„Alulméretezett, védtelen infrastruktúra” – szakértő elemezte az előválasztás összeomlását

2021. szeptember 28. 19:51

Az előválasztást lebonyolító aHang maga közölte Frész Ferenc kiberbiztonsági szakértő vizsgálati eredményeit az előválasztás leállásai kapcsán. A szakértő szerint alultervezett és védtelen volt a rendszer, amit aztán jól ismert támadó hálózatok támadtak.

2021. szeptember 28. 19:51
null

Frész Ferenc elemzése – mely az aHang oldalán teljes egészében elérhető – a következőkre hívja fel a figyelmet:

„A szeptember 17-i és 18-i előválasztási rendszer leállását három, egymástól nem elválasztható körülmény eredményezte. Elsők között olyan konfigurációs hibák említhetőek, hogy az alkalmazást kiszolgáló infrastruktúra alulméretezett, hálózati szempontból védtelen volt, így a megnövekedett forgalom és a rendszert ért támadásokkal szemben nem volt megfelelően védve, így nem volt képes a normális kérések kiszolgálására.

A menedzsment, a számítógépek közötti szinkronizációt és a beérkező kéréseket ugyanazon csatorna volt hivatott kiszolgálni, így a megnövekedett, túlterhelt forgalom blokkolta a számítógépek közötti, valamint az adminisztrátorok és a kiszolgálók közötti kommunikációt. A problémát a szerverek hálózati kapcsolatának működésképtelensége/túlterhelése okozta

Mindemellett jól ismert támadó hálózatok támadták a kiszolgálókat, de ez adatvesztéssel, az adatok integritásának elvesztésével, jogosulatlan adathozzáféréssel nem járt, a rendelkezésre állás viszont nagyban sérült.”

Alulméretezve

Frész szerint a szerverek hálózati befogadó képességének a többszöröse, mintegy 8-szoros forgalom érintette a szervereket. Az elemzés leszögezi: „A rendszer alulméretezett volt. A hálózati kapcsolat megszűnt, a szinkronizáció nem volt lehetséges, így a szervermenedzser szoftver lezárta a kapcsolatokat, mivel nem tudta elérni a többi kiszolgálót.”

Arról is ír: a távoli bejelentkezés feltörési próbálkozásai botnet tevékenységet mutatnak, a kiugrást az adminisztrátorok bejelentkezési kísérletei okozták. Az eloszlás botnet tevékenység mintázata.

A rendszert nem szabványos módon elérni kívánó IP-címek országonkénti eloszlása azt mutatja, legnagyobb számban Egyesült Államok-beli IP-címekről van szó, ezen túlmenően francia, német, brit, kínai, orosz és szingapúri IP-címek voltak nagyobb számban.

Frész tanulmánya szerint „egyértelműen kimutatható, hogy a normál kéréseket indító forráscímek, valamint a normális kéréseken kívül kérést küldő címek aránya 59%-41%.”

A tanulmány összefoglalója úgy szól: 

„Kijelenthető, hogy a rendszer a nem tervezett hálózati terhelés miatt nem tudott kiszolgálni. Támadási minták tapasztalhatóak a forgalomban, de ezek egyike sem hálózati túlterhelés, sokkal inkább a kiszolgálók és az alkalmazás sérülékenységeit letapogató próbálkozások voltak. A megnövekedett forgalom, melynek 41%-a nem rendeltetésszerű volt, valamint a szerverek internetkapcsolatának alulméretezése és a belső szinkronizáció hiányának együttese okozta a leállást.”

Tanulnak belőle

A tanulmányt közlő, az előválasztás megszervezését magára vállaló aHang a következőkkel kommentálta a megállapításokat:

„A mi szemszögünkből a vizsgálat legfontosabb hozadéka, hogy kétséget kizáróan bizonyítja, támadássorozat valósult meg az előválasztást is kiszolgáló infrastruktúra ellen. Az is nyilvánvaló, hogy ezek a támadások a legfontosabb pillanatokra voltak időzítve. A magunk részéről sokat tanultunk ebből a folyamatból, illetve Frész Ferenc vizsgálatából, és azt is felvállaljuk, hogy lehetett volna jobban készülni ezekre a támadásokra.”

Összesen 75 komment

A kommentek nem szerkesztett tartalmak, tartalmuk a szerzőjük álláspontját tükrözi. Mielőtt hozzászólna, kérjük, olvassa el a kommentszabályzatot.
Sorrend:
khomeini
2021. szeptember 29. 14:19
Azért vannak itt érdekes megállapítások, amiket egymás mellé téve kiderül, hogy a rendszer önmagában a rendeltetésszerű használatra is alkalmatlan volt. "a szerverek hálózati befogadó képességének a többszöröse, mintegy 8-szoros forgalom érintette a szervereket" "egyértelműen kimutatható, hogy a normál kéréseket indító forráscímek, valamint a normális kéréseken kívül kérést küldő címek aránya 59%-41%" "A megnövekedett forgalom, melynek 41%-a nem rendeltetésszerű volt, valamint a szerverek internetkapcsolatának alulméretezése és a belső szinkronizáció hiányának együttese okozta a leállást." ugyanis ebből következően a rendeltetésszerű forgalom önmagában is a szerverek hálózati befogadó képességnek közel ötszöröse volt.
GéKI
2021. szeptember 29. 10:21
„Kijelenthető, hogy a rendszer a nem tervezett hálózati terhelés miatt nem tudott kiszolgálni." Vagyis egyértelműen kijelenthető, hogy az "aHang" egy olyan vállalkozás, amely pontosan tudta, hogy szakmailag ugyan nem alkalmas egy ekkora feladat megoldására - de mivel azt is tudta, hogy a "vevő" sem képes arra, hogy egyértelműen meghatározza a feladatot - ezért aztán "áron alul" vállalva - és ezzel persze kiszúrva a valóban komoly vállalkozásokkal - vígan elvitte a projektet - mindenféle lelkiismeretfurdalás nélkül. Ha az ostoba vevő nem tudja mit akar - akkor busásan megfizet a gagyiért...! Ez történt!
Secnir
2021. szeptember 29. 07:42
két dolog: 1. ami kimaradt a mandiner cikkéből: "Végeredményben a jelentésből is látszik, hogy a szerverszoba-szolgáltató infrastruktúráját terhelte túl a támadás, ami ellen más konfigurációval sem tudtunk volna semmit tenni (hiszen a rendelkezésünkre álló – legnagyobb csomag – sávszélességének többszörösét továbbították a szerverek felé), emellett rendszereink eredetileg tervezett kapacitása bőven kiszolgálta volna az előválasztás megvalósítását." aki érti, érti, aki nem, az fikázzon tovább 2. a különbség: a transzparencia. ellenzék: egy választási oldal lefagy, független vizsgálat, az eredmény nyilvánosságra hozatala. kormány: választási oldal, e-kréta, neptun, oltási oldal, akármi lefagy, néma kuss, ujjal mutogatás, ökölrázás.
Unknown
2021. szeptember 29. 07:40
Hadd fordítsam le Frész Feri szavait (aki egyébiránt azon túl, hogy nagyon jó kiberbiztonsági szakértő, régi ismerősként simán megfenyegetett - burkoltan és nagyon sejtelmesen, kiemelve hogy Irakot megjárt veterán - mert tételesen belekérdeztem, jópár kormányellenes posztjába. Na mindegy is. A lényeg: a terhelésnek jelentősen kevesebb mint a fele volt támadás. Az 59% egy része az adminok balfszkdása miatt volt. Ez alapján egy kb. 2x-es túlterhelésről beszélünk. Nem tudva persze mekkorák maguk a számuk, de egy dolog azért tuti: kritikus rendszert nem így méretezünk! Egy példa saját tervezésű rendszer kapcsán a múltból: a kalkulált csúcsterheléshez képest 10x-es (!) túlterhelés mellett az elvárt válaszidő kevesebb mint kétszeresével, de stabilan ment a rendszer. Semmi cloud rugalmasság, fix szerverek. Ehhez két dolog kell: tartalék kapacitás ami extra költség na és persze jól megírt szoftver - erről hajlamos mindenki megfeledkezni! Konfiguráció, méretezés, cloud, terheléselosztás. Persze. A fent írt rendszer két darab 4 processzoros szervert használt, 8-8 Gb memóriahasználattal. Ma kb. a karórámban van olyan erős proci mint az akkori szerverekben... Ja és a feladat? Kosárkezelés, aminek minden műveletére 150.000 szabály volt hatással. Ezek között kellett gyorsan szelektálni, a hatásukat érvényre juttatni. Elvárt válaszidő művelettől függően 1-5 sec. Az évszám 2004.
Jelenleg csak a hozzászólások egy kis részét látja. Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!