Polska bardzo wrażliwa na cyberatak? Niezupełnie

Niecałe dwa tygodnie po tym jak Rosja zaatakowała Gruzję i błyskawicznie zablokowała jej najważniejsze witryny internetowe, redaktorzy "Dziennika" postanowili sprawdzić poziom zabezpieczeń rodzimych witryn. Testy okazały się niepomyślne i w sieci natychmiast zaroiło się od złowieszczych nagłówków ostrzegających przed obcym atakiem oraz jego konsekwencjami. Postanowiliśmy spokojnie zbadać temat. Wniosek? Polscy internauci mogą spać spokojnie.

Tydzień temu pisaliśmy o tym, jak Rosja zaatakowała Gruzję w Internecie. Choć do dziś nie wiadomo na pewno czy za atak odpowiedzialna była Rosja, czy też organizacja Russian Business Network, to efekt i tak był natychmiastowy - gruzińskie witryny rządowe oraz strony najważniejszych mediów zostały zablokowane dla odbiorców. Pomoc ofiarował Lech Kaczyński, który udostępnił Gruzinom stronę president.pl. Co ciekawe, wiele wskazywało na to, że ta również została zaatakowana.

"Dziennik" postanowił sprawdzić czy polskie władze wyciągnęły wnioski z ataku i zapewniły rodzimym stronom rządowym odpowiednią ochronę przez zorganizowanym atakiem obcej siły. Wykorzystali przy tym ogólnodostępne narzędzie od Internet Assigned Numbers Authority (IANA).

Wynik okazał się bardzo niepomyślny dla polskich stron. Narzędzie wskazało bowiem, że bardzo podatne na ataki są strony Sejmu, MON, MSZ, Biura Bezpieczeństwa Narodowego i Centralnego Biura Śledczego. Idealnym środkiem do ataku ma być tzw. cache poisoning. "Dziennik" dodał również, że "przejęcie serwisów Sejmu, ministerstwa obrony, czy MSWiA to kwestia kilku godzin."

Dla dziennikarzy wypowiedział się również Paweł "Gorion" Jabłoński, który dość dramatycznie stwierdził, że "ochrona naszego kraju w zakresie bezpieczeństwa teleinformatycznego jest znikoma".

Sprawa jest na tyle istotna, że postanowiliśmy poprosić o opinię pana Mirosława Maja, szefa zespołu CERT Polska*.

Rozmowa z Mirosławem Majem, szefem CERT Polska
Mirosław Maj

Mirosław Maj

PCWK: Jak ocenia Pan bezpieczeństwo polskich stron rządowych? Czy w obliczu zorganizowanego ataku (podobnego do ataku na Gruzję lub Estonię) Polska będzie całkowicie bezbronna?

Ataki jakie miały miejsce w Estonii i Gruzji to jedne z najbardziej trudnych do odparcia. To na ile bezpiecznie jest skonfigurowany atakowany serwer ma w takim przypadku niewielkie znaczenie. Powiedziałbym, że w przypadku ataków blokady serwisu (tzw. Ataków DDoS) bardziej zasadne jest pytanie o bezpieczeństwo operatora, do którego jest podłączony atakowany serwer. Czy ma procedury i infrastrukturę do wsparcia atakowanej instytucji? Czy współdziała z innymi operatorami w przypadku takiego ataku itd. Nie potrafię ocenić bezpieczeństwa polskich stron rządowych. Aby tego dokonać trzeba by było wykonać odpowiedni audyt - techniczny i organizacyjny, wydaje mi się że z naciskiem na ten drugi.

PCWK: Czy narzędzie udostępnione przez Assigned Numbers Authority, którym posłużyli się dziennikarze "Dziennika", uważa Pan za odpowiednie do przeprowadzania podobnych testów zabezpieczeń?

Przede wszystkim te narzędzia w ogóle nie odpowiadają na pytanie czy poszczególne serwery rządowe są prawidłowo zabezpieczone czy nie. Dziennikarze w tym wypadku tak naprawdę sprawdzali bezpieczeństwo serwerów DNS nie należących do instytucji rządowych. Jeśli naprawdę chcieliby sprawdzić bezpieczeństwo opisywanych przez nich serwerów, musieliby skierować swoje testy bezpośrednio na serwery rządowe i wykorzystać do tego zupełnie inne narzędzia. Jednak tego typu bezpośrednie testy, bez zgody i wiedzy zainteresowanego, uważam za co najmniej nieetyczne.

PCWK: Czy faktycznie strony rządowe zagrożone są atakami typu "cache poisoning"? Na czym polega ten atak?

Atak polega na wykorzystaniu błędu w konfiguracji serwera DNS, co w rezultacie prowadzi do tego, że wskazuje on inny niż prawdziwy serwer, o który jest odpytywany. W konsekwencji internauta łączy się z de facto innym serwerem niż chciał. Z jego punktu widzenia wszystko wygląda OK. więc może zakładać że np.: strona na serwerze została podmieniona.

Konsekwencje mogą dotyczyć wszystkich serwerów, które wskazywane są przez źle skonfigurowane serwery DNS. Wśród nich są też serwery rządowe. Ale nie tylko. Co ciekawe - największe polskie serwisy informacyjne są tak samo zagrożone. Stawiam retoryczne pytanie - co spowoduje większe zamieszanie - fałszywa informacja na stronie jakiegoś ministerstwa czy ta sama fałszywa informacja na wszystkich najważniejszych polskich serwisach informacyjnych? Proszę pamiętać, że zarówno w Estonii jak i w Gruzji serwisy informacyjne były atakowane nie mniej niż rządowe.

PCWK: Jak ocenia pan wypowiedź Pawła "Goriona" Jabłońskiego, który stwierdził, że ochrona naszego kraju w zakresie bezpieczeństwa teleinformatycznego jest znikoma?

Nie wiem co to znaczy, że jest znikoma. Bezpieczeństwo teleinformatyczne państwa to poważne i skomplikowane zagadnienie. Możliwość podmiany jakiejś strony rządowej, dla oceny tego bezpieczeństwa ma moim zdaniem wartość znikomą. Oczywiście od strony medialnej zasadniczą. Obserwując dotychczasową współpracę Pawła Jabłońskiego z dziennikarzami, mam wrażenie że zajmuje się on medialnym bezpieczeństwem teleinformatycznym. To ciekawe zajęcie, ale mało pożyteczne, a jeszcze dodatkowo niebezpieczne.

PCWK: Co sądzi Pan o decyzji Lecha Kaczyńskiego, który w czasie konfliktu udostępnił Gruzji stronę president.pl? Czy w ten sposób prezydent zaangażował nasz kraj do cyberwojny?

To jest decyzja oczywiście polityczna a nie techniczna, dlatego nie będę jej oceniał. Ta decyzja z pewnością zwiększyła prawdopodobieństwo ataków na polskie serwery. W cyberwojnę nie zostaliśmy jednak jak dotąd zaangażowani. Z pewnością, w związku ze zwiększonym ryzykiem warto się na taki problem przygotować. Zresztą nie tylko teraz przy podwyższonym ryzyku - si vis pacem, para bellum.

-----

*CERT Polska jest zespołem działającym w strukturach Naukowej i Akademickiej Sieci Komputerowej. Został powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. Prowadzi również wiele projektów z zakresu bezpieczeństwa teleinformatycznego. CERT Polska działa od 1996 roku, a od roku 1997 jest jedynym polskim członkiem FIRST (Forum of Incidents Response and Security Teams). W ramach tej organizacji współpracuje z podobnymi zespołami na całym świecie.


Zobacz również