„Alulméretezett, védtelen infrastruktúra” – szakértő elemezte az előválasztás összeomlását

Frész Ferenc elemzése – mely az aHang oldalán teljes egészében elérhető – a következőkre hívja fel a figyelmet:

„A szeptember 17-i és 18-i előválasztási rendszer leállását három, egymástól nem elválasztható körülmény eredményezte. Elsők között olyan konfigurációs hibák említhetőek, hogy az alkalmazást kiszolgáló infrastruktúra alulméretezett, hálózati szempontból védtelen volt, így a megnövekedett forgalom és a rendszert ért támadásokkal szemben nem volt megfelelően védve, így nem volt képes a normális kérések kiszolgálására.

A menedzsment, a számítógépek közötti szinkronizációt és a beérkező kéréseket ugyanazon csatorna volt hivatott kiszolgálni, így a megnövekedett, túlterhelt forgalom blokkolta a számítógépek közötti, valamint az adminisztrátorok és a kiszolgálók közötti kommunikációt. A problémát a szerverek hálózati kapcsolatának működésképtelensége/túlterhelése okozta

Mindemellett jól ismert támadó hálózatok támadták a kiszolgálókat, de ez adatvesztéssel, az adatok integritásának elvesztésével, jogosulatlan adathozzáféréssel nem járt, a rendelkezésre állás viszont nagyban sérült.”

Alulméretezve

Frész szerint a szerverek hálózati befogadó képességének a többszöröse, mintegy 8-szoros forgalom érintette a szervereket. Az elemzés leszögezi: „A rendszer alulméretezett volt. A hálózati kapcsolat megszűnt, a szinkronizáció nem volt lehetséges, így a szervermenedzser szoftver lezárta a kapcsolatokat, mivel nem tudta elérni a többi kiszolgálót.”

Arról is ír: a távoli bejelentkezés feltörési próbálkozásai botnet tevékenységet mutatnak, a kiugrást az adminisztrátorok bejelentkezési kísérletei okozták. Az eloszlás botnet tevékenység mintázata.

A rendszert nem szabványos módon elérni kívánó IP-címek országonkénti eloszlása azt mutatja, legnagyobb számban Egyesült Államok-beli IP-címekről van szó, ezen túlmenően francia, német, brit, kínai, orosz és szingapúri IP-címek voltak nagyobb számban.

Frész tanulmánya szerint „egyértelműen kimutatható, hogy a normál kéréseket indító forráscímek, valamint a normális kéréseken kívül kérést küldő címek aránya 59%-41%.”

A tanulmány összefoglalója úgy szól: 

„Kijelenthető, hogy a rendszer a nem tervezett hálózati terhelés miatt nem tudott kiszolgálni. Támadási minták tapasztalhatóak a forgalomban, de ezek egyike sem hálózati túlterhelés, sokkal inkább a kiszolgálók és az alkalmazás sérülékenységeit letapogató próbálkozások voltak. A megnövekedett forgalom, melynek 41%-a nem rendeltetésszerű volt, valamint a szerverek internetkapcsolatának alulméretezése és a belső szinkronizáció hiányának együttese okozta a leállást.”

Tanulnak belőle

A tanulmányt közlő, az előválasztás megszervezését magára vállaló aHang a következőkkel kommentálta a megállapításokat:

„A mi szemszögünkből a vizsgálat legfontosabb hozadéka, hogy kétséget kizáróan bizonyítja, támadássorozat valósult meg az előválasztást is kiszolgáló infrastruktúra ellen. Az is nyilvánvaló, hogy ezek a támadások a legfontosabb pillanatokra voltak időzítve. A magunk részéről sokat tanultunk ebből a folyamatból, illetve Frész Ferenc vizsgálatából, és azt is felvállaljuk, hogy lehetett volna jobban készülni ezekre a támadásokra.”