0
EN

Blog o marketingu internetowym

niedziela, 22 stycznia 2012 | Michał Kosecki

Anonimowa wydmuszka, czyli o tym jak to się wszystkim wydawało, że byli hakerami

Wczoraj wieczorem na stronie internetowej Radia WNET ukazał się artykuł, który sugerował, że strona Sejmu RP miałaby zostać zablokowana w wyniku ataku internautów. Chciałbym wytłumaczyć, że owe ataki nie były tym, co się większości wydawało. Mój tekst jest zatem próbą uspokojenia całej sytuacji i uświadomienia, co się tak właściwie stało.

Instrukcja ataku…

Najpierw jednak kilka słów krytyki. Jestem wysoce zdumiony, że radio, które szczyci się „wysoką jakością prowadzenia serwisu” i „doświadczonymi dziennikarzami” (za tą stroną) opublikowało taki artykuł. Przede wszystkim nie weryfikuje w żaden wiarygodny sposób publikowanych informacji (nie można np. stwierdzić, czy publikowane wpisy z Twittera z konta o nazwie AnonymousWiki: 1. rzeczywiście są publikowane przez środowisko skupione wokół ruchu Anonymous; 2. mają jakiekolwiek przełożenie na stan faktyczny, są zgodne z prawdą).

Co więcej, w treści artykułu pojawia się gotowa instrukcja do przeprowadzenia jednego z prostszych typów ataków, w dodatku od razu z ustawieniami, które pozwalają obrać za cel domniemanych ataków witrynę Sejmu RP. Redakcja nie czuła się w obowiązku usunąć treści instrukcji lub ocenzurowania najbardziej wrażliwych jej elementów do momentu zwrócenia uwagi na możliwe wystąpienie znamion przestępstwa (w chwili kiedy piszę te słowa, nadal obserwuję komentarze, które ową konfigurację nadal umożliwiają – w połączeniu z instrukcją z artykułu).

Drodzy Państwo, etos dziennikarza w istocie opiera się na prawdzie i dążeniu do niej, ale jest to także zawód zaufania społecznego, a więc też i ogromnej odpowiedzialności. Niestosowne jest zatem publikowanie materiałów ułatwiających i/lub umożliwiających popełnienie przestępstwa. Teoretycznie zatem, nawet w obecnej postaci, opublikowany artykuł jest publicznym nawoływaniem do popełnienia przestępstwa i jako taki może być ścigany z art. 255 Kodeksu Karnego. Odpowiedzialność autora/redakcji rzutuje również pośrednio na bezpieczeństwo korzystających z tej instrukcji, a proszę zauważyć, że tematyka ta została całkowicie pominięta. Odniosę się również do tego w dalszej części artykułu.

Do rzeczy

Rzeczony „atak” na witrynę Sejmu RP mógł tak naprawdę w ogóle nie mieć miejsca. Mówi i pisze się o tym, że był to tzw. atak DDoS (najprościej mówiąc, jest to zablokowanie, zawieszenie lub wyłączenie mechanizmów serwera poprzez zmasowane odwiedziny strony, która się na nim znajduje), choć nawet mechanika narzędzia (potocznie nazywanego działem jonowym) pośrednio udostępnionego w artykule obala tę tezę (to nie ten typ ataku). Chętnych poczytać więcej na ten temat zapraszam na artykuł Piotra Koniecznego na stronie Niebezpiecznik – wymagane są podstawy wiedzy technicznej, ale i bez tego temat wydaje się być przystępnie opisany.

Ów „atak” był tak naprawdę awarią serwera sejm.gov.pl. W wyniku powyższego i ogólnie gorącej dyskusji pojawiła się informacja o tym, że strona Sejmu RP została zaatakowana i padła. Ludzie zaciekawieni tematem (wszak to sensacja) zaczęli wchodzić na tę stronę, nic nie widzieli, a więc informacja rozpowszechniała się dalej, zyskiwała na sile za pomocą mechanizmu owczego pędu i efektu śnieżnej kuli. W momencie kiedy stronę Sejmu RP ponownie uruchomiono, miał miejsce tzw. naturalny atak DDoS, w Polsce znany też czasami jako zjawisko „wykop effect” – zbyt wiele osób chciało wejść jednocześnie na tę samą stronę, a serwer nie był przygotowany na takie obciążenie. Administracja odłączyła także na pewien czas ruch z zewnątrz, co również mogło być odebrane jako atak. Sam serwer pozostał jednak sprawny. Zatem rzeczony „tango down sejm.gov.pl” okazał się samospełniającą się przepowiednią, a nie faktycznym, zaplanowanym i celowym atakiem.

Tango Down SejmTango Down Sejm

Podobne zjawisko mogliśmy obserwować na stronie Ministerstwa Kultury i Dziedzictwa Narodowego. Tam jednak pojawiał się komunikat pośrednio wyjaśniający naturę rzeczy: został przekroczony limit transferu przypisany do serwera. Jest to dość obrazowy przykład ilustrujący osobie niezaznajomionej z tematem, że o żadnym ataku w kontekście powyższych informacji mówić nie można. Z głębszej analizy tematu wynika, że można „obwiniać” za zastany stan rzeczy plik wniosku MKiDN, który miał objętość około 25 MB – na chwilę obecną linkuje do niego 770 stron. Jest to zatem wydarzenie bez precedensu (myślę, że można mówić o dziesiątkach tysięcy osób pragnących w tym samym czasie pobrać ten sam plik), ale nadal nie atak. Stawia za to pytania o stan infrastruktury informatycznej administracji publicznej, ale nie to jest tematem tego tekstu.

Zastrzegam, że nie wyklucza to możliwości faktycznego włamania na serwer sejm.gov.pl czy innych stron w polskim internecie (w skrajnych przypadkach podawano, że padło kilkadziesiąt stron, w większości w domenach rządowych), jednak wiążących dowodów na to, na chwilę obecną, brak. Zachęcam do krytycznego podchodzenia do czytanych tekstów (również tego, a jakże!), weryfikacji informacji (większość mediów uprościła nadmiernie przekaz, przez co świadomie go zmanipulowała i przekłamała), próby samodzielnego wyrabiana swojego zdania zamiast powtarzania pustych frazesów i nośnych haseł. Dobrym miejscem, by zacząć tę podróż, jest artykuł Piotra Waglowskiego (podobno również „shakowanego”).

Wrócę jeszcze na chwilę do kwestii bezpieczeństwa w przypadku korzystania z LOIC, do którego zachęcano. Nie znalazłem dotąd instrukcji zawierających przynajmniej podstawowe metody zabezpieczania się w sieci i „ukrywania” korzystania z działa jonowego (a niektóre zalecenia pojawiające się na rzekomym forum AnonymousWiki są po prostu niepoważne). Informuję więc Państwa, że ruch z LOIC jest stosunkowo łatwy do odfiltrowania i dolewając do tego kroplę paranoi (mniejszą nawet od tej, która teraz towarzyszy tematyce skupionej wokół SOPA, PIPA, ACTA i domniemanych ataków na polskie serwery) można by zaryzykować tezę, że administracja serwerów „atakowanych” w ten sposób może domyślnie odciąć ruch z tego narzędzia (a więc uniemożliwić „atak”), a samą próbę – logować, wraz z IP użytkownika – istnieje zatem możliwość powstawania bazy użytkowników, którzy mogli mieć jakiś związek z „atakami” (np. używali LOIC) i wyciągnięcie wobec nich prawnych konsekwencji. Wbrew obiegowej opinii, w internecie dość trudno jest zachować anonimowość – proszę mieć to na uwadze.

Kontekst „ataków”

Gdy idzie o samą ocenę moralną całej sytuacji, trzeba spojrzeć szerzej, na kontekst. Tak, problematyka ACTA, PIPA, SOPA jest w istocie potencjalnym zagrożeniem dla prywatności i bezpieczeństwa (w sposób szczególny w internecie) i ważne są pytania, które zostały wklejone w finale artykułu, który poddałem krytyce na początku – tego nie neguję. Forma „protestów” i jawne poparcie społeczne dla wandalizmu sieciowego pokazała jednak, że udławiliśmy się zachwytami o społeczeństwie obywatelskim czy informacyjnym, a w istocie – daliśmy argument drugiej stronie, by rozwiązania takie jak ACTA wprowadzić – w takiej czy innej formie.

Zachęcam do aktywnego działania przeciw regulacjom takim jak ACTA, ale w granicach prawem dozwolonych, a takie znaleźć nietrudno. Są już odpowiedzi na pierwsze wiadomości wysłane do posłów, organizowane są także manifestacje (już nie tylko w Warszawie, ale także w wielu innych miastach w kraju), powstała również inicjatywa Polski Blackout i krótki przewodnik o tym, jak nie dać się okłamać i samemu nie wprowadzać w błąd innych. Nie polecam jednak klikania „lubię to” we wszystko, co z ACTA związane. Dobrym przykładem jest tu fanpage „Komentarz usunięty przez ACTA”, który raz, że wydaje się być farmą fanów, a dwa, że jego główna idea – publikowanie komentarzy o treści „Komentarz usunięty przez ACTA” z aktywnym odnośnikiem do wspomnianego fanpage’a jest darmową reklamą i szerzeniem informacji nieprawdziwej. I w końcu, polecam zapoznać się z samą treścią dokumentu określanego mianem ACTA.

I już na sam koniec powtarzam po raz wtóry – nie neguję faktu, że jakiekolwiek prawdziwe ataki mogły mieć miejsce; istnieje taka możliwość. Grupa Anonymous i jej działania są faktem, ale proszę zauważyć, że jest to takie podobne zagrożenie dla neutralności sieci, jak mechanizmy typu ACTA czy SOPA – być może nawet większe, bo totalnie nieprzewidywalne (proszę pamiętać, że akcja związana z odwetem za zamknięcie serwisu MegaUpload została zorganizowana w kilkanaście minut). Dlaczego nie warto popierać wandalizmu Anonymous i grup im podobnych? Bo dziś nie możecie się Państwo zalogować na którąś ze stron rządowych (mam tu na myśli ataki potwierdzone np. na serwer FBI), a jutro za cel ataku może zostać obrany Państwa ulubiony serwis lub usługa, z której często korzystacie np. poczta e-mail – i to tylko na podstawie kaprysu. I proszę nie wierzyć, że za każdym podpisem „Anonymous” rzeczywiście stoi osoba w jakikolwiek sposób związana z tym ruchem. I ja, i Państwo również możemy to gdzieś napisać. :)

PS. W ramach równowagi polecam lekturę oficjalnej (jak się wydaje) odezwy ruchu Anonymous, obierającej za cele polskie witryny rządowe. Być może takie ataki nastąpiły, ale najprawdopodobniej nie są to sytuacje, które opisałem powyżej i raczej nie za pomocą LOIC. Pewnym jest, że polski rząd ma się czego obawiać jeśli chodzi o bezpieczeństwo swojej infrastruktury informatycznej.
PS2. Odpowiedź redakcji Radia WNET.
PS3. Tutaj mamy jeden z największych steków bzdur, jakie czytałem przy okazji całego tego zamieszania.

Anonimowa wydmuszka - addendum

Czy zatem jest się czego bać? Zdecydowanie tak – proszę pamiętać, że ataki typu DDoS są zwykle zasłoną dymną dla bardziej zaawansowanych działań i istnieje prawdopodobieństwo, że z takimi mamy obecnie miejsce. Ogłoszona przez ruch Anonymous Global Cyber War jest faktem, który zaczął się od ataków na strony w USA, a następnie na całym świecie (np. w Brazylii padło kilkaset stron rządowych).

Należy jednak to wszystko oddzielić od „zabawy w hakerów” script kiddies zafascynowanych działem jonowym. I to, przyznaję, jest tu najtrudniejsze. Proszę jednak zauważyć, że:

  • atak typu deface na stronę sejm.gov.pl najprawdopodobniej nigdy się nie odbył;
  • podawano fałszywe informacje o atakach na bloga Katarzyny Tusk (publikowany adres zawierał literówkę, nie odsyłał zatem do oryginalnej strony, a jedynie w amatorski sposób się pod nią podszywał – jednak i to wystarczyło, by informacja „chwyciła” ;) ;
  • podnoszono larum w związku ze shakowaniem strony http://vagla.pl/, co było i jest nadal żartem… jej twórcy – taki stan rzeczy jest od kilku lat i jest to kolejna informacja nieprawdziwa.

Ponadto pojawiają się niespójności informacyjne w komunikatach wysyłanych rzekomo przez środowisko Anonymous:

  • po pierwsze, użyte sformułowanie w jednym z apeli „all your base belong to us” jest napisane poprawnie, a paradoksalnie… błędnie :) jest to próba odwołania się do błędu tłumaczy w jednej z gier, który jednak w oryginalne brzmiał „all your base are belong to us”;
  • po drugie, Anonymous podało informację o fałszywym ataku na blog Katarzyny Tusk z błędną domeną, a następnie skasowało tę informację – powstają zatem kolejne pytania o weryfikację tych treści;
  • po trzecie, pojawiają się różne grupy (lub pojedyncze osoby) usiłujące przypisać sobie zasługi ruchu Anonymous (np. zdobywający popularność fanpage Anonymous Polska na Facebooku), gdzie treść postów – podobnie jak na forum AnonymousWiki (które zdaje się nie mieć nic wspólnego z kontem na twitterze o tej samej nazwie) – wskazuje na niski poziom wiedzy na temat zarówno zagadnień technicznych jak i rzeczywistego stanu rzeczy. Gołym okiem widać niedojrzałość i ignorancję administratora;
  • po czwarte – ataki odbywają się nie tylko w Polsce, a jednak konto AnonymousWiki skupia się tylko na tym zagadnieniu;
  • po piąte – wątpliwa jest np. ankieta na forum AnonymousWiki i jej cel nr 1: portal tvn24.pl, który nadal jest dostępny online.

Powyższe przykłady nie są argumentami „za” czy „przeciwko” ruchem Anonymous – pokazują jedynie, jak szerokie jest to zjawisko i jak – obok niewątpliwie poważnego nadwyrężenia infrastruktury sieciowej (i pytań o jej jakość i wydajność) - odbywa się, mówiąc kolokwialnie, cyrk z udziałem ludzi nieświadomych specyfiki narzędzi, których używają (w tym własnego bezpieczeństwa), nawołujących i przyklaskujących wandalizmowi sieciowemu.

Obok realnych zagrożeń ze strony profesjonalistów i pasjonatów z ruchu Anonymous, mamy zatem również do czynienia z zagrożeniem poważniejszym chociażby pod względem społecznym – owczy pęd powoduje, że chętnie przyzwalamy na ataki na instytucje, które są w posiadaniu naszych danych, a mało kto z krzyczących wszem i wobec „Nie dla ACTA” w ogóle ma jakiekolwiek realne pojęcie o tym dokumencie, nie mówiąc już o przynajmniej próbie zapoznania się z nim.

Czytaj również

blog1 blog2

Na jakim etapie jesteś?