Dziurawe strony

Tomasz Rożek

GN 06/2012 |

publikacja 09.02.2012 00:15

O atakach na strony internetowe oraz o tym, jak zabezpieczyć domowy komputer przed hakerami, z informatykiem i byłym hakerem, który z oczywistych względów nie podaje nazwiska, rozmawia Tomasz Rożek.

Dziurawe strony Bezpieczeństwo sieci

Tomasz Rożek: Przed kilkunastoma dniami zostały zablokowane strony internetowe najważniejszych urzędów w Polsce. Czy to był atak hakerów?

Były haker: – Pewnie część z tych osób to byli hakerzy, ale to, co się stało, to nie był atak hakerski. To był typowy atak DDoS.

Co to znaczy?

– To było zapchanie łącza, zmuszenie serwera do odpowiadania na zbyt wielką liczbę zapytań. Serwer nie jest w stanie tego przerobić i ulega samodestrukcji. W największym skrócie ten sam efekt można osiągnąć, gdy na jakąś stronę wchodzi ogromna liczba użytkowników naraz. Wtedy taka strona się zawiesza. Nic nie ulega zniszczeniu, dane na stronie są bezpieczne, nikt ich nie rusza, ale strona się blokuje.

Osoby, które wchodziły na stronę np. Kancelarii Premiera, umawiały się na konkretną godzinę?

– Przeważająca część wejść była generowana przez odpowiednio napisane programy komputerowe – to one robiły ten dodatkowy ruch. W internecie pojawiły się strony, z których można było nawet odpowiedni program ściągnąć i samemu wziąć udział w ataku. Takie programy, skrypty widziałem na stronach brazylijskich i argentyńskich. Widziałem też gotowe strony internetowe, na które wystarczyło wejść i nacisnąć przycisk „atakuj”. Takie programy są w sumie bardzo proste. Oczywiście gdy o sprawie zaczęły mówić media, wiele osób z czystej ciekawości zaczęło wchodzić na strony premiera czy Sejmu, a to tylko potęgowało ten efekt.

Czy przed atakiem DDoS można się zabezpieczyć?

– W niewielkim zakresie tak, ale przed potężnym atakiem, w którym biorą udział dziesiątki czy setki tysięcy komputerów, nie ma obrony. Żaden serwer tego nie wytrzyma.

W czasie ostatnich głośnych protestów doszło jednak do ataków hakerskich. Otwierając stronę internetową premiera, można było zobaczyć wideo z komunikatem o ogłoszeniu stanu wojennego.

– To już był atak hakerski. To było klasyczne włamanie. Takich przypadków było jednak zaledwie kilka.

Czy strony instytucji rządowych są w Polsce dobrze zabezpieczone?

– Nie, absolutnie nie. Na to w ogóle się nie zwraca uwagi i tak jest od lat. Dopiero teraz zaczęto myśleć o bezpieczeństwie. Wczoraj czytałem treść ostatniego komunikatu, jaki do osób odpowiedzialnych za prowadzenie stron internetowych instytucji państwowych rozsyłał CERT*. Tam są zalecenia na temat tego, co administratorzy powinni robić, by prowadzone przez nich strony były bezpieczne. Moim zdaniem to jednak stanowczo za mało. Nawet teraz, we wspomnianym komunikacie pojawiły się tylko ogólniki, nie ma konkretnych rozwiązań.

Jednym słowem hakerzy nie musieli się napracować?

– Samo włamanie jest stosunkowo łatwe. To nie wymaga jakiejś wiedzy tajemnej. Osoby, które strony tworzą, często nie mają pojęcia o zabezpieczeniach. Źle skonfigurowane i nieprzygotowane są też serwery, na których strony pracują. Brakuje ludzi z odpowiednią wiedzą. Presja z góry – musimy mieć stronę internetową – powoduje, że tymi rzeczami zajmują się osoby niewykwalifikowane. Na fachowców brakuje pieniędzy, a czasami nawet wiedzy, że fachowiec jest potrzebny.

Przed atakiem hakerskim da się obronić?

– Nie ma stron w 100 proc. szczelnych. Można wprowadzić zabezpieczenia, które zatrzymają 90–95 proc. wszystkich ataków. Tych prostszych. Sposobów na włamanie jest jednak bardzo dużo. Ktoś, kto stronę pisze, kto nią administruje, powinien być świadom potencjalnego niebezpieczeństwa. Całkowicie bezpieczna jest tylko strona na wyłączonym komputerze.

Czy hakerzy to informatycy?

– Hakerem może być nawet gimnazjalista. Może nim być każdy. Tutaj nie trzeba mieć gruntownego wykształcenia, trzeba tylko wiedzieć, gdzie i czego szukać. W sieci można znaleźć tzw. kiddie scripts, czyli w dosłownym tłumaczeniu skrypty dla dzieci. To programy dla początkujących hakerów, które służą do konkretnych rodzajów włamań. Z tego może skorzystać każdy. I każdy bez problemu może je znaleźć. A później da się zrobić w zasadzie wszystko. Można na stronę wejść, podmienić, zmienić jej treść, w całości skopiować… Dosłownie wszystko.

Po co włamywać się na stronę? Czy da się na tym zarobić?

– Prawdziwy haker włamuje się dla satysfakcji, dla sprawdzenia swoich umiejętności. To właśnie jest kwintesencja hakerstwa. Są oczywiście hakerzy etyczni i mniej etyczni. Ci drudzy włamują się na strony internetowe banków czy serwisów, na których dokonuje się zakupów, i kradną pieniądze. Ci etyczni bardzo często wchodzą na jakieś strony i sprawdzają ich zabezpieczenia, gdy znajdą jakieś dziury, informują o nich administratorów strony.

Czy administratorzy tych stron reagują? Zatykają wskazane dziury?

– Czasami…

Tobie zdarzały się takie sytuacje?

– Tak, wchodziłem na strony urzędów i instytucji państwowych i informowałem ich właścicieli o niedoskonałych zabezpieczeniach albo nawet ich braku. Zdarzało się, że administrator usuwał takie błędy i potem mi mailowo dziękował za pomoc. Częściej jest jednak tak, że nikt nie reaguje. Gdy jakiś czas temu zwracałem uwagę na dziury w zabezpieczeniach strony internetowej polskiego Sejmu, nikt nie zareagował.

Czy na stronach internetowych są przechowywane jakieś dane wrażliwe czy mogące posłużyć np. do popełnienia przestępstwa?

– Nie powinno ich tam być, ale ja nie jestem naiwny. Na serwerze www powinny być tylko dane ogólnie dostępne. Strony internetowe powinny mieć charakter informacyjny. Rzeczy newralgiczne należy przechowywć w bezpieczniejszych miejscach niż serwis internetowy. Dane teleadresowe czy numer PESEL powinny być w miejscach odciętych od sieci. Bywa jednak, że ta zasada jest łamana. A jeżeli chodzi o przestępstwa – zarobić można na wszystkim, nawet na ściągnięciu z jakiejś strony listy adresów e-mailowych. Później można je odsprzedać np. agencji reklamowej.

Zablokowano strony rządowe, w kilku przypadkach doszło do włamania, ale to wszystko pojedynczego obywatela nie dotyczyło. Czy są sytuacje, kiedy atak hakerski może zaszkodzić bezpośrednio przeciętnemu Kowalskiemu?

– Newralgicznymi stronami są strony banków. Nie wchodząc w szczegóły techniczne, podstawia się spreparowaną stronę internetową, która wygląda dokładnie tak, jak strona banku. Nieuważny użytkownik wchodzi na nią i wpisuje swój login i hasło. Ono trafia do przestępców. Po chwili okazuje się, że na koncie nie ma pieniędzy.

Jak zabezpieczyć domowy komputer przed atakami?

– Przede wszystkim trzeba myśleć. Trzeba korzystać z wszelkiego rodzaju zapór, tzw. firewalli. Jest mnóstwo takiego oprogramowania, nawet darmowego. Trzeba też mieć program antywirusowy. Podłączanie komputera bez programu antywirusowego do sieci jest bezmyślnością, wręcz głupotą. Jeżeli zaś korzystamy z bankowości internetowej albo ze stron, które powinny mieć certyfikaty bezpieczeństwa, zawsze trzeba je sprawdzać. Nie należy też wchodzić na strony banku przez wyszukiwarkę internetową. Adres strony powinno się wpisywać wprost. •

* CERT (Computer Emergency Response Team) jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci internetowej.