Igen, Mi Magyarok (a Kétharmad) internetadót akarunk. Kint van a
parlament oldalán (52. oldal) a tervezet. Igen, a Bölcs Vezéreink
ezt 150Ft/GB mértékben gondolták nekünk megfelelőnek.
A felületen ez csak annyit jelent hogy megszűnik a korlátlan
internet, megszűnik a nem forgalommért internet, megszűnik az olcsó
internet, az internet ára a mostani külföldi mobilnet
nagyságrendjébe fog esni. Megszűnik az IPTV, a netes telefonok, a
skype, viber meg a többiek.
Megszűnik a mobiltv. Vélhetően megszűnik az internetes reklámpiac,
mivel a szolgáltatók szűrni fognak mindent ami után fizetniük
kellene.
De ez, mint mondtam, csak a felület.
A piaci szolgáltatók nagy része tönkre fog menni. Ezt a
különadók és ágazati adók elindították, de lehet fokozni a
végtelenségig. Az Állam ezen szolgáltatókat népiesen szólva
szarér'-hugyér' meg fogja venni kilóra, és lesz egy darab Nemzeti
Internetszolgáltató ZRt., ami közvetlenül a Párt irányítása alatt
fog állni. Innentől törvény sem kell, egyszerűen szerződésben lesz
kikötve hogy mit szabad és mit nem. A Nemzeti Tűzfal már
elkezdődött, és amúy is kelet fele nyitunk, nézzetek Kína
irányába.
Az interneten az emberek túl sokat beszélnek, túl sok mindenről
tudnak, ezen lehet változtatni.
Természetesen a Nemzeti Internetszolgáltató nagyon költséges
lesz, ezért az internet ára is elég magas lesz, sokkal magasabb
mint egy esetleges adó után. A legtöbb ember nem fogja tudni
megfizetni, így kikerülnek ebből a szennyes információáramlásból,
hogy a tájékozódásra a vegytiszta Magyar Nemzeti KözTelevízió adjon
nekik kizárólagos lehetőséget.
Nem az a kérdés, hogy most annyira jól megy-e nekünk hogy ezt is
ki tudjuk-e zsebből fizetni. Nem is az a kérdés, hogy a
világtrendekkel szemben megy az illiberális unortodox politika.
A kérdés az, hogy megengedjük-e az államnak hogy tönkretegye a
magyar internetet, ami nem egy webes unaloműző csupán hanem egy
államilag szinte kontrollálhatatlan hírforrás. Mert az informált
emberek maguk tudnak dönteni, vagy legalábbis esélyük van rá.
A mostani támadások kapcsán többen kértek már egyszerűbb
magyarázatot, hogy tulajdonképpen miért is akadoznak a szolgáltatók
a napokban, miféle botnetek, milyen dns, és egyáltalán? Megpróbálom
nem-informatikusul elmondani, nagyrészt.
A DNS és a
névserverek
Röviden a DNS-ről: a DNS (Domain Name System) az az
internetes alrendszer ami egy névhez megtalálja a hozzá tartozó IP
címet (pl. „yikes.tolna.net” névből kitalálja hogy a gép címe
„193.227.196.2”), illetve bizonyos esetekben fordítva ugyanezt;
elengedhetetlen hogy az emberek számára megjegyezhető szavakból a
gépek számára érthető számok keletkezzenek. Ezeket a neveket a DNS
serverek tárolják és válaszolnak a kérésekre, amiket adatcsomagok
formájában kapnak.
Műszaki mélységek nélkül két fontos serverfajta dolgozik a
DNS-en: a „hivatalos” (authoritatív) és a „gyorsító” (caching)
serverek; az előbbi csoport most számunkra nem érdekes, ők tudják a
saját adataik minden részletét; a második csoport feladata az hogy
a saját ügyfelek, saját gépek DNS forgalmának egy részét helyben
szolgálják ki, tárolva az ismétlődő kéréseket, gyorsítva a
folyamatot. Ilyen caching névservert szinte minden „router”
tartalmaz, vagyis azok a kütyük amikkel „egy internet drótra több
gépet lehet dugni”, vagy „meg lehet osztani wifin”, vagy
hasonlók.
Mint látható a caching serverek feladata a saját
gépek kiszolgálása, de mindenfajta kérést elfogadva
(hiszen a felhasználók bármilyen kérést kérhetnek, amit gyorsítani
kell). Normális esetben tehát a caching névserverek csak
saját gépeknek (bármit) szolgálnak ki, és mindenki mást
elutasítanak. Ez így normális.
A problémánk lényege az, hogy bizonyos eszközök ezt az alapvető
szabályt megszegik: bárkinek bármit hajlandóak
kiszolgálni a DNS rendszeren belül (ezek neve „open resolver”).
Ennek oka változatos: igénytelenség és gondatlanság a
leggyakrabban, nagyívű leszaromság az óccó kütyülik gyártóckáitól,
a gyári alapbeállítások biztonság-tudatosságának teljes hiánya,
illetve néha egyszerű emberi hiba a beállítások során. Amikor egy
ilyen hibás kütyü kerül a netre akkor ő az egész világ számára
nyújt DNS feloldási szolgáltatást.
Ez első ránézésre még nem lenne baj, maximum nem gyorsít nekik
semmit.
Erősítéses
támadások
Azt, hogy miért támad meg valaki valakit most ne sokat
beszéljünk; leggyakrabban azért, mert az illető egy fasz, ezt nem
lehet ennél árnyaltabban fogalmazni. Nincs tudatában sem a
károkozás nagyságának, sem a várható következményeknek, és
nagyjából ez a féltéglával-betöröm-a-kirakatokat informatikai
megfelelője. Gyakran történik a támadás politikai okból, és nem
ritka a bevétel-orientált támadás valaki ellen vagy valaki mellett
sem. A támadások fajtái, műszaki megoldásai nagyon változatosak, ne
menjünk most bele.
A támadások egyik típusa a túlterheléses támadás: valamilyen
módon olyan adatmennyiség érkezik be egy gépre, szolgáltatóhoz,
gerincvonalra vagy az egész világra hogy attól az adott
szolgáltatások, a teljes szogláltató, az érintett országok vagy
semmi a világon nem érhetők el addig, míg a támadás hatásosan
folytatódik. A túlterheléses támadások pedig akkor kivitelezhetőek
gazdaságosan ha azt erősítéssel (amplification) teszik: egy kis
adatforgalmú „tetű” utasítja a „zombikat” hogy támadjanak meg
valakit, így a tetűnek nem kell végtelen erőforrással
rendelkeznie.
Az erősítésnek is két fő fajtáját különböztetném most meg: az
egyik amikor a zombikon valamilyen kártékony, rejtett program fut
(vírus, trójai, …), a másik amikor a zombikon semmiféle változtatás
nem történik hanem azok valamilyen hibáját használják ki az
erősítésre, vagyis a zombikon van valami ami egy pici
adatcsomagra egy hatalmas adatcsomaggal válaszol. Mi most ez
utóbbival foglalkozunk.
A erősítés folyamata az utóbbi esetben elég egyszerűen
megérthető:
a TETŰ kiszemeli az ÁLDOZATot, megkeresi az IP címét,
a TETŰ küld egy olyan (pici) adatcsomagot minden ZOMBInak
amiben meghamisítja a feladó címét, hogy úgy nézzen ki mintha az
ÁLDOZAT küldene egy kérdést a ZOMBInak,
a ZOMBI megkapja a csomagot és válaszol rá egy nagy
adatcsomaggal, viszont mivel azt hiszi hogy a kérdést az ÁLDOZAT
küldte ezért neki küldi a választ.
Vagyis a tetű kiküld 1000 darab 50 byte-os adatcsomagot mire az
áldozatra ráömlik mondjuk 1000 darab 500 byte-os adatcsomag.
Másodpercenként 500 kilobyte, ami kb. 5 megabitnek felel meg
másodpercenként. Ha mindezt több ezer vagy tízezer zombival és
picit nagyobb erősítéssel számoljuk akkor elég gyorsan összegyűlik
több tíz vagy száz gigabit is, amit a legnagyobb szolgáltatók is
nehezen viselnek, nem beszélve a teljes internetes
gerinchálózatról.
A botnet a zombik összessége: egy közös irányítású
hálózat, csoport, ami agyatlan robotokból áll, akik teljesítik a
vezértetű kéréseit. A közös cél fogja őket össze, így gyakran nem
szükséges egyformának lenniük, egyforma software-ekkel
rendelkezniük, csupán a támadásra használt eljárás közös, és az
irányító.
Vissza a DNS-re
A DNS erősítéses támadások
picit más műszaki módszerrel, de lényegében ugyanezt a módszert
követik: a tetű ráveszi a zombikat hogy egy pici kérésre bazinagy
válaszokat küldjenek valahova. De hogyan tudná rávenni valaki
akárhonnan hogy egy gép egyáltalán válaszoljon neki bármit
is? Hiszen a caching DNS serverek csak a saját barátaiknak
válaszolnak, így hiába is küldenek nekik bármit is, hamisítva
persze, semmi nem történik, nincs válasz.
Kivéve persze ha open resolver-ről van szó, aki
bárkinek bármilyen DNS adatot megpróbál feloldani. Innentől
egyszerű: tetű küld egy speciális módon hamisított pici DNS kérést
az open resolvernek (aki innentől zombi névre hallgat), aki generál
egy bazi választ az áldozatnak és elküldi (elküldeti) neki.
Az első, hogy ellenőrizd magad: itt, vagy
itt,
esetleg itt.
Ha nincs baj, akkor király (vagy királynő) vagy. Nincs több
teendő, mehetsz vissza netet nyomkodni. ;-)
Ha a tesztek szerint open resolvert üzemeltetsz akkor jelzem,
hogy a te édesanyádat is gyakran emlegettük mi, informatikusok az
elmúlt napokban, persze kimondottan kontextusból kiragadva és
mindenféle személyes vonatkozást anonimizálva, szemeket fekete
négyzettel letakarva, satöbbi. Zombi vagy, és jó eséllyel neked is
köszönhetjük hogy az elmúlt napokban-hetekben akadozik az internet.
Köszi!
De lépjünk tovább. A probléma megoldása az, hogy egy
szakember (informatikus) megszünteti az open
resolvert, miután megkereste, hogy mi az. Ez az alap. Ez nem olyan
dolog amit egy plázacica
a műkörmeivel, hidrogénszőke fanszőrzetével és pincsikutyájával meg
tud oldani. Vannak olyan
problémák, de ez nem az.
Jó, látom, még mindig olvasol. Nem akartalak megbántani,
hidrogéneztesd
ha jól esik. ;-)
A megoldás azért az esetek nagy részében sztereotip: van egy
kici kínai routereckéd ami nagyon olcsó volt, cserébe
viszont szar, és a gyártója vagy ad hozzá javításokat vagy sokkal
inkább nem ad. Ez az a doboz amivel megosztod a netedet a több
géped között dróton vagy wifivel. Nagyon jó eséllyel ő a bűnös.
Lehetséges megoldások:
Kivágod a retekbe és a gépedet közvetlenül dugod a netre.
Általában ez nem szokott járható útként funkcionálni.
Kivágod a retekbe és veszel egy normális eszközt és
informatikusra bízod a beállítását. (És fizetsz érte, nem pedig
kuncsorogsz; vagy nyírd le a gyepjét tízszer vagy vegyél neki egy
karton sört vagy akármi, ne gondold már hogy az informatikusok a
világ ingyenkurvái.) Nem könnyű ajánlani megfelelő eszközt, én
legalábbis nem tudok, mert amit ajánlani tudok azt a plázacicák nem
tudják feltétlenül beállítani. (Amúgy én mikrotik cuccokat használok most már
szinte mindenütt, értelemszerűen Linux alapú.)
Keresel hozzá gyári javítást (firmware) és felteszed. Nem
egyszerű és el lehet rontani, bár tény hogy az elrontáshoz igazi
tehetség kell.
Változtatsz a beállításain hogy csak belső irányba szolgáljon
ki DNS kéréseket (esetlegesen ilyen beállítása nem lesz, de nem
kizárható).
Változtatsz a beállításain és megadod a tűzfalában hogy kintről
ne fogadjon el DNS kéréseket (műszakilag: bejövő csomagok,
protokoll UDP, cél port 53).
Változtatsz a beállításain, és kikapcsolod benne a DNS servert
(teljesen), és a gépeiden használod a szolgáltató servereit, vagy
akár a google dns
szolgáltatását (már ha épp minden hálózati
tevékenységedet meg szeretnéd velük – meg az amerikai állammal –
osztani). Nem ideális, mert kézzel kell baszkurálni a gépek
beállításait is, egyenként.
Kivágod a gyári firmware-t az előbb említett retekbe (egybként
ez egy másik szót helyettesít, nem keverendő össze az ásványokban
gazdag zöldséggel) és felteszel
egy dd-wrt
/ openwrt /
tetszőleges
open source firmware-t. Ez nem mindig lehetséges (az extragagyi
cuccokban nincs hozzá elég erőforrás), de amikor igen akkor ez
szokott a jó megoldás lenni.
Mint látod valóban nincs triviális megoldás. Ez van, ez egy
komplex világ.
Remélem nagyrészt érthető voltam. A fenti probléma
(túlterheléses támadások vagy DDoS - Distributed Denial of Service)
általánosan létezik, nem csak a DNS-sel kapcsolatban; napjainkban
az időszinkronizációtól kezdve (NTP) a nyomtatók lekérdezéséig
(SNMP) minden szolgáltatásnál alapvető hogy ne lehessen hamisított
pici kérésekkel bazi válaszokhoz jutni. Sok még a probléma,
elleszünk vele egy ideig mi, informániákusok.
Ti meg, ha épp ráértek, még segíthettek is nekünk, hogy tudjuk
adnia netet – nektek.
Bizonyosan sokan leírták, csak én kerültem el őket, de szeretnék
egy pár szót ejteni a jelenlegi magyar választási rendszerről,
illetve ennek implikációiról egy olyan politikai környezetben
amikor – az intelligens választó számára – nincs választható
jelölt; talán szót ejtek arról hogy hogyan alkotott államilag
engedélyezett választási csalást az uralkodó párt.
Frissítettem a
Wikipédia
választási rendszerről szóló szócikkét, melyhez
először elolvastam a
választási
törvényt, majd még egyszer, majd megvakartam a fejem és
elkezdtem próbaválasztásokat tartani a LibreOffice sheetjén. A
végeredményt döbbenten néztem, mert más az amikor írják hogy „a
kormány átalakította a választási rendszert úgy hogy ők nyerjenek”
és más amikor látom, hogy mennyire.
A döbbenetem alapja a törvény 15.§.(1)(b) pontja, ami
ártalmatlannak is tűnhet: „Töredékszavazatnak minősül[…] a
mandátumot szerző jelölt szavazataiból a második legtöbb szavazatot
elérő jelölt eggyel növelt szavazatainak kivonása után fennmaradó
szavazatszám.”
Lefordítom. A nyertes egyéni jelölt és a nem nyertes
második egyéni jelölt közötti
szavazatkülönbséget megkapja a nyertes egyéni
jelölt pártja pluszban, töredékszavazatként.
Azt sokan tudják hogy a választási rendszernek volt egy olyan
átalakítása aminek végeredményeképp rengeteg párt indulhat
a választásokon. Ennek az egyik eredménye hogy sok egyéni jelölt
nem fogja elérni az 5% küszöböt: ezeknek a szavazatai elvesznek. A
másik hogy az ellenzéki szavazatok széttagolódnak, vagyis aki nem a
Pártra akar szavazni az sok kis párt sok kis jelöltjére fog
szavazni; ennek az egyik eredménye hogy a másodiknak végző (a Párt
feltételezése szerint és médiatámadásának köszönhetően) ellenzéki
egyéni jelöltre kevesebben fognak szavazni, vagyis nagyobb lesz a
nyertes és a második közötti különbség. Na ezt a különbséget fogja
a nyertes megkapni töredékszavazatban. Ha elég nagy a nyertes és a
második közötti különbség akkor a nyertes szavazatokat akár duplán
is lehet számolni az országos pártok parlamentbe jutásakor!
Mit tehet az az intelligens választó aki számára nincs olyan
választható induló akiben meg tud bízni, de nem akarja hogy a Párt
további négy év alatt az ország vagyonának utolsó morzsáit is
elhordja, hogy megkezdje az egypártrendszer és a szocialista
államigazgatás visszaépítését?
Ennek az egész vizsgálódásnak az alapja egy kedves ismerős volt,
aki politikailag képzettebb nálam (illetve a magyar lakosság
85%-ánál, megfigyelésem szerint), és aki kifejtette, hogy ő pártban
az LMP-re szavaz, jelöltben pedig – ha lehetséges – akkor a
legesélyesebb ellenzéki jelöltre, ami általában az Együtt-PM-stb
jelöltje. Én ezt bemondásra nem fogadtam el és elmentem
ellenőrizni; az ellenőrzés eredményeképp írom mindezt.
A logikája tehát az lehetett, hogy pártlistán szavaz a számára
leginkább szimpatikus vagy a legkevésbé unszimpatikus pártra, mert
ennek számítása egyértelmű; olyan pártot választ aki vélhetően
eléri az 5% (vagy egyesült pártok esetén a 10 illetve 15%)
küszöböt.
Egyéni jelölt esetén pedig arra az ellenzéki, de még elfogadható
jelöltre szavaz (gondolom ezt az eufemisztikus fogalmazást nem kell
kifejtenem, értse mindenki) aki vélhetően a második helyen fog
végezni, hogy minél kisebb legyen a különbség az első és a második
között.
Játékelméleti
kifogásokat mellőzve vélhetően ez a legjobb módszer arra, hogy
csökkentse valaki a Párt esélyét hogy ismét korlátlan hatalomhoz
jusson amellett, hogy nem tud „valakire” szavazni, csak valakik
„ellen”.
Egy régi viccet kellene idéznem egy hozzászóláshoz, leírom
ide, mert örökérvényű.
A NASA elég nehezen talál vállalkozókat a következő
holdutazáshoz. Behívnak pár vállalkozó pilótát. Megkérdezik először
a szovjetet hogy mennyiért vállalná a dolgot.
– Százezer dollár. – mondja a szovjet pilóta büszkén.
– És mire költené?
– Háát… Huszonötért vennék pár tehénkét, huszonötért egy
jobb házat, a többiből vennék autót meg némi vodkát.
Jó ajánlat, de megkérdezik a németet is, mennyit kérne.
– Kétszázezer dollár. – mondja. Őt is kérdik mire kellene.
– Százért vennék egy kis farmot meg állatokat, ötvenből építenék
rá házat, vennék autót, a maradékból meg félretennék a
gyerekeimnek.
Ez sem rossz, de megkérdik a magyart is.
– Háromszázezer dollár lesz! – mondja a magyar szemrebbenés
nélkül. Az űrszakemberek elismerően összenéznek, hogy ez igen, ez
az ember tudhat valamit, ha ennyit kér, de őt is kíváncsian
megkérdezik, mire költené. Az ember megvonja a vállát:
– Nos, százezerért világ körüli útra mennék, a másik százból
vennék egy sportkocsit, százért meg felmegy a ruszki.
Vili a sakál sétálni megy, és kelet felé járva találkozik a nagy
barnamedvével. Látja, hogy a medve hatalmas földeken járkál, és az
állatok elmenekülnek előle. Megszólítja:
- Mondd, Grísa, hogy van ez, hogy te itt akárhova mész az állatok
nem reklamálnak, sőt, elkerülnek?
- Tudod mi az a karate, Vili?
- Nem tudom.
- Hát várjál, megmutatom. - Azzal Grísa csap egyet jobbra, eldől
egy fa, csap egyet balra, megreped a kő, ugrik, pörög, a sakál meg
ijedten kushad. - Látod, senki nem kötekszik velem mert tudják hogy
tudok karatézni; aki meg kötekszik azt megverem, és akkor a többiek
tudni fogják, mi történik azzal aki ellenszegül.
Ez nagyon tetszik a sakálnak, így hát megkéri a medvét hogy mutassa
meg neki. A medve rááll, és egész nap tanítgatja a sakált.
Az boldogan hazamegy. Kimegy a mezőre, odajönnek a birkák:
- Vili, ez a mi mezőnk, menj innét!
- Hagyjatok békén, vagy lekaratézlak benneteket!
A birkák bután néznek, mire a sakál leüti az egyiket, szétrúgja a
többit. Elmenekülnek, a sakál meg boldogan sétál a mezőn. Gondol
egyet és átmegy az erdőbe. Odajönnek hozzá a szarvasok:
- Vili, tűnés az erdőből!
- Ez mostantól az én erdőm! Tűnjetek el vagy lekaratézlak!
A szarvasok sem értik de a sakál odaugrik, beüt nekik hármat és a
szarvasok is elmenekülnek.
A sakál vigyorog, és megy tovább. Így megy ez nap mint nap, az
állatok amint meglátják elmenekülnek előle.
Végül az állatok megelégelik a dolgot és elküldik a nyulat hogy
kérjen segítséget. A nyúl elszalad messzi nyugat felé, és elér az
oroszlánokhoz, elpanaszolja nekik hogy a sakál terrorizál
mindenkit. Az oroszlánok meghallgatják majd egy oroszlán kíséri
vissza a nyulat hogy megnézze, mi a helyzet.
A sakál eközben a rétből focipályát, az erdőből meg futballstadiont
csinált magának, és boldogan sétált szemlélve birodalmát, az
állatok pedig rettegve nézték hogy mi történik.
Ahogy így sétál meglátja a nyulat meg az oroszlánt. Odamegy és
hetykén rájuk szól:
- Hé, nem tudjátok, hogy ez az én földem! Tűnés innen!
Az oroszlán csodálkozva nézi, és megkérezi:
- Hogy-hogy a te földed? Ez az állatok földje. Azt hallottam hogy
bántod őket. Menj szépen vissza a saját otthonodba és maradj ott.
A sakál röhög és azt mondja:
- Inkább te takarodj vissza innét mert bajod lesz! Ha nem mész
szélsebesen akkor lekaratézlak téged is!
Az oroszlán hümmög és megkérdezi:
- Hol tanultál meg karatézni, Vili?
- Grísa, a nagy medve tanított meg, úgyhogy ne kérdezősködjetek
hanem tűnés!
Az oroszlán megcsóválja a fejét majd megindul a sakál felé. A sakál
felugrik és megpördül és kap az oroszlántól egy akkora pofont hogy
az erdőszéli fa fogja meg. Megpróbál elmenekülni de az oroszlán
elkapja, üti-veri, végül áthajítja a folyó túlfelére. A sakál
menekül, a farkát letépték, a bundája szétszaggatva és alig bír
sántikálni. Vánszorog a keleti földeken, egészen addig míg el nem
ér a medvéhez.
- Grísa, te becsaptál engem! Nézd meg mi történt!
A medve csodálkozva nézi:
- Nem karatéztad le az állatokat, ahogy mutattam? Nem mutattad meg
nekik hogy mit kapnak, ha ellenkeznek?
- De megmutattam.
- És mi volt?
- Jött az oroszlán.
- És te mit csináltál?
- Hát mit? Mondtam neki hogy menjen el vagy őt is lekaratézom.
Grísa ránéz és megcsóválja a fejét:
- Hülye vagy te, Vili, szívózol az oroszlánnal de nem tudsz fára
mászni?