Napadi hekerjev: Sobotni dogodek za uporabnike NLB le nevšečnost, dvakrat tarča tudi vladni strežnik.

Ljubljana - Varnost vaših bančnih računov zaradi napada, kot je bil v soboto, ni v nobenem trenutku ogrožena. Posledica sta le nevšečnost in onemogočen dostop do strežnikov, ki se ukvarjajo z nepričakovano goro podatkov, te pa pošiljajo okuženi računalniki, nam je včeraj pojasnil Tadej Hren iz Slovenskega centra za posredovanje pri omrežnih incidentih Si-Cert, ki deluje v okviru Arnesa. Pri njih so opazili dva napada na strežnik, ki gosti spletno stran www.gov.si, in opozorili tudi Telekom, ki gosti strežnike NLB in Ljubljanske borze.

Je bil hekerski napad na strežnike NLB in tiste, ki gostijo spletne strani slovenske vlade, kompleksen ali bolj priložnosten?

»Priložnosten« je bil v smislu tega, da je sovpadal s protestom proti podpisu ACTA v Ljubljani in Mariboru. Kompleksen pa ni bil: poenostavljeno rečeno, je bil to napad, pri katerem nekdo okuži sto, dvesto ali, če je treba, tisoč računalnikov z nekim »zlonamernim« programom, s pomočjo katerega jim lahko da potem ukaz, da v določenem trenutku začnejo proti tarči pošiljati veliko količino prometa. Poenostavljeno povedano: z veliko količino nepomembnih podatkov zasuješ linijo, da strežnik ne more več normalno odgovarjati na »legitimne« zahtevke.

Torej ti napadi ne ogrožajo poslovanja banke oziroma računov in podatkov komitentov?

Ta vrsta napadov, ki smo jim bili priča včeraj, nikakor ne ogroža varnosti podatkov. Povzročijo lahko le to, da so nekatere storitve začasno nedostopne. Nobeni podatki pa s strežnikov ne gredo, niti na strežnikih ne pustijo posledic.

Ali takšen napad izvede en sam heker ali gre za večjo skupino?

Takšen napad lahko izvede zgolj en sam napadalec, je pa mogoče, da je šlo v teh primerih za skupino. Morda bo več pokazala nadaljnja preiskava. Sicer pa je konec koncev pomembno zgolj to, koliko sistemov sodeluje v napadu. Več ko jih je, uspešnejši je lahko napad.

Kako v vašem centru pravzaprav spremljate tovrstne dogodke?

Dostop imamo do Arnesovega nadzornega omrežja, promet spremljamo z grafi, ob anomalijah pa se sprožijo alarmi. Iz omrežnih podatkov pa nato lahko izveš več in potem tudi ukrepaš. Mi smo tako lahko videli napad na strežnike, ki so znotraj Arnesovega omrežja: konkretno je šlo za dva napada na strežnik, ki gosti spletno stran www.gov.si. Napadov na NLB in Ljubljansko borzo pa nismo videli, ker je njihov ponudnik Telekom; na spletni strani Anonymous smo le opazili objavo, da so te strani nedosegljive, in smo jih potem tudi obvestili, da so lahko čim hitreje ukrepali.

Če vas prav razumem, so bili napadi na Gov.si enaki kot v primeru banke?

Da, gre za poplavo prometa: prvi napad je bil v četrtek, drugi pa včeraj okrog poldne. Šlo je za približno 1 Gb/s dohodnega prometa. Ker pa smo bili že prejšnji teden obveščeni, da napadi bodo, smo bili vnaprej pripravljeni in smo jih lahko blokirali, tako da ta promet do vladnega strežnika niti ni prišel.

Ali v NLB nimajo možnosti takšnih blokad?

Za blokade napadov s poplavo prometa je nujna koordinacija med končnimi uporabniki in ponudnikom dostopa. Nekatere vrste napadov – mednje spadajo tudi ti, ki so se zgodili včeraj – lahko blokira zgolj ponudnik dostopa, v primeru bolj sofisticiranih napadov pa se lahko zgodi, da ponudnik niti ne zazna povečanja prometa. Takrat morajo za zaščito poskrbeti sami uporabniki.

Čisto tehnično gledano: glede na to, da smo za napoved napada na NLB izvedeli v petek, je en dan sploh dovolj časa, da se pripravi napad, ki bi bil tehnično zahtevnejši in ki bi lahko ogrozil poslovanje banke?

Če bi hoteli podatke krasti, bi verjetno res govorili o kompleksnejšem napadu, ki obsega tudi socialni inženiring in razne vrste napadov. V večini primerov, ki so znani v javnosti, gre pravzaprav za oportunistično iskanje možnost vdorov v velikansko število strežnikov, tako da na koncu kakšnega, ki ni dovolj zavarovan in je v resnici kakšne podatke mogoče ukrasti, tudi res najdejo.

Lahko vidite, kje je vir napadov?

Lahko, ker imamo loge. Naše delo se je pravzaprav šele začelo. Napade bomo analizirali in nato obvestili ponudnike sistemov, ki so sodelovali, ter jih prosili, naj posredujejo podatke. Ta del gre hitro: gre za sto do dvesto IT-naslovov, s katerih je bilo opaziti povečan promet. Večji problem je to, da moramo imeti kar nekaj sreče, da dobimo kakšen uporaben odgovor.