

„Úgy érzem a fejlesztéseikből, reakcióikból, hogy ez a támadássorozat felkeltette az érdeklődésüket” – magyarázta a Cloudflare-ről Nagy (amely amúgy a kis magyar piachoz képest meglepő módon irodát nyitott Budapesten).

A Nyugat stábja szerint ez nem ipari kémkedés vagy konkurenciaharc, az egész erősen hasonlít egy kormányzati támadáshoz. A terheléses támadás során van egy – gyakran nem létező – speciális URL, amit lekérnek a szerverekről, ez szerintük a támadás egyedi bélyegzője. A végrehajtónak talán szerinte így kellett jeleznie a megrendelői felé, hogy megdolgozott a pénzért. A Nyugat szerkesztőségén belül találgatások kezdődtek, vajon mit takarhatnak a jelként otthagyott hanohatesu és hanoiscute mozaikszavak.

Hatalmas szerverfarmok fertőzött gépein keresztül történnek a túlterhelések, ezekre telepítik a vezérlésért felelős programokat, így jön létre a hálózat, melyen keresztül támadást lehet indítani a weboldalak ellen. Az első próbák a bevált ázsiai (pl. szingapúri) szerverekről jöttek, ezután amerikai, majd német szerverek következtek. Ezek egyre drágább „csomagok” a megrendelőnek. Magyar szerverekről is jött attak, de az kisebb mértékű, valószínűleg nálunk nincs elegendő számú fertőzött szerver.

A Cloudflare média számára ingyenes Galileo csomagjával a Nyugat.hu is él. Analitikai szempontból persze ez is kevés, az Enterprise csomaggal lehetne igazán statisztikázni, de az drága. 

„Két dolgot tudok tanácsolni: mindenképp legyen cloudflare” és „ne előre gyártott szerkesztőségi rendszert használjanak vagy legalább jelentős módosításokat végezzenek rajta”. Ugyanis Nagy szerint például egy alapszinten konfigurált Wordpress alapú rendszer sincs biztonságban, a Nyugatnál is látszott, hogy a CMS ismert sebezhetőségeit keresték. 

A kibertitok-jövőkutató szerint nincs elég bizonyíték

„Engem egyáltalán nem lep meg a sok támadás” – mondta a Kreatívnak Keleti Arthur kibertitok-jövőkutató, az Informatikai Biztonság Napja alapítója. Ez azért van, mert Keleti szerint Magyarországon évek óta, még mindig nem fordítanak elég figyelmet a cégek (különösen a kis- és középvállalkozások) a kiberbiztonságra. E téren le vagyunk maradva más országokhoz képest, „sokan úgy gondolják, hogy ez kevésbé érinti őket”. A túlterheléses támadások pedig szintén késéssel érkeztek meg Magyarországra, évi 50-100 százalékkal nő a volumenük.

A szakember szerint komoly zsákutca, amikor az azonnali védekezés vagy a védelem kiépítése helyett a hekkerek motivációit találgatjuk (állami, gazdasági, hacktivism stb.), hisz sokszor fájóan kevés a bizonyíték. Márpedig „a nyomok hátrahagyása nem bizonyíték”, hiába írja le a támadó, hogy „itt jártam”. A módszerek részletes kielemzésével lehet esetleg valamit mondani, de ez drága és gyakran kevés eredménnyel jár. Ráadásul a hekkerek sokszor harmadik félnek dolgoznak.

Az említett DDoS-támadások olyan szőnyegbombázások, amik olykor csak elterelik a figyelmet egy szofisztikáltabb rajtaütésről. 

Keleti azt állítja, a saját fejlesztésű (szerkesztőségi) rendszer csak akkor nagyobb életbiztosítás, ha sokkal alaposabban építik fel és tesztelik azt, mint a már kipróbált vagy dobozos megoldásokat pl. egy Wordpresst. 

A nagy rendszereknek lehetnek ismert sebezhetőségeik, ellenben e nyílt forráskodú rendszereken sokan dolgoznak, hamarabb észrevehetik a hátsó ajtókat, , amiket természetesen frissíteni is kell a rendszerekben. A hazai fejlesztésű oktatási platformot, a Krétát hozta fel, aminél már rég behatoltak a hekkerek, az üzemeltetők még sokáig nem vették észre a rést a pajzson.

Ezt a mintázatot jól mutatja, hogy még mindig 200 napot meghaladó ideig tart egy szervezetnek, hogy észrevegye, hogy feltörték és hónapokat vesz igénybe, hogy megszabaduljon a fertőzéstől.

A védelem minden formája sajnos pénzigényes, nagy szolgáltatóra van szükség, ami rendelkezik megfelelő DDoS-védelemmel. Emellett a saját biztonsági protokollok betartása is elsődleges, kezdve olyan alapokkal, mint a jelszókezelés, adattárolás, dolgozók laptopjainak és mobil eszközeinek a biztonsága. „Csak akkor tudnak megvédeni, ha alkalmas vagy a védelemre” – szemléltette Keleti. Megoldás lehet a szakember szerint, ha egy nagyobb ország vagy nagyobb szolgáltató külföldi szerverére költözik egy oldal, de ott a költségvonzat mellett a nyelvi nehézségek is bejátszhatnak.

Képünk illusztráció. Fotó: Gorodenkoff / Adobe Stock

A túlterheléses támadások ellen Keleti szerint nincs univerzális recept, hiszen többféle ilyen támadás is létezik kezdve a volumetrikussal (amikor adatkérésekkel bombázzák a szervert) egészen az alkalmazások elleni kifinomult rohamokig, ahol akár öngerjesztő kérdésfeltevésekre is rá lehet venni a rendszert, így maga az alkalmazás dől be.

Mindenesetre a kibertitok-jövőkutató szerint „mindenki túléli ezeket a támadásokat, de fel kell kötni a gatyát”. Ez a veszély nem fog elmúlni, készen kell rá állni, és hát áldozni kell pénzt és időt is. Több helyen hallottuk, hogy sok magyar szerverszolgáltató nem áll készen DDoS-támadásokra, de e téren is fejlődés kezdődött Keleti szerint. Ezen kívül többen nyújtanak már 7x24 órás incidenskezelési szolgáltatást is, ami elengedhetetlen. 

Megoldásnak látja még a kis médiumok összefogását, amivel létrehozhatnak egy üzemeltetési környezetet, egy media hubot, és ugyan az nagyobb célpont, de többen emiatt meg is tudják védeni. „Jobb, ha az ember összehúzza az erőforrásait egy profi helyre és ott védekezik” – mondta Keleti.

(Kiemelt kép forrása: Framestock / Adobe Stock)
 

Kapcsolódó cikkek
Asset 3
Ez a média elleni támadás más volt, mint a többi
Asset 3
Válaszcsapást intézett a Telex a vietnámi emoji-támadás miatt