Forgókínpad

Forgókínpad

Konfigurációs és politikai hibák

2021. szeptember 20. - Szele Tamás

Ma is az előválasztás leállásával fogok foglalkozni, annak ellenére, hogy ez merőben felesleges. Felesleges, ugyanis az alapkérdést, vagyis, hogy ki okozta a leállást, már mindenki eldöntötte magában, mindenki tudja, miben hisz, ezek után Magyarországon felesleges bonyolult tényekkel zavarni az úri közönséget, legfeljebb lehülyézik a sajtómunkást.

elovalasztas_hacker1.jpg

Sajnos a közszájon forgó magyarázatok néhány dologban megegyeznek: az egyik az, hogy mind nagyon egyszerű, a másik, hogy mind hazug. Vannak, akik soha nem nőnek ki a népmesék világából, egyszerű, könnyen emészthető válaszokra vágynak, mást nem is fogadnak el, nekik hiába magyarázza az ember, hogy a valóság bonyolultabb – mivel nem értik, nem is hiszik.

Milliárdszámra élnek ilyen emberek a Földön, csak nagyon kérem, aki így gondolkodik, ne nevessen azon, mikor az indiaiak egy része komolyan hisz abban, miszerint nap- és holdfogyatkozáskor Ráhu démon fogyasztja el az égitesteket vagy egyes iskolázatlan muzulmánok az autók alatt isszák az alkoholt, mert ott nem látja a Fennvaló. Az ő misztikus technikafelfogásuk semmivel sem különb ennél, és hiába képesek használni mondjuk a villamost, ha nem értik, mitől megy. „Jó, hogy áramtól, de mi hajtsa?” kérdik. Az ember legyint, nem kezdi magyarázni a villanymotor működését, mond valamit kis koboldokról, amik forgatják a kereket, és megy tovább. Nem lehet ekkora mentalitásbeli különbségeket áthidalni. Ma is elmagyarázta nekem egy igen okos olvasó, miszerint hülye vagyok – így, ezekkel a szavakkal – mert

  1. a terheléses támadás egy szoftver

  2. de nagyon sok gép kell hozzá, annyi, amennyi csak az oroszoknak meg Kínának van

  3. azt mind ráküldték a magyar ellenzéki előválasztásra, mert ők olyanok

  4. azonban a demokratikus országokban ez tilos

  5. tehát világos, hogy a magyar kormány mozgósította összes külföldi szövetségesét.

Ezen a ponton tiltottam le, hogy ne kelljen elmagyaráznom neki alapfogalmakat, olyasmiket például, hogy a világháló nem nemzetállami alapon szerveződik (bár törekednek rá egyesek), hogy létezik a VPN fogalma, hogy vannak proxy-szerverek, bothálózatok... de ez az ember számítástechnikai szempontból műveltnek tartja magát, van véleménye, méghozzá határozott és ellentmondást nem tűrő, minek következtében valószínűleg többen hisznek neki, mint annak, aki tudja ugyan, mit beszél, csak nem erőszakosan mondja. Az ugyanis úribb körökben tilos.

Bonyolítja a helyzetet, hogy a történtekről nagyon kevés konkrétumot tudunk. Még egy gyilkossági ügyben is könnyebb nyomozni, mint ebben, ugyanis ott legalább holttest van, jó esetben tanúk és tárgyi bizonyítékok is előkerülnek, itt viszont csak a logfile-ok hosszas és alapos elemzése bizonyítana – bármit. Ezek nélkül csak annyit tudunk, hogy történt egy abnormális eset, amiről mindenkinek más a határozott és ellentmondást nem tűrő véleménye. Az – szerintem – kétségtelennek tűnik, hogy bűncselekmény történt, amit azonban bizonyítani kéne, az a jó kérdés, hogy

  • ki követte el?

  • kinek az érdekében vagy megrendelésére?

  • miképpen?

Ebből csak a „miképpen”-re mutatkozik szakszerű válasz, de még azt is igyekeznek átpolitizálni. A Magyar Nemzet tegnap reggel még egy apróhirdetéssel magyarázta az ellenzék „bénázását”, estére megtalálták azt a kiváló szakcikket, amiből ugyan ők sem értettek egy vak hangot sem, de megpróbálják felhasználni bizonyítéknak.

Tehát az a kormány koncepciója, hogy az ellenzék „elbénázta” a rendszert.

A szakcikk nem ezt mondja, ugyanis egy szó nincs benne politikáról. Mellesleg: azt remélem a Magyar Nemzet sem gondolja komolyan, hogy a politikusok írták a választási rendszert, maximum annyival volnának vádolhatóak, hogy nem a legmegfelelőbb szakemberekre bízták ezt a feladatot, de ezt nyugodtan elmondatjuk a kormány bármely döntéséről is, kátyúzástól tan- és egészségügyig. Tehát hátrább az agarakkal, főleg, ha azok igazából egerek.

Mi viszont foglalkozzunk magával a Kiberblog kiváló írásával, ami egy halvány fénysugarat azért bevetít az egyiptomi sötétségbe. Akkor is, ha nem állít határozottan semmit, hiszen míg a logfile-okat (naplófájlokat) nem látjuk, csak találgathatunk. Hogy a végén kezdjük:

Volt hiba?

Igen, volt egy konfigurációs hiba.

Volt ellenben védekezés a terheléses támadások ellen?

Az is volt, bizony, csak a konfigurációs hiba révén megkerülhető volt.

Szándékos volt a hiba?

Majdnem biztos, hogy nem.

Akkor most lássuk kicsit részletesebben, idézetekkel.

A szakmai hírek szerint volumetrikus DDOS támadás történt, tehát valaki mocskos nagy forgalommal esett neki a rendszernek, amitől az le is térdelt. Namost innentől még inkább csak feltételezések következnek.

A rendszert elvileg a Cloudflare védte, ami többek között pont arra szolgál, hogy ne lehessen terheléses támadással kiütni a védett oldalt. A Cloudflare nem éppen a legroszabb megoldás erre, de persze nem is a legjobb.

Az biztos, hogy egy jól beállított CF szolgáltatás esetén az „ezt egy 15 éves gyerek is megcsinálja 15 dollárból” mondás nem igaz, a CF-et térdre kényszeríteni azért ennél jóval drágább mulatság (szóval nem is a 100-150 dolláros kategória). Érdemes abba belegondolni, ha minden 15 éves gyerek 10-100 dollárból kiüti a védelmet, akkor, hogy létezhet még és miért a Cloudflare az egyik legmenőbb szolgáltatás?

Itt valami másnak (is) lennie kell. Én jelenleg csak az elovalasztas.hu oldallal foglalkoztam, de ebből azért elég sok következtetést lehet levonni.”

Tehát elvileg ennek működnie kellett volna.

A Cloudflare elfedi a mögöttes infrastruktúrát, ha jól van beállítva. Azaz elvileg nem lehet tudni, hogy milyen IP és infrastruktúra van a védett rendszerben. Azért csak elvileg, mert ha nem jól van beállítva, akkor felfedhetők a tényleges szerverek. (Viszont) van többféle módszer arra, hogy egy rosszul konfigurált CF szolgáltatás mögötti infrastruktúra felfedhető legyen.

Erre a legtriviálisabb megoldás annak ellenőrzése, hogy milyen IP címeken található olyan tanúsítvány, amely a vizsgált oldalon is megtalálható. Pontosabban, olyan tanúsítványt kell keresni, amelyben a vizsgált oldal domain címe szerepel. Erre kiváló megoldás a Censys eszközkereső vagy éppen a Shodan.”

És valóban, görög van a falóban, a Censys ki is mutat egy elovalasztas.apont.hu nevű webhelyet, ami „feltételezhetően valami fejlesztési vagy demókörnyezet, amit aztán ottfelejtettek.” Nem szokott ez végzetes hiba lenni, kivéve, amikor igen. Mindazonáltal a CF és az oldalak jól voltak beállítva, azonban... a hosting history nem csak a CF szolgáltatás IP-címeit adja ki, hanem az oldal korábbi, valószínűleg fejlesztési periódusban használt IP-it is. Ezek:

A 193.32.232.143 és a 87.229.45.33 IP cím, amelyeken korábban az eleve.hu domain működött. Hasonlóan, az elovalasztas.hu esetében is ott vannak a sárgával jelölt Cloudflare IP-k, illetve megjelent a 185.33.52.19 is, ahol korábban az elovalasztas.hu működött.”

A 193.32.232.143 az EZIT Kft.-hez tartozik, a 87.229.45.33 a Deninet Kft.-hez, a 185.33.52.19 a Gattyán György tulajdonában álló DoclerWeb Informatikai Kft.-hez. Érdekes egy állapot, hogy egy ideig közvetve ugyan, de Gattyán mester hostolta (nyilván tudtán kívül) az elovalasztas.hu-t, de ez Magyarország, a csodák földje. Különben a cégéről a szakemberek elég jó véleménnyel vannak. És az üzlet, az üzlet. Hanem most már alig pár lépésre vagyunk, ha nem is a megoldástól, de egy lehetséges magyarázattól.

Ilyenkor felsejlik az emberben egy rémkép – mégpedig, hogy esetleg ezek az IP-k lehetnek a tényleges kiszolgálók. Sőt, még rosszabb, ezeket direkt megcímezve is el lehet jutni az oldalig, megkerülve a CF védelmét (pontosabban nem megkerülve, mert ha közvetlenül nézzük a címet, akkor a CF egyáltalán nincs benne a forgalomban.

Ez viszonylag egyszerűen ellenőrizhető. (…)

Szóval akkor az van, hogy ha a 193.32.232.143 IP címhez az elovalasztas.hu-t párosítjuk, akkor bejön az előválasztási oldal aktuális (vagy legalábbis a most látható) verziója. Jajj.

Ez azt jelenti, hogy az elovalasztas.hu bár a Cloudflare védelme alatt áll, de feltételezhetően közvetlenül is megcímezhető.

Feltehetőleg a beállításból kimaradt, hogy az IP cím csak a Cloudflare felől fogadhat kapcsolatot, így gyakorlatilag nem kell szofisztikált és sokezer, soktízezer dolláros DDOS támadást vásárolni, ez a szerver egy 150 dollárból vett támadástól is meg fog feküdni.”

Summa summarum: a naplófájlok ismeretének hiányában annyit lehet elmondani, hogy ez lehetett az a nyom, amin elindulva eljutottak az EZIT Kft. szerveréhez. Amit pedig szombaton valóban támadás ért, éspedig a délelőtti és déli-kora délutáni órákban, le is álltak. Tehát az elkövetés módja lehetett akár ez is.

Itt szeretném külön megköszönni a Kiberblog segítségét, nélkülük nem tudnánk ennyit sem.

Ezt persze a Magyar Nemzet nem magyarázza el ilyen pontosan, mert akkor kiderülne, hogy a konfigurációs hibát nem az „alkalmatlan” Karácsony vagy Fekete-Győr követték el, viszont így az érvelésük semmit sem ér.

A rendszer különben két nap hegesztés után ma reggel tízkor újra elindult, az előválasztás végének határidejét kitolták két nappal, sőt, az elovalasztas.apont.hu is távozott az örök vadászmezőkre (tegnap kora délután még élt), tehát nagy baj nem történt, minden megy tovább.

Ugyanúgy?

Nem ugyanúgy. Egészen másképp.

Az egyesült ellenzék az affért egyértelműen a kormánynak tulajdonítja, a kormány – kocsmai fölényeskedéssel – az ellenzék „bénázásának”, a szakértők pedig egy konfigurációs hibának.

Ezek közül a szakértőknek nem fog hinni senki, az ellenzéknek meg a kormánynak viszont pártállástól függően hisz az összes szimpatizánsuk. Hisz, kérem, és a hiten túl nem érdekelnek senkit a tények!

Politikai szempontból látszólag csak annyi történt, hogy mindkét szemben álló fél érvrendszere gazdagodott kicsit, de sajnos úgy érzem: a kormányé inkább.

Tessék elképzelni, hogy mi történik, ha a 2022-es választások napján épp úgy, mint 2018-ban, hirtelen leállnak a szerverek, mert nem bírják a terhelést. Az ellenzék most már nem kiálthat választási csalást, mert a kormány rámutathat: hiszen náluk is megesett, épp ők kéne legyenek rá a tanúk, hogy van ilyen... valóságos Jolly Joker ez a minapi eset a kormány kezében.

Ismétlem: a kérdés nem eldönthető jelen fázisában úgy, hogy rámutathatunk egy felelősre, akit aztán meg lehet büntetni. Még egy felelős körre sem: annyit tudunk, körülbelül hogyan csinálhatták. Azt, hogy kicsoda és kinek a megbízásából, nyilvános és nem rendőri eszközökkel megfejthetetlen.

Nem igazán hiszem, hogy valaha kiderül a teljes igazság. Ugyanis a politikai harcnak jelenleg ez nem is érdeke, egyik oldalon sem. A politika érdeke most mindkét oldalon az, hogy érvként lehessen ezt az esetet felhasználni.

A fentiekből kitűnik, hogy a kormány fölényeskedő és szakszerűtlen érvelése a gyengébb, az ellenzék viszont kínai hackelésről beszél, ami elképzelhetőbb, erősebb is, mint érv vagy retorikai eszköz – de a naplófájlok nélkül az is bizonyíthatatlan.

Ebből tényfeltárás nem lesz, csak politika.

Jelenleg ennyit tudunk, nem többet.

 

Szele Tamás

süti beállítások módosítása