"To było szczególne zainteresowanie stronami rządowymi, ale właśnie ze strony hakerów" - uważa Bartosz Mikołajczyk - ekspert, informatyk, główny administrator w międzynarodowej korporacji finansowej. "Ciężko uwierzyć, że w sobotę wieczorem cały kraj zapragnął spojrzeć na strony rządowe w takiej ilości, że spowodowałoby to unieruchomienie serwerów" - dodaje. Jednocześnie zastrzega, że potwierdzenie informacji o ataku, mogłoby sprowokować kolejne.
Kuba Kaługa:"To nie atak hakerów, to ogromne zainteresowanie naszymi stronami" - co pan myśli, jak pan słyszy te tłumaczenia ze strony rządu?
Bartosz Mikołajczyk: Można powiedzieć, że tak. Duże zainteresowanie, ale ze strony hakerów. Trudno powiedzieć jednoznacznie, co się stało. Ciężko uwierzyć, że w sobotę wieczorem cały kraj zapragnął spojrzeć na strony rządowe w takiej ilości, ze spowodowałoby to unieruchomienie serwerów. Prawdopodobnie jest w tym trochę prawdy, ponieważ wielka ilość zapytań mogła być spowodowana przez tzw. atak hakerów. Tylko trudno tak naprawdę nazwać to atakiem hakerów, bo w tym przypadku po prostu duża ilość ludzi lub zainfekowanych komputerów wysłały zapytania na strony rządowe i spowodowały odmowę dostępu. Przy dużej ilości zapytań takie rzeczy się zdarzają. Od razu chciałbym dodać, że nie ma serwerów, które by to wytrzymały przy dużej ilości jednoczesnych zapytań.
Czy rozumiem, że to jest taki zmasowany atak przy użyciu botów, robaków, wirusów? Tysiące internautów łączą się z tymi stronami po prostu nieświadomie?
Taka sytuacja jest możliwa, że zainfekowane komputery nieświadomych użytkowników wysłały jednocześnie zapytania na strony. Jest jednak też możliwość, że nie w tej sytuacji użycia wspomnianych botów, tudzież robaków, tylko "skrzyknięci" ludzie w tysiącach lub setkach tysięcy, w jednym momencie uruchomili rozdystrybuowany wcześniej program, który zadał ciężkie zapytania serwerom i spowodował ich odmowę dostępu.
Jak duża musiałaby to być grupa ludzi? Czy to może być grupa lokalna, działająca w Polsce, czy raczej hakerzy na całym świecie?
Raczej światowa, bądź przynajmniej europejska. Nie sądzę, żeby w Polsce znalazła się wystarczająca ilość świadomych użytkowników, którzy by podjęli taką akcję.
Zapytam o te serwery jeszcze raz. O czym to może świadczyć: że to są słabe serwery, że mają zbyt małą powierzchnię, zbyt niski transfer? Czy to jest po prostu w słaby sprzęt?
Nie można tak powiedzieć. Jest bardzo dużo tzn. "weakpointów", które mogą być na drodze, tudzież ułatwiać takie zdarzenia, ale jeszcze raz chciałem podkreślić, że nie ma takich urządzeń, takich serwerów, które sprostałyby takim zmasowanym atakom. Te rozwiązania nie są budowane w takim celu, raczej są konstruowane przy założeniu średniego obciążenia lub maksymalnego możliwego przy normalnym korzystaniu. Trudno powiedzieć.
Ale przed takim atakiem chyba można się obronić? Tak sobie wyobrażam, że instytucja finansowa działająca na rynku nie mogłaby sobie na coś takiego pozwolić.
No niestety musi, ponieważ część możliwości takiego efektu, jak odmowa dostępu do serwera, może być również potencjalną obroną. Jeżeli są ustawione tzw. "treshholdy", czyli mierniki wejść, zapytań, i komputer, tudzież firewall stwierdza, że ilość przekroczyła zakładaną i odmawia dostępu następnym. Efekt obrony może być również taki, że serwis zostaje unieruchomiony.
Ale to już jest takie bronienie się, kiedy dochodzi do ataku. A czy można zrobić coś, żeby nie dopuścić do takiego rozwoju sytuacji?
W zasadzie nie, ponieważ z samego założenia atakowane są strony, które mają służyć społeczeństwu i internautom. Ich podstawowym obowiązkiem jest udostępnianie informacji i jeżeli tak jest, to muszą być otwarte dla potencjalnych odwiedzających, muszą odpowiadać na pytania. Jeżeli odpowiadają na pytania, których będzie zbyt dużo to przestaną odpowiadać, skończy im się pamięć, skończy się łącze. Nie wynaleziono jeszcze takiego sposobu, który skutecznie blokowałby niepożądane zapytania, bo bardzo trudno jest je odróżnić od pożądanych. Oczywiście trzeba tu odróżnić to działania od typowego ataku hakerskiego, który jest zupełnie czym innym.
Jedna z grup hakerskich informuje, że zaczyna się polska rewolucja. Na czym mogłaby ona polegać, co się kryje za takim hasłem?
To jest bardziej pytanie polityczne. Jeżeli chodzi o unieruchomienie serwisów, które świadczą usługi ludności, to nie sądzę, żeby była to jakakolwiek rewolucja, ponieważ bardzo szybko można zlokalizować, z których komputerów i adresów były wysłane zapytania i odciąć je od zapytań w daną stronę. Co do rewolucji, może być taka, że będzie poprawiona struktura serwerów rządowych.
Pan doskonale zna ten rynek, rząd zatrudnia najlepszych fachowców, stać by było rząd, żeby zapłacić najlepszym fachowcom?
Trudno powiedzieć. Znając strukturę naszego państwa zarówno w zarządzaniu, jak i administracji, że tak powiem, szeregowej - no na pewno nie są to ludzie, którzy obsługują strony internetowe naszych rządów, nie są synami Billa Gatesa. Ale też trudno powiedzieć, że jakiś w tym błąd można w tej chwili powiedzieć, że w tej chwili wystąpił z ich strony, ponieważ - tak, jak wspomniałem, ciężko się obronić przed tym atakiem.
Rozumiem, że duży koncern z wielkim budżetem wydawanym na takie zabezpieczenie też mógłby sobie nie poradzić z takim atakiem?
Oczywiście. czym innym jest atak na wewnętrzne sieci rządowe załóżmy, serwery, które nie udostępniają informacji, a czym innym jest atak na strony zewnętrzne, które muszą udostępniać informacje. Mieliśmy w historii wiele przypadków zablokowania stron internetowych znacznie bardziej rozwiniętych krajach, nie wspominając o niedawnej tzw. wojnie internetowej pomiędzy Rosją, a Estonią - z tego, co pamiętam. Gdzie Estonia, która jest znacznie bardziej rozwinięta informatycznie też nie dała rady odeprzeć takiego ataku, prawdopodobnie ze strony rosyjskiej.
Czyli nie ma skutecznego sposobu obrony przed tego typu atakami ani szybkiego sposobu reagowania, kiedy to już się dzieje?
Prewencji jeszcze nikt nie wymyślił. Co do sposobu reagowania - wyobrażam sobie sytuację, że jeżeli jest to wiele zapytań z jednego komputera, tudzież z jednego serwera, z jednego serwera IP, to można go natychmiast odciąć. Jeżeli jest to wiele z różnych - jest to bardzo trudne, wręcz niemożliwe. Obrona przed tym wiąże się z unieruchomieniem usługi - więc wychodzi na to samo.