14°C
Útok hackerů na volební web je nesmysl, tvrdí odborník. Úřad: Bylo to tak
Není pravděpodobné, že by někdo cíleně útočil na internetovou stránku s výsledky českých voleb. Tvrdí to Pavel Ševčík, jeden z odborníků z Paralelní Polis. Útočník by podle něj z útoku nic nezískal. Zpochybnil tak tvrzení Českého statistického úřadu (ČSÚ), že za výpadkem jeho webu stál v sobotu cílený DDoS útok. Podle Ševčíka je ale pravděpodobnější, že servery úřadu jednoduše nezvládly nápor lidí, což se podle něj od útoku jen těžko odlišuje. ČSÚ se proti takovému tvrzení ale důrazně ohradil.
Podle Českého statistického úřadu jeho stránky nefungovaly kvůli cílenému DDoS útoku (ten funguje tak, že vyřadí server z provozu tím pomocí velkého množství požadavků). Mohl nějak ohrozit české volby?
Těžko říct, jestli to vůbec byl cílený útok. U takové věci se to jen těžko rozeznává. Jde o mezinárodně sledovanou událost, ať už se snaží připojit čeští občané z celého světa, nebo novináři. Jde tak jen těžko říct, jestli šlo o cílený výpadek, nebo jestli ta služba jednoduše nevydržela pod náporem přístupů.
Myslíte si tedy, že jde ze strany ČSÚ jenom o výmluvu?
Podle mě šlo skutečně o nepřipravenost úřadu. Nevidím totiž žádnou motivaci k podobnému útoku. Útočník by tím neměl co získat. Chápu ale, že ČSÚ nechce investovat, protože většinu času jim na stránek přijde jen několik tisíc lidí měsíčně. Při volbách si přitom servery musely poradit s desítkami tisíc přístupů během několika hodin.
Existuje způsob, jak se tomu úřad mohl bránit?
Moc šancí nemají. Tím, že je to státní instituce, tak nemůžou svá data přesunout do komerční cloudové služby. Jediné, co tak mohou udělat, je investovat do vlastních technických řešení.
A nebylo by rozumné, kdyby vznikla státní cloudová služba, na které by mohly být servery úřadů umístěny?
Řešením by to bylo. Přibylo tím ale i spousta dalších problémů. Muselo by to mít robustní zabezpečení, protože by se otevřelo mnoho dalších cest, kudy se dá k datům dostat. Vzhledem k tomu, v jakém stavu je IT státní správy, tak bych něco podobného asi nezkoušel.
„Útok by byl drahý a nepřínosný“
Proč jste si jistý, že by se takovým útokem nedalo ničeho dosáhnout?
Podle mě by se dalo něčeho dosáhnout pouze, pokud by ten výpadek trval opravdu dlouho. Bavíme se ale v řádu několika hodin, ne-li dne a víc. To už by znamenalo určitý problém. Vzhledem k tomu, že výpadek nebyl souvislý, problém v tom nevidím. Když by někdo chtěl uspořádat takovýhle útok, tak by ho to stálo poměrně dost peněz, které by tímhle jenom zbytečně vyhodil.
Na kolik by tedy takový útok vyšel?
Na internetu se ale dají najít služby, přes které se dá objednat. A dají se poměrně přesně nastavit i jeho parametry. Na základě toho bych mluvil o desítkách, možná stovkách tisíc korun.
Důvěřujete IT státní správy alespoň natolik, abyste věřil, že skutečně nemohly být ovlivněny kanály, kterými se posílají sečtené hlasy z jednotlivých okrsků?
Nejsem si jistý, jak přesně vypadá infrastruktura sčítání hlasů. Vzhledem k tomu, že jde o vysoce důvěrnou informaci, tak jsou tyto dva kanály oddělené. A věřím, že u ČSÚ je to stejné. Nemyslím si, že by se teoretický útočník tímhle způsobem pokoušel napadnout právě ten kanál, kterým proudí informace o sečtených hlasech.
Útok by neohrozil ani výsledek elektronických voleb
Po volbách se třetí nejsilnější stranou stali Piráti, kteří chtějí prosadit elektronickou volbu a větši digitalizaci celé státní správy. Jak nebezpečný by byl podobný útok, kdyby se jim tyto body podařilo prosadit?
Věřím tomu, že to jsou chytří lidé s dobrými IT znalostmi. Myslím, že když to navrhují, tak vědí proč, i jaké by to mělo bezpečnostní důsledky. Elektronické volby jsou samozřejmě složité. Je při nich kladen velký důraz na ověření totožnosti voliče i na zabezpečení přenosu dat.
Nevím, jestli jsme schopní v České republice něco takového zprovoznit v průběhu několika dalších let. V rámci digitalizace státní správy nejsme vůbec napřed. Myslím, že digitalizace voleb by měla být až jednou z posledních věcí, kterou bychom se měli zabývat. V tomto bychom si mohli vzít příklad z Estonska, které je v těchto věcech poměrně napřed.
V Estonsku již digitalizovali i volby, zaznamenal jste, že by někdy měli problém s tím, že se na ně někdo pokoušel útočit?
Nejsem si něčeho takového vědom. V takovém případě záleží na stupni ověřování toho, jakým způsobem tam probíhá ověřování identity voličů i samotných odesílaných dat. Tomu mohou pomoci i technologie, jako blockchain (druh decentralizované IT databáze, která je chráněná proti vnějším zásahům), se kterými pracujeme i zde v Paralelní Polis.
A co by způsobil DDoS útok na elektronické volby, fungoval by vůbec?
Spíš by nefungoval. Je otázkou, co by vůbec způsobil. Zabránil by lidem volit, což by se stávat nemělo, je ale otázka, komu by to pomohlo. Jde totiž DDoSovat služba jako taková, ale nedají se DDoSovat voliči, takže nejde zabránit ve volbě například pouze voličům jedné strany. Pomohlo by to tak nanejvýš lidem, kterým vadí celé volby.
Pokud by někdo chtěl ovlivnit výsledek elektronických voleb, tak by musel zvolit úplně jiný typ útoku?
Určitě ano. V této souvislosti je ale zajímavý případ v souvislosti s Estonskem i Slovenskem. Obě tyto země mají občanské průkazy s eID čipem. Nevím, jestli probíhá v Estonsku identifikace za použití právě tohoto čipu. V systému eID se ale objevila chyba. Firma, která se stará o karty a protokoly k nim špatně vygenerovala klíče, které jsou veřejnou součástí například elektronických podpisů.
Na Masarykově univerzitě v Brně nedávno zjistili, že se z těch klíčů dají vypočítat i neveřejné kódy. Je to sice velice nákladné, ale lze to. Dokážu si tak představit scénář, že kdyby volby fungovali na bázi eID, tak by přes to šlo ovlivnit elektronické volby.
To by ale představovalo ohromnou investici.
Jasně, kdyby to někdo chtěl udělat, tak by na to musel vynaložit až nadpozemské množství peněz. To by ale v případě některých států nebyl problém.
ČSÚ ukázal na hackery a dodavatele
Český statistický úřad k výpadkům svých webů vydal den po volbách vlastní prohlášení. V tom tvrdí, že problémy vznikly kvůli technickým problémům na straně dodavatele služeb.
Na základě podrobné analýzy bylo podle ČSÚ zjištěno, že došlo k cílenému DDoS útoku na infrastrukturu společnosti O2, která vedla k omezení dostupnosti jeho serverů. ČSÚ se podle svého prohlášení rozhodl všechny poznatky o útoku předat Policii ČR a Národnímu úřadu pro kybernetickou a informační bezpečnost.
Další vyjádření připojila mluvčí statistiků Petra Báčová:
V sobotu 21. října zaznamenaly webové stránky volby.cz výpadky v důsledku DDoS útoku na komunikační infrastrukturu externího dodavatele služeb. Tato informace je faktem. Potvrzuje ji samotný dodavatel i dosavadní vyšetřování Policie ČR a Národního úřadu pro kybernetickou a informační bezpečnost. Nejde tedy o žádné „svalování viny na hackery a dodavatele“, jak uvedl Blesk.cz.
Veřejnost jsme o útoku informovali ihned poté, co byly informace o něm potvrzeny. Současně jsme deklarovali, že výpadky prezentačního webu neměly žádný vliv na nezávislé zpracování dat, tj. na výsledek voleb. Veřejnosti se ještě jednou omlouváme za omezenou dostupnost webu volby.cz, kterou jsme nahrazovali zveřejňováním průběžných výsledků voleb prostřednictvím médií, a věříme, že nám čtenáři zachovají svou důvěru.
VÝSLEDKY SNĚMOVNÍCH VOLEB 2017 NAJDETE ZDE
Vše o parlamentních volbách 2017 čtěte zde
Rozbory volební situace a autorské komentáře čtete na Reflex.cz
Témata:
Související
Vše zavrhul, nechápe co by tím někdo získal a bylo by to moc drahé
.. a z druhé strany .. je lepší získat téměř 30% než podle výzkumů předpokládaných 20% a kousek