O autorze
Krzysztof Surgut – CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), autor książki „VoIP – tania telefonia internetowa” (Helion), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Jak haker może wpłynąć na wyniki wyborów w Polsce?

Wybory samorządowe w Polsce odbywają się w tradycyjny sposób, bez udziału Internetu czy podpisu elektronicznego. Czy jest możliwe zatem, aby haker miał wpływ na wyniki wyborów samorządowych w Polsce? Okazuje się, że nie jest to takie trudne, bo może to zlecić …. prawie każdy.

Rosja kontra USA
W ostatnich miesiącach, media na całym świecie ekscytują się aktywnością rosyjskich, rządowych hakerów, w zakresie wpływania na opinie amerykańskich wyborów.



Parenaście dni temu, podczas konferencji hakerów DefCon w USA, zrobiono „zawody” we włamywaniu się do urządzeń do głosowania – praktycznie z marszu, bez specjalnego przygotowania, udostępniono przybyłym na konferencję hakerom 30 modeli urządzeń wykorzystywanych do głosowania w USA.

Pierwszy sukces był już po 1.5h pracy hakerów – w dodatku wykorzystano lukę, o której wcześniej nikt nie wiedział (więcej szczegółów tutaj ).

Warto wiedzieć, że w USA 25% głosów liczona jest przy użyciu właśnie tych słabo zabezpieczonych, elektronicznych maszyn do głosowania. W dodatku, w wielu stanach USA, maszyny nie dostarczają wydruku pozwalającego na weryfikację wyników, jeżeli byłyby one niedokładne.
Jeżeli dodać do tego fakt, iż w ostatnich wyborach prezydenckich decydowały pojedyncze tysiące głosów to widać, że Amerykanie mają się czym martwić.

A co w Polsce?
Najbliższe, czekające nas wybory to wybory samorządowe. Wbrew pozorom to bardzo istotne wybory dla przeciętnego obywatela, ponieważ to samorządowcy decydują o najbliższym otoczeniu mieszkańca, infrastrukturze, warunkach biznesowych każdej części Polski.
To samorządowcy decydują o kierunkach wydatkowania pieniędzy na lokalne potrzeby, a także samorządy występują z wnioskami o dotacje unijne.
Ponadto samorząd decyduje o obsadzie pracowników w spółkach samorządowych, a tym samym ma bezpośredni wpływ na jakość ich pracy a także koszty z tym związane. Potem przekłada się to na lokalne podatki, koszty wody, koszty wywozu śmieci, itd.

Wydawać by się mogło, że raczej nie ma czego się obawiać. Przecież same wybory odbywają się w sposób „nieelektroniczny” – czyli przy wykorzystaniu papierowych kart do głosowania.

Ważny jest pewnien szczegół - sam fakt oddania głosu w wyborach to jedynie fragment procesu wyborczego. Zanim oddamy głos, wcześniej odbywa się proces kampanii przedwyborczej związany z budowaniem wizerunku każdego z kandydatów.

Tutaj zaczyna się spore pole do popisu.
I nie chodzi mi wcale o takie działania w sieci, których celem jest propagowanie fake-news’ów, czyli fałszywych informacji, czy też działania określane jako "czarny PR".
Problem może nadejść z najmniej oczekiwanej strony.

Na początek przypomnienie paru znanych faktów.

Co tam w tych urzędach się załatwia?
Wbrew pozorom, to najwięcej spraw urzędowych mamy do załatwiania na poziomie samorządowym a nie na poziomie wojewódzkim czy ministerialnym.

Większość społecznej buchalterii i biurokracji ogarniają starostwa powiatowe i urzędy miast oraz urzędy gmin.

W starostwie powiatowym najczęściej załatwiamy takie sprawy jak:
- pobór do wojska,
- sprawy dotyczące rejestracji pojazdów oraz wydania dokumentów prawa jazdy,
- pozwolenia na budowę (budownictwo indywidualne),
- pozwolenia związane z ochroną środowiska (szczególnie ważne dla zakładów produkcyjnych),
- pozwolenia wodno-prawne (ważne zarówno dla przemysłu, jak i rolników czy właścicieli domów),
- gospodarka odpadami,
- mapy do dopłat rolniczych, udostępnianie zasobów geodezyjnych i wszystkie prawy gruntowe,
- zasiłki dla bezrobotnych (rejestracja jako bezrobotny),

W urzędzie gminy czy w urzędzie miasta załatwimy takie sprawy jak:
- wymiana starych dowodów osobistych i wyrobienie pierwszego dowodu przez 18-latków,
- sprawy meldunkowe,
- rejestracja działalności gospodarczych,
- metryki urodzeń, akta zgonów,
- sprawy podatkowe (podatek gruntowy),
- pomoc społeczna (zapomogi),
Czasami w obu urzędach niektóre sprawy się przenikają.

Wszystkie wyżej wymienione zakresy są powszechnie znane i praktykowane na co dzień.

Gdzie tu zagrożenie ze strony hakerów, skoro praktycznie żadnej z tych spraw nie da się załatwić bez wizyty w urzędzie?
W tym miejscu zaczyna się realny scenariusz działania hakera.
Wyobraźmy sobie, że bierzemy wolne z pracy i turlamy się do urzędu, aby załatwić niezbędne dokumenty/pozwolenia.

Przybywamy pod wskazane drzwi/okienko urzędu i dowiadujemy się, że dzisiaj nic się nie da załatwić, bo „komputery nie działają”.

Jakby tego było mało, to kolejnego dnia także status urzędu się nie zmienia i wciąż „komputery nie działają”.

Jeżeli dodamy do tego fakt, że „niedziałanie” jest świadomym działaniem osób trzecich i trwa np. 2 tygodnie przed wyborami samorządowymi, to konsekwencje zaczynają być już wymierne.

Do przeciętnego urzędu gminy/powiatu przychodzi codziennie ok. 200 osób. Każdy w jakiejś swojej sprawie.

Odbicie się od drzwi/okienek pierwszego dnia 200-u osób sprawia, że interesantów kolejnego dnia bardzo mocno przybywa.

A przy kolejnych dniach „tajemniczej awarii”, liczba petentów zaczyna drastycznie rosnąć.
Wydawać by się mogło, że umyślna "awaria komputerów w urzędzie" to tylko teoria, bo ...

Jak się włamać do sieci urzędu?
Aby osiągnąć "stan awarii" urzędowych komputerów wcale nie trzeba się włamywać do sieci komputerowej urzędu. Wystarczy sprawić, aby urzędowe łącze internetowe przestało pełnić swoją funkcję.

W praktyce oznacza to stan, kiedy wszystkie urządzenia sieci komputerowej działają poprawnie, a jednak żadna informacja nie może być wysłana lub odebrana.

W fachowym żargonie nazywa się to atakiem DDoS (z ang. Distributed Denial of Service – rozproszona odmowa dostępu).

Taki atak to ciągłe wysyłanie na łącze internetowe urzędu tak dużej ilości danych komputerowych, że nie są w stanie one wszystkie tam się pomieścić. Wprawdzie dane komputerowe potrafią "stać w kolejkach", niestety czas postoju jest bardzo krótki bo liczony w ułamkach sekundy.
Po tym czasie dane, które nie zostały przesłane do kolejnego węzła sieci komputerowej, są nieodwracalnie tracone.

Można to przyrównać do sytuacji, gdy ktoś rozrzuci po skrzynkach pocztowych osiedla fałszywą ulotkę z informacją, że w najbliższym sklepie spożywczym będzie promocja: „70% taniej dla pierwszych 1000-klientów”.

Wówczas, o zadanej porze, pół osiedla ustawi się w kolejce do drzwi takiego sklepu-ofiary i zdezorganizuje jego funkcjonowanie.

W przypadku sieci internetowej taką „promocję” można sztucznie wywołać i sprawić, że na łącze urzędu będą spływać z całego świata olbrzymie ilości danych.

To spowoduje kompletny paraliż komunikacji internetowej urzędu.

Mało tego, internetową „promocję” można dowolnie długo utrzymywać i stale słać olbrzymie ilości danych z różnych zakątków internetowego świata.

Jaki jest tego skutek?
Brak dostępu do Internetu w urzędzie paraliżuje praktycznie większość czynności urzędu, ponieważ wiele spraw wymaga od urzędnika dostępu do centralnych rejestrów rządowych i administracyjnych.

I nie chodzi tylko i wyłącznie o maile, ale dostęp np. do bazy dowodów rejestracyjnych, bazy PESEL, aplikacji GUS, katastrów geodezyjnych i cały szereg różnego rodzaju programów, bez dostępu do których urząd nie może wydać decyzji.

Spora część urzędów może jeszcze bardziej „oberwać” w tej sytuacji, ponieważ utrzymują swoje strony internetowe WWW i pocztę elektroniczną na serwerach zlokalizowanych w urzędzie.

A te serwery podłączone są do sieci Internet tym samym, zaatakowanym łączem.

Konsekwencją jest brak możliwości otworzenia strony WWW urzędu, czy wysłania/odebrania maila na skrzynki urzędowe.

To nie koniec efektów takiego ataku.

Jeżeli urząd chciał być bardzo nowoczesny i zainstalował sobie w urzędzie centralkę telefoniczną, która realizuje tanie rozmowy telefoniczne przez Internet, tak zwany VoIP, to podczas takiego ataku na łącze internetowe także telefony urzędu zamilkną.

Podczas takiego ataku nie będzie możliwości zarówno zadzwonić, jak również odebrać jakiegokolwiek połączenia telefonicznego na telefonach stacjonarnych urzędu.

W skrajnym wypadku odcięcie urzędu od Internetu może całkowicie sparaliżować prace urzędu.

Co to oznacza dla mieszkańca?
Podczas trwania takiego ataku internetowego, przychodząc do urzędu, niczego się nie załatwi. W dodatku od drugiego dnia ataku ilość petentów dramatycznie rośnie, więc i kolejki mocno się wydłużają.

Jeżeli petent będzie chciał się dowiedzieć, czy „awaria komputerów” jeszcze trwa, to musi wcześniej znać numer telefonu urzędu, bo urzędowa strona WWW nie działa.
Skoro urzędowa strona WWW nie działa to interesant nie będzie miał możliwości sprawdzenia jaki jest aktualny numer do urzędu.

A jeżeli nawet będzie znał numer telefonu do urzędu, to nie bardzo będzie mógł się dodzwonić, bo centralka telefoniczna odcięta jest od sieci – jedyne co może zrobić to zadzownić na jakiś prywatny numer urzędnika (o ile go zna).

Co istotne, wykonanie takiego ataku nie wymaga praktycznie żadnych umiejętności – wystarczy poszperać w Internecie i zlecić wykonanie odpowiednich działań na jednym z wielu serwisów internetowych – ceny takich usług zaczynają się od $ 10.

Jaki to może mieć wpływ na wybory samorządowe?
Jeżeli codziennie odbije się od okienek i drzwi urzędu średnio 200 osób, a taki stan będzie trwał przez 2 tygodnie przed samymi wyborami samorządowymi, to obecny starosta, burmistrz czy prezydent miasta, raczej nie ma co liczyć na przychylność mieszkańców.

Dziesięć dni paraliżu urzędu oznacza ok. 2.000 poirytowanych wyborców – jak do tego dołożymy co najmniej jednego członka rodziny, którego niewydawane decyzje dotyczą bezpośrednio, to armia niezadowolenia może urosnąć do 3000-4000 osób.

A to już jest liczba, która może przewrócić każdy sondaż przedwyborczy.

Czy można tego uniknąć?
Można, ale trzeba przed taką sytuacją zabezpieczyć się z wyprzedzeniem – w momencie ataku może się okazać, że niewiele da się zrobić i jedyne co zostanie to czekanie na … koniec wyborów.
Trwa ładowanie komentarzy...