HNB-u su, usprkos zaštiti, hakeri srušili stranice. Potražili smo objašnjenje kako je do toga došlo

Tech Marko Repecki 29. lip 2024. 09:11
featured image

29. lip 2024. 09:11

Stručnjaci kažu da su ovakvi sustavi redovito napadnuti od različitih kriminalnih skupina u pokušaju kompromitacije, hakera koji time dokazuju svoje vještine, napadača koji žele ovladati pojedinim resursima i ukrasti podatke koji moguće imaju svoju tržišnu vrijednost ili su pak rezultat planirane kampanje u okviru državno sponzoriranih aktera.

U srijedu su izvedeni hakerski napadi na više institucija, a jedna od njih je i Hrvatska narodna banka, čije internetske stranice su više sati bile nedostupne, a napad se, kako se čini, nastavio i u četvrtak, kada je također bilo manjih prekida u radu.

Zanimljivo je da Hrvatska narodna banka ima redundantnu internetsku vezu i zaštitu od DDoS napada, no usprkos tome, nisu izbjegli prekide u radu internetske stranice.

Iz Hrvatske narodne banke, u odgovor na naš upit, potvrdili su da imaju zaštitu od ove vrste napada, ali ističu da njihov informacijski sustav nije bio ugrožen. “Napad – izuzev kratkotrajne nedostupnosti stranice HNB-a – nije prouzročio bilo kakvu daljnju štetu”, poručuju iz HNB-a.

Inače, prema definiciji DDoS napad ili distribuirani napad uskraćivanjem usluga jest vrsta hakerskog napada tijekom kojeg više računala opetovano šalju zahtjeve za podacima jednom računalu ili uređaju. Tako dolazi do (pre)opterećenja što uzrokuje njegovo usporavanje, a u nekim slučajevima i pad sustava.

Što se točno dogodilo, za FORBES Hrvatska pojasnili su Zlatan Morić, voditelj katedre za kibernetičku sigurnost na Sveučilištu Algebra i informatički stručnjak Marko Rakar.

Morić kaže da pad stranica Hrvatske narodne banke, unatoč redundantnoj internetskoj vezi i DDoS zaštiti, može biti posljedica različitih faktora.

Napadi opterete servere, što se ponekad događa i zbog velikog broja posjetitelja stranice

“Redundantna veza primarno povećava otpornost na situacije kada jedna veza postane nedostupna, osiguravajući kontinuiranu dostupnost usluge povećanjem mrežne propusnosti. Međutim, ako napad na web aplikacije nije adekvatno adresiran od strane DDoS zaštite, preopterećenje servera može onemogućiti normalan rad web stranica”, pojašnjava Morić.

Dao je i primjer CNN-ove internetske stranice nakon terorističkih napada 11. rujna 2001. godine, gdje su legitimni zahtjevi, odnosno veliki broj posjetitelja stranice, izazvali sličan učinak kao i maliciozni DDoS napadi.

“U toj situaciji, iznimno visok broj korisnika pokušavao je pristupiti najnovijim vijestima, što je rezultiralo preopterećenjem CNN-ovih servera. Ovaj incident pokazuje kako čak i legitimni promet može dovesti do sličnih posljedica kao i ciljani DDoS napadi, ako infrastruktura nije dimenzionirana za takav nivo zahtjeva”, kaže Morić.

“Zaštita možda nije dobro konfigurirana ili nije mogla obraditi specifičnu vrstu napada”

Dodaje i da u slučaju napada na web aplikacije, kao što je vjerojatno ovaj, zaštita možda nije adekvatno konfigurirana ili nije sposobna obraditi specifičnu vrstu napada.

“DDoS napadi mogu biti različiti po svojoj prirodi, uključujući volumetrijske napade koji preplave mrežu velikim količinama prometa, napade koji iskorištavaju ranjivosti mrežnih protokola i napade koji ciljaju ranjivosti samih web aplikacija. Ako je napad bio usmjeren specifično na ranjivosti web aplikacija, moguće je da su serveri bili preopterećeni zahtjevima koji su zahtijevali značajne resurse (procesor i memoriju), što je rezultiralo nedostupnošću za stvarne korisnike ili su napadači znali za neku ranjivost kojom su preopteretili poslužitelje”, pojašnjava.

Što se tiče motiva za izvođenje ovakvih napada, Morić kaže da oni mogu biti razni – od političkih, socijalnih do financijskih.

“Državno sponzorirane hakerske skupine često provode takve napade s ciljem društveno-političke destabilizacije, dok kriminalne organizacije za cilj imaju financijsku korist, primjerice kroz iznudu. Moje osobno mišljenje, temeljeno na učestalosti i ciljevima nedavnih napada, jest da iza njih stoji državno sponzorirana skupina s namjerom destabilizacije države. Želim naglasiti da ova podjela nije uvijek jasna te postoje kriminalno orijentirane hakerske skupine koje povremeno za države obave pojedini zadatak u zamjenu za imunitet od pravnog gonjenja”, kaže Morić.

“Ovakvi napadi nisu neuobičajeni i bilo je pitanje vremena kada će krenuti na institucije”

Rakar kaže da napadi na različitu infrastrukturu nisu neuobičajeni i da je bilo pitanje trenutka kada će bitne i velike ustanove poput HNB-a biti predmet napada.

“Ovakvi sustavi su redovito napadnuti od različitih kriminalnih skupina u pokušaju kompromitacije, hakera koji time dokazuju svoje vještine, napadača koji žele ovladati pojedinim resursima i ukrasti podatke koji moguće imaju svoju tržišnu vrijednost ili su pak rezultat planirane kampanje u okviru državno sponzoriranih aktera. Pouzdano znamo da postoje grupacije povezane s raznim državama, na našem teritoriju osobiti Rusije, a koji pokušavaju na različite načine otežati ili u cijelosti onemogućiti mnogobrojne javne servise”, kaže Rakar.

Također, pojašnjava da kod ovakvih napada čak i postojanje sustava zaštite nije jamstvo da neće doći do problema, ako je napad dovoljno velik, odnosno veći od kapaciteta i propusnosti napadnutog sustava.

“Važno je razumjeti kako DDoS napada funkcionira ogromnim brojem zahtjeva prema nekom serveru, u ovom slučaju hnb.hr, a koji su u redovima veličina veći od ukupnog kapaciteta servera ili veze na koju je ovaj spojen da bude u mogućnosti u prihvatljivom vremenu odgovoriti na sve upite. Čak i ako korisnik posjeduje funkciju detekcije i mitigacije (zaobilaženje), to ne znači da je u mogućnosti otkloniti sve takve napade nego ta sposobnost uglavnom ovisi o veličini napada u odnosu na ukupne kapacitete i propusnost”, pojašnjava.

“HNB ne bi smio koncentrirati sve resurse na jednom mjestu”

Rakar kaže da u današnje vrijeme nije mudro samostalno održavati web servere, a što – kako se čini – HNB radi

“Također, čini se da su svi njihovi resursi koncentrirani na istome mjestu. Primjerice, web server kao i primarni i tercijarni DNS server se nalaze na istom subnetu, dok je sekundarni DNS smješten na “susjednom” subnetu, a po javno dostupnim podacima svi ti serveri su fizički smješteni na istome mjestu i vjerojatno istoj internet vezi. Takva konfiguracija čini ukupnu instalaciju ranjivom i laganom metom s potencijalno velikim posljedicama neovisno o tome posjeduje li organizacija mehanizme DDoS detekcije i mitigacije”, kaže.

Ističe i da je dobra praksa disperzirati kritične javne servise na više podatkovnih centara, te je također dobra praksa očigledne mete DDoS napada poput web servisa udaljiti što je moguće dalje od same poslovne operacije.

“To znači da bi u ovome slučaju pametno bilo web stranice HNB-a smjestiti u neki drugi podatkovni centar gdje je takvu stranci lakše štititi. Način na koji je sustav posložen ukazuje ne samo da su web stranice bile nedostupne nego su vjerojatno i drugi servisi HNB-a bili pod napadom, zagušeni i vjerojatno neupotrebljivi – primjerice mailovi. S druge strane, postoje scenariji kada je takva konfiguracija nužna, iako ne vjerujem da je to ovdje slučaj”, zaključuje Rakar.