Múlt héten szombaton leállt a kormány.hu weboldal, de sok más kormányzati weboldal is elérhetetlenné vált. A miniszterelnök belbiztonsági főtanácsadója még aznap este az M1 híradójában készen állt a magyarázattal. Egy nap alatt 62 ezer támadás (sic!) érte a kormányzati informatikai hálózatot – mondta Bakondi György, aki szerint a támadás nagyfokú szervezettségre utal. A Magyar Tudományos Akadémia oldala is leállt, amiből arra lehetett következtetni, hogy a támadás az akadémiai hálózatot is érintette. Másnap a főtanácsadó már arról számolt be, hogy sikerült megfékezni a támadást.

Ötletelt a szakma

A kormányzati kommunikáció kellően szűkszavú volt ahhoz, hogy beindulhasson a találgatás. Ráadásul, mint azt Krasznay Csaba IT-biztonsági szakértő április 3-án egy Facebook-bejegyzésében írta, "a Bakondi-féle tájékoztatás szerintem nem volt szakszerű, ahelyett hogy alacsonyan tartotta volna a lángot, felfújta..."

A Magyar Nemzet hétfői számában megszólalt Zala Mihály vezérőrnagy (a cikk az mno.hu-n is olvasható), aki korábban vezette a Nemzeti Biztonsági Felügyeletet, valamint szerepe volt a felügyeleten belül a Cyber Defence Management Authority létrehozásában is, így valószínűleg jól ismeri a kormányzati rendszerek működését is.

Zala szerint a szerverek leállása inkább technikai vagy adminisztrációs hibára utal. Mint mondta, egy forgalmas portál több százezer lekérést is képes kezelni, és ha valóban történt szervezett akció, a túlterheléses támadás mélyreható problémát nem jelent.

Támadnak a konteók

A hiányos tájékoztatás nyomán születtek mindenféle magyarázatok. Az egyik például, amelyre a Magyar Nemzet is utal arra, hogy esetleg a kormány kvota.kormany.hu oldalán közzétett ún. no-go zónák kelthetettek a kívántnál nagyobb érdeklődést külföldről, ami váratlan terhelést okozott. (A kormány listája ugyanis hamarosan bejárta a világsajtót.)

Az eset az IT-biztonsági szakemberek körében is érdeklődést váltott ki. Krasznay Csaba IT-biztonsági szakértő, a Nemzetévdelemi Egyetem adjunktusa, Facebook-oldalán így foglalta össze, milyen forgatókönyvek lehetségesek.

1. Valaki elkonfigurált valamit. Erre gyanakodott Zala Mihály is.

2. Szolgáltatásmegtagadásos (DDoS – Distributed Denial-of-Service) támadás történt. Krasznay ezt tartja a legvalószínűbbnek. Azóta bebizonyosodott, valóban ez történt (lásd lentebb).

3. Ha valóban DDoS támadás áldozatává vált a kormany.hu, kérdés, hogy ki követhette el. Ebben az információmorzsák alapján Krasznay nem tartja valószínűnek, hogy az "Anonymous/ISIS/hülyegyerek vonalon" kellene keresni a tettest. Az államilag irányított támadást lehetne a legvalószínűbb – írja –, mivel nincs nyoma, hogy zsarolták a kormányt a támadás leállításáért. Véleménye szerint a támadás érkezhetett Oroszország, az USA, Németország, de akár Magyarország felől is – mint azt egy későbbi bejegyzésében írja.

4. Krasznay azt sem tartja elképzelhetetlennek, hogy ha valóban támadás történt, az csak elterelő művelet volt, "hogy eközben más, kevésbé látható helyen szívjanak le adatokat."

A hozzászólók többsége a Krasznay által felvázolt forgatókönyveket variálta. Egy hozzászóló akár azt is elképzelhetőnek tartotta, hogy a leállást nem is a megugrott forgalom, hanem az arra adott üzemeltetési reakció – "kétségbeesett konfigurálás kezdődött, aminek áldozata lett a belső vonal is” – okozta.

Bardóczi Ákos, a Debreceni Egyetem kutatója, blogján terjedelmes bejegyzésben foglalkozott a témával. Ő szintén a szervezett támadást valószínűsíti. "Valóban szervezett támadásra lehet gyanakodni, amikor a támadók többek közt nem teszik ki a kirakatba, hogy milyen kemény gyerekek. Amit ilyen támadásoknál nem lehet elég alkalommal kiemelni, hogy a támadás konkrétan webes frontendeket érintett – legalábbis egyelőre úgy tűnik – azaz webhelyek váltak elérhetetlenné, ami kétségkívül látványos, de legfeljebb kellemetlen, komolyabb kockázatot nem jelent, hiszen csak webes felületek álltak le, nem pedig nagyon fontos vagy kritikus infrastruktúrát érintő rendszerek. Az utóbbit egyébként alighanem nem közölnék, hogy ne keltsenek pánikot" – írja.

Bardóczi egyébként gondolatkísérletként eljátszik néhány konteóval is.

Mennyi? 62 ezer. Mi 62 ezer?

Úgy tűnik, a szakértőknek is a legnagyobb fennakadást Bakondi bejelentésében az a bizonyos 62 ezres szám jelentette. Mit jelenthet a 62 ezer támadás? Szakértők ezt ugyanis úgy fordították le maguknak – nyilván értelmet keresve Bakondi 62 ezer támadásra vonatkozó kijelentésében. 62 ezer IP-címről érkeztek? 62 ezer hostról támadtak? Keleti Arthur, az ITBN szervezője szerint attól függ miből van az a sok ezer IP. DDoS-bol nem sok, van viszont, amiből igen – írja facebookos hozzászólásában.

Krasznay utal egy a Networkworldon tavaly megjelent cikkre, amely eligazítást ad egy jelentősebb DDoS támadás nagyságrendjeiről. A cikk egy olyan támadással foglalkozik, amelynek során nagyságrendileg 100 ezer hostról érkező 86 millió konkurens kapcsolatot generált. A támadás a kivédésére bevont plusz erőforrásokkal is 1-3 másodpercre növelte az oldalak válaszidejét.

És a tanulság? Krasznay szerint ilyen esetben alapvető fontosságú a média és rajtuk keresztül a közvélemény tájékoztatása. Mint írja, a Bakondi-féle tájékoztatás nem volt szakszerű; ahelyett, hogy alacsonyan tartotta volna a lángot, felfújta. A szakértőként pedig az a feladatuk ebben a helyzetben, hogy közérthetően elmondják, mi az a DDoS, mekkora kockázatot jelent, és ezzel a Bakondi által felhevített tüzet visszaszorítsák.

Arra, hogy a pontatlan tájékoztatás veszélyes lehet, a hozzászólók is utalnak. A kormány ugyanis a brüsszeli terrortámadások után ismét elővette a januárban kidolgozott terrorizmusellenes csomagot, amelynek IT-biztonsági vonatkozásai is vannak. Akár kapóra is jöhet a kormyan.hu oldal körüli probléma, hogy újabb érveket tudjon felvonultatni a javaslat mellett.

És a mai állapot (frissítés)

A teljes történethez hozzátartozik, hogy a fentebb idézett Facebook-thread a hétvégi állapotot és az akkori ismereteket tükrözi. A Belügyminisztérium közleménye szerint azóta beigazolódott, hogy DDoS támadás történt. A fő célpontok a Közigazgatási és Igazságügyi Hivatal oldala (kih.gov.hu), a kormany.hu és a Külgazdasági és Külügyminisztérium publikus szolgáltatásai voltak.

A közlemény szerint a Nemzeti Kibervédelmi Intézet és a Nemzeti Infokommunikációs Szolgáltató Zrt. szakemberei dolgoznak a támadás körülményeinek pontos feltárásán, és közösen elemzik a feltárható nyomokat. A szakembereknek lesz munkájuk bőven, például fontos lenne, hogy olyan információkat találjanak, amely alapján szűkíthető a támadók köre. Mindeddig ugyanis senki sem vállalta magára a támadást.