Atak na systemy PLL LOT mógł przeprowadzić za kilkadziesiąt euro nawet laik
Do sparaliżowania systemu informatycznego PLL LOT mogło dojść na skutek ataku DDoS i przeciążenia serwerów. Jeśli to prawda, to takie działania może przeprowadzić nawet nastolatek płacąc za nie w sieci kilkanaście lub kilkadziesiąt euro - oceniają dla serwisu Wirtualnemedia.pl eksperci od spraw bezpieczeństwa informatycznego.
W niedzielę po południu doszło do cyberataku na system informatyczny linii lotniczych PLL LOT. W jego rezultacie sparaliżowany został segment odpowiedzialny za tak zwany plan lotu, bez którego samoloty nie mogły wystartować.
Według oficjalnego stanowiska przewoźnika zanim po pięciu godzinach usunięto skutki ataku musiano odwołać 10 lotów, a z górą tysiąc pasażerów musiało przełożyć albo odwołać zaplanowaną podróż.
W poniedziałek pojawiła się informacja o tym, że LOT został prawdopodobnie dotknięty atakiem typu DDoS polegającym na przeciążeniu serwera będącego celem i w rezultacie uniemożliwieniu mu wykonywania zadań.
Biuro prasowe LOT nie odpowiedziało na pytania serwisu Wirtualnemedia.pl o potwierdzenie do jakiego rodzaju ataku doszło i w jaki sposób przewoźnik zamierza bronić się w przyszłości przed podobnymi działaniami. Natomiast eksperci od spraw bezpieczeństwa informatycznego w rozmowie z nami nie mieli wątpliwości, że jeśli na LOT dokonano w istocie ataku DDoS to linie okazały się przed nim słabo zabezpieczone.
- Jeśli atakiem w istocie był DDoS, to taki atak w żaden sposób nie jest ani “przełomowy”, ani finezyjny, ani nawet “hackerski” - DDoS-a może przeprowadzić byle gimnazjalista za kilkanaście dolarów - podkreśla Piotr Konieczny, chief information security oficer z serwisu Niebezpiecznik.pl. - W tej sytuacji 5 godzin “wznawiania dostępności serwera” należy rozpatrywać jako bardzo kiepski wynik działu IT LOT-u. Tak długi czas “powrotu” sugeruje, że najwyraźniej LOT wcześniej nie testował swojej infrastruktury pod kątem obciążeniowym i nie miał zawczasu przygotowanego poprawnego planu awaryjnego w postaci albo przełączenia ruchu na scrubbing center albo uruchomienia innej formy ochrony przed DDoS. Nie istniał też zapewne awaryjny serwer, który mógł przejąć obowiązki tego zaatakowanego - albo istniał, ale znajdował się w odciętej przez atak części infrastruktury - zaznacza Piotr Konieczny.
Podobnego zdania jest Łukasz Nowatkowski, dyrektor techniczny G Data Software. - Takie ataki na podziemnych forach można zlecić za kilkanaście czy kilkadziesiąt euro, co pokazuje jak wrażliwa i nieprzygotowana na takie łatwe do wykonania ataki była infrastruktura odpowiedzialna za drukowanie dokumentów niezbędnych do startu - zaznacza Łukasz Nowatkowski. - W tej chwili, na podstawie dostępnych informacji, możemy jedynie domniemywać w jaki sposób doszło do ataku na system informatyczny LOT. Po pierwsze nie istnieją sieci bezpieczne w 100 procentach. Ochrona tak dużych struktur informatycznych to nie tylko oprogramowanie zabezpieczające, firewalle i zabezpieczenia sprzętowe. To także stosowanie odpowiedniej polityki bezpieczeństwa w firmie. To szkolenia, audyt i poczucie odpowiedzialności każdego nawet szeregowego pracownika za bezpieczeństwo teleinformatyczne firmy. Najbardziej prawdopodobnym scenariuszem jest tzw. czynnik ludzki. Czy był to błąd w obsłudze stosowanego oprogramowania, awaria wywołana nieodpowiednim obchodzeniem się z hardwarem? Może jeden z wielu pracowników narodowego przewoźnika otworzył załącznik jednej z wielu spamowych kampanii zalewających obecnie nasz kraj (ransomware Cryptolocker, trojan Dridex) - wyjaśni zapewne wewnętrzne dochodzenie LOT - przewiduje Nowatkowski.
Na błąd człowieka jako ewentualną przyczynę udanego ataku na LOT wskazuje także Konieczny. - Nasza praktyka pokazuje, że o ile dawniej zabezpieczenia najczęściej przełamywało się poprzez luki bądź błędną konfigurację urządzeń sieciowych, a potem błędy w web aplikacjach, to obecnie najłatwiejszym celem dla atakujących jest człowiek - podkreśla Konieczny. - Niezależnie od stosowanej ochrony, księgowa musi bowiem otwierać załączniki (np. faktury) lub logować się do jakichś systemów. Patrząc na projekty realizowane dla naszych klientów, podczas kontrolowanych włamań, tzw. testów penetracyjnych, jeśli zakresem działań objęci są także pracownicy, osiągamy 100 proc. skuteczność, co należy rozumieć jako uzyskanie nieautoryzowanego dostępu do wrażliwych firmowych dokumentów.
- Zabezpieczenie sieci firmowej to coś na wzór dobrze funkcjonującego łańcucha rowerowego – dodaje Nowatkowski. - Jeżeli wszystko jest w najlepszym porządku, naoliwione, jedziemy dalej. Jednak jeżeli tylko jedno ogniwo puści i nieważne czy będzie to człowiek, sprzęt czy oprogramowanie efekt jest zawsze ten sam - maszyneria staje. Skłoniłbym się jednak do stwierdzenia, że to człowiek częściej jest powodem kłopotów. Brak aktualizacji zainstalowanego oprogramowania z lenistwa czy zaniechania, niestosowanie się do zasad bezpieczeństwa czy zwykłe błędy to większy problem niż niedoskonałości infrastruktury czy rozwiązań informatycznych.
Na pytanie Wirtualnemedia.pl o to, w jaki sposób taka firma jak LOT może ustrzec się w przyszłości przez podobnymi atakami eksperci różnią się nieco w odpowiedziach. Zdaniem Koniecznego zabezpieczenia muszą być przystosowane zawsze do konkretnych, używanych w firmie systemów i nie ma idealnego rozwiązania dającego pełne bezpieczeństwo. Natomiast Nowatkowski widzi jeden, ale radykalny sposób na zabezpieczenie wrażliwych elementów infrastruktury.
- Jedyną pewną metodą jest odłączenie krytycznej infrastruktury od sieci internetowej, a w przypadkach gdzie nie możemy zastosować tego rozwiązania musimy wykorzystać mix rozmaitych rozwiązań - doradza dyrektor techniczny G Data Software.
Dołącz do dyskusji: Atak na systemy PLL LOT mógł przeprowadzić za kilkadziesiąt euro nawet laik
Padłem