Elvette a magyar állam a korábban orosz hekkerek által támadáshoz használt oldalt
2022. április 29. – 12:19
Kiberbiztonsági kutatók olyan állami dokumentumokat találtak kormányhivatali weboldalakon, amelyek állami ügyintéző felületekre lennének hivatottak továbbirányítani az állampolgárokat, ehelyett a magyar kormányzati oldalak gov.hu végződésére a megtévesztésig hasonlító qov.hu domainre mutató, kattintható hivatkozásokat tartalmaztak. Erről a domainről néhány éve kiderült, hogy az orosz katonai hírszerzéshez köthető hekkerek használták fel a magyar kormány elleni adathalász támadáshoz, az illetékes magyar állami szervek egészen eddig mégsem léptek fel ellene érdemben – írtuk csütörtöki cikkünkben.
Ez mostanra megváltozott: a qov.hu oldalt csütörtök délutánra átirányították a Nemzeti Infokommunikációs Szolgáltató oldalára, így most már ártalmatlan.
Ahogy korábbi cikkünkben írtuk, nem arról volt szó, hogy az oroszok behekkelték magukat az érintett állami dokumentumokba; a kockázatos linkek a kinyomtatott iratok beszkennelésekor, hibás karakterfelismerés miatt kerülhettek be. Az nem is volt életszerű kockázat, hogy állami hekkerek ilyen módon jussanak be kormányzati rendszerekbe, az viszont igen, hogy a hiba megkönnyítse az állampolgárok elleni adathalászatot. Emiatt, illetve az orosz–ukrán háború hatásaként egyre fokozódó orosz hekkerfenyegetés miatt volt különösen figyelemre méltó ez a hiba, és nehezen érthető, hogy a legalább 2016 óta ismert adathalász oldalt miért nem kapcsolta még le az állam.
Erre ugyanis az elvi lehetőség eddig is meglett volna: az erre hivatott állami szervek indokolt esetben elvehetik az ilyen megtévesztő domaineket – mondta korábban a Telexnek Frész Ferenc, a Cyber Services alapító-vezérigazgatója, aki 2014-ig maga is az állami kibervédelem irányítója volt. A gyakorlatban ilyenkor nem magát a domain használati jogát veszik el, hanem egy úgynevezett sinkhole-lal (szó szerinti fordításban víznyelővel) ártalmatlanítják: egy olyan doménnévszervert tesznek az oldal mögé, amely nem az eredetileg mögé rakott IP-címre irányítja a forgalmat, hanem elnyeli azt.
A jelek szerint ez nem sokkal a cikkünk megjelenése után meg is történt. Nem feltétlenül a cikkünk hatására, inkább azért, ami annak apropóját is adta: Frész Ferenc és munkatársai a hiba felfedezése után közzétették azt egy szakmai Facebook-csoportban, ahol az illetékes állami szervek szakértői is jelen vannak. Frész már az előző cikkünkben is azt mondta, hogy a történet pozitívuma a hatékony szakmai együttműködés és az állami szereplők gyors reagálása volt.
Nem csak magát a qov.hu domaint vették el: elérhetetlenné vált a cikkünkben is linkelt dokumentum, amely a domainre vezető hivatkozásokat tartalmazott, ahogy más hasonló dokumentumok is, amelyekre a Google még ad keresési találatot, de már nem tölthetők le.