DDoS, хакерите и електронното гласуване

Атаката срещу няколко правителствени сайта стана масово обсъждана тема, често коментирана популярно, а понякога дори без никакъв професионализъм. По тази причина реших да не импровизирам, а да задам няколко въпроса на човек, когото определям като експерт — мрежови инженер, специалист по опорни мрежи в частта им за достъп.

Идеята ми бе на прост, разбираем за масовия потребител език да обсъдим сигурността в Глобалната мрежа, по отношение на дискутираните теми в България — електронното дистанционно гласуване и атаките срещу правителствените сайтове.

Първото важно условие е да знаем приблизително какво се е случило. Доверявам се на достоверни източници, че в двата дни на изборите, тази и миналата неделя, срещу правителствените сайтове са били организирани и проведени DDoS атаки. При първия случай защитата е била така конфигурирана, че не е успяла да спре масирания трафик, а при втория случай, атаката е била директно към IP адреса на сървъра, с което отново той е бил изваден от строя, предизвиквайки невъзможност да “обслужи” заявките на обикновените незловредни и добронамерени потребители, каквито са гражданите и журналистите.

Това е и първият ми въпрос:

— Бихте ли обяснили разбираемо, с няколко изречения, какво е DDoS?

DDoS атаката е атака на дадена онлайн услуга, при която се цели тя бъде претоварена с нелегитимен трафик, в резултат на което тя да спре да обслужва заяквите на потребителите. Този вид атака обикновенно се осъществява от много места едновременно с цел да се затрудни проследяването и блокирането на източниците. DDOS е тривиална, много лесна за изпълнение атака, която не изисква специфични познания. Тя не особено трудна за предотвратяване, защото данните на атакуваната цел не са компрометирани, а самата атака не влияе на алгоритъма на работа на атакуваната услуга. Представете си 100 души, които са блокирали входовете на парламента. Да, те ще попречат на работата му, но по никакъв начин няма да повлияят на взетите от народното събрание решенията, нито пък ще повлияят на гласуването и т.н. Те просто пречат на входа и на изхода. Успеете ли да отстраните стотината души, цялата работа на парламента ще продължи по старому.

— Какво точно е Cloudflare и при какви обстоятелства може да не проработи правилно, компрометирайки нормалната работа на правителствените сайтове, които бяха атакувани два пъти?

Cloudflare е услуга, която кешира статичното съдържание на сайта Ви при себе си, разтоварвайки Вашия сайт от трафик на статично съдържание. Това не Ви освобождава от риска, някой да атакува базата данни например, събаряйки целия сайт, защото Cloudflare съхранява само статичното съдържание. Цялата логика, която изгражда Вашия сайт си остава при Вас. Този тип услуги не са много подходящи за сайтове, като този на ЦИК, защото при тях динамичното съдържание значително превъзхожда статичното: постоянно се въвеждат протоколи, правят се справки в реално време — все неща, които статичен кеш не може да разтовари от Вас, облекчавайки трафика на сайта Ви. Сравнимо е с това, да искате да кеширате съдържанието на Ebay, където буквално всяка минута хиляди потребители регистрират нови продукти, променят стари записи, цени или търгове. Cloudflare не е особено удачна идея при такъв тип сайтове. Този тип услуги са създадени главно за удобство на клиентите на Вашия сайт, които го отварят от място, физически отдалечено от мястото, където се хоства сайтът Ви.

Това е много различен вид услуга например от Amazon Cloud, където ЦЯЛАТА Ви инфраструкура е изнесена на определен hosting provider, не само кеш съдържанието.

— При втората атака, която е била проведена към IP адреса на сървъра на Информационно обслужване и сайтовете на правителството, предотвратяването и намаляването на риска и последиците от такава атака са малко по-различни, но не са невъзможни. Те са не по-малко адекватни от “класическите” варианти за защита при DDoS атаки. Как, с няколко изречения, може да се предотврати или контролира негативният ефект при такъв вид атака, директно към IP?

Първо, публични адреси никога не се дават директно на сървърите, предоставящи дадена услуга. Съществуват специални балансиращи хардуерни устройства, които първо поемат трафика, анализират го и тогава го разпределят по определен алгоритъм към сървър зад себе си. Зад тези устройства може дори да се разположи клъстер от сървъри. Това значително намалява риска някой злонамерено да събори цялата Ви инфраструктура. Освен това, инфраструкурата на Вашия сайт може да бъде зашитена и от хардуерни защитни стени, които имат значително по голям капацитет да устоят на атаки към тях, отколкото един-единствен сървър. Една защитна стена може да анализира трафик от над 30 гигабита в секунда и над 10 милиона едновременни сесии. Тези защитни стени също могат да работят в клъстер за по-висока скалируемост. Освен това, в случай на атака те могат да филтрират даден адрес, осъществяващ DDoS атака на рутера пред тях. Така даже няма да им се налага да поемат удара от атаката. Допълнително, в случай на DDoS атаки, големите международни доставчици реагират в рамките на няколко минути и могат да филтрират трафика още при тях, изцяло разтоварвайки Вашия сайт от ненужния трафик.

— Да се върнем на темата за дистанционното (през Интернет) електронно гласуване – има ли пряка връзка между неговата сигурност и защитата на тайната на вота и “задръстването” на “тръбата с трафика” към и от даден сървър, обслужващ правителствените сайтове?

Няма връзка! Това е все едно да спрете няколко автомобила напряко на Цариградско шосе. Да, така ще спрете и блокирате движението, но колко време ще удържите контрола над ситуацията? Незабавно ще дойде паяк и ще премести колите, възстановявайки трафика...

— Как може да бъде избегнат и контролиран рискът от това DDoS атака да попречи, да забави или дори да направи невъзможно за известен период от време гласуването на българите в чужбина?

Отговаряйки на предните въпроси, отговорих и на този.

— Грубо казано, аз сравнявам хакването на определен сайт с държавния преврат, а DDoS атаката със задръстване по лиците към сградата на правителството. В двата случая няма да получите дадена услуга, която бихте искали, но има и съществена разлика. Иска ми се да продължим разговора с още малко разсъждения по въпроса как да избегнем задръстването по пътя към услугата “електртонно дистанционно гласуване”. Какво още трябва да знаем за връзката и различията между DDoS атака към правителствени сайтове и сигурността на електронното дистанционно гласуване?

При DDoS атаката сигурността на таргет услугата по никакъв начин не се компрометира. Вие само пречите тя да бъде предоставена.

—  Възможно ли е DDoS атаките срещу сайта на ЦИК, публикуващ резултатите от изборите, при това проведена в деня на националния референдум за дистанционното електронно гласуване, да има и политическа цел – да внуши недоверие към този вид гласуване и да се опитва да повлияе на обществените нагласи?

Това, според мен, е основната идея, не виждам каква друга изгода би имал някой от това, да събори сайта на ЦИК в деня на референдума за електронното гласуване.

— Умишлено избягвам темата за сигурността на електронното дистанционно гласуване, защото не тя бе предмет на въпроса на референдума. Все пак, трябва Ви задам и въпроса за неговата сигурност. Не е ли така, че то ще даде възможност на едни лоши хора да съберат една торба с електронни подписи или други дигитални идентификатори, и да организират масово гласуване, далеч по-чудовищно от познатите ни “хартиени” методи за контролиран, купен или зависим вот?

На тези избори видяхме снимки на протоколи, при които в едни полета се добавят по 100 гласа, нали... Без да има подписи на всички членове на СИК. Има много начини да се избегне масово гласуване, примерно, от един и същ IP адрес. Една опция е от един адрес се разрешават максимум 4 гласувания. Или се разрешават през даден период от време, примерно, през един час. Да се сдобиете да речем с 1000 IP адреса не е лесна работа. Ще Ви е необходим голям, минимум регионален доставчик, който да има толкова айпита свободни. Предоставянето на толкова адреси минава през няколко технически и административни нива и е малко вероятно това да остане незабелязано за обществеността и медиите. Освен това, дори хипотетично да се сдобиете някак с 1000 IP адреса, ако наложим една от възможните санкции, за която споменах, ще имате максимум 4000 гласа на национално ниво. Повтарям, че това дори хипотетично е силно преувеличена и нереалистична възможност, която при наложените ограничения се обезсмисля като инвестиция и вложен ресурс.