Rozmowa z Przemysławem Jaroszewskim z CERT Polska na temat ataków na rządowe witryny

Dlaczego witryny rządowe były niedostępne?

Przemysław Jaroszewski*: Analizy Cert.pl potwierdzają, że strony administracji były unieruchomione przez zautomatyzowane ataki DDoS. Nie jest to wyrafinowany rodzaj ataku, wystarczy duża skala zapytań do serwera, bardzo często zautomatyzowanych z pomocą prostych, dostępnych w Internecie programów. W naszej ocenie, wydarzenia minionego weekendu miały charakter ulicznego protestu, blokowano witrynę po witrynie. Swój udział mają także osoby zaciekawione czy strona faktycznie nie działa. Pod naporem ataku DDoS zablokowany może zostać firewall lub sam serwer WWW. Jednak nie ma reguły. Znaczenie ma także pojemność pasma, które zalew zapytań łatwo może wykorzystać.

Jakie działania może podjąć administrator w obliczu ataku

Dopóki serwer będzie pod tym samym adresem, trudno będzie go przywrócić. Zawsze można go po prostu wyłączyć i przeczekać. Jeżeli jednak witryna ma działać, warto znaleźć inny serwer. Administratorzy witryny prezydent.pl zrobili tymczasowe przekierowane na profil w serwisie Facebook. Jeżeli atak DDoS byłby długotrwały warto sięgnąć po cloud computing, rozproszoną architekturę Takie możliwości mają najwięksi jak Amazon czy Google.

Pojawiają się pomysły jak wykorzystać cloud w administracji. Czy mógłby także być sposobem na obronę?

Chmura w administracji miałaby raczej inne zadania niż utrzymywanie stron www.

Czy da się jednoznacznie określić kto stał za atakiem DDoS? Przypisuje się go tzw. Anominowym, którzy na swoim koncie w serwisie Twitter @AnonymousWiki potwierdzają unieruchomienie wielu witryn.

Narzędzie udostępnianie przez Anonimowych w zapytaniu do serwera przekazuje dodatkowe informacje. Sprawdzając logi serwera można odróżnić je od zwykłych zapytań internautów. Oczywiście jeżeli administratorzy mają takie narzędzia i prowadzą odpowiedni monitoring.

Czyli takich informacji opinia publiczna mogłaby oczekiwać od odpowiedzialnych za witryny rządowe?

Przyznanie się do zablokowania serwerów nie jest łatwe dla żadnego administratora. Ale nie powinno stanowić powodów do wstydu, zwłaszcza jeżeli nie doszło do niczego innego niż zablokowanie witryny, jak wejście do warstwy administracyjnej czy wyciek informacji. A do takich w omawianym przypadku rzeczy nie doszło.

Zatem czy na taki atak można się przygotować?

Jest to pytanie o sens większych inwestycji. Ataki, jakie widzieliśmy nie zdarzają się codziennie. Nie można wykluczyć ich nasilenia. Jednak skala nakładów byłaby ogromna, takie fundusze mają największe koncerny. Witryny rządowe nie należą do najczęściej odwiedzanych stron i zostały zapewne przystosowane do dotychczasowego natężenia. Jakie ryzyko wiąże się z brakiem inwestycji? W zaistniałej sytuacji cierpi medialny wizerunek. Dla funkcjonowania kraju nie ma to większego znaczenia.

W poniedziałkowy poranek atakowi uległa strona www.premier.gov.pl

Tutaj mamy do czynienia z włamaniem. Jeżeli rzeczywiście panel administracyjny witryny chroniło tak proste i oczywiste login i hasło (admin/admin1) to mamy do czynienia z dużym zaniedbaniem, szkolnym wręcz błędem.

*Przemysław Jaroszewski jest kierownikiem Zespołu Reagowania na Incydenty - CERT Polska.

CERT Polska działa w ramach NASK. To pierwszy w Polsce Computer Emergency Response Team (zespół reagowania na zagrożenia i incydenty w sieciach komputerowych), ściśle współpracujący z podobnymi zespołami na całym świecie.