Press "Enter" to skip to content

Хибридни војни: Кој дозволи да се ’хакне‘ изборниот ден

18.07.2020

Што имаат заедничко нападите врз Тајм и ДИК на изборниот ден и нападот врз веб-страницата на Фондот за иновации две недели пред изборите? Како потфрлила заштитата на ДИК? Што правеле институциите за безбедност за време на нападот? Дали целта била дефокус или вистински упад во системот? ИРЛ и „Само прашај“ прават реконструкција на клучните настани пред и по изборниот процес. 

На веб-страницата на Бирото за јавна безбедност во САД може да прочитате како изгледа зашитата на изборната инфраструктура и што прават органите на системот за да ја одржат максимално безбедноста на изборниот ден. САД и европските држави имаат процедури и правила за заштита на изборниот процес.

Во таа инфраструктура, покрај заштитата на избирачките места и слично, спаѓа и заштитата на критичната дигитална инфраструктура, односно веб-страниците и апликациите за гласање и следење на изборниот процес.

Македонското Биро за јавна безбедност нема своја веб-страница. Хакерскиот напад врз веб-страницата на Државната изборна комисија на самиот изборен ден, како и обвинувањата за технички слабости на апликацијата отворија прашања за начинот на којшто институциите го штитат изборниот процес. На прашањето коешто ИРЛ го испрати до МВР да праша какви се безбедносните протоколи за изборниот ден – одговори не добивме.

Во разговор со сите вклучени страни и релевантни институции, како и со посебни експерти за сајбер безбедност, ИРЛ и Само прашај направија реконструкција на клучните настани пред и по изборниот ден, кои отвораат сомнежи за институционална пропусти и негрижа за безбедноста на изборниот процес.

Автори: Сашка Цветковска, Давид Илиески
Дополнително известување: Дајана Лазаревска, Лила Караташева
Илустрации: Лука Блажев

Што навистила се случи на изборниот ден

Денот на изборите, 15 јули 

21:10: Првиот напад

Паѓа веб-страницата на Државната изборна комисија, којашто е основниот извор за следење на изборните резултати. Новинарите и јавноста не можат да добијат никаква информација од ДИК со часови.

„Страницата едноставно престана да работи. Не можевме да знаеме дали е технички проблем или е напад. Нештата почнаа да стануваат чудни кога тајм.мк објави дека е цел на хакерски напад. Ние реално не знаевме што воопшто се случило со сајтот и дали е напад или технички пропуст од следниот ден, со што се остави голем простор за шпекуланти кои во име на разни центри на моќ би искористиле ваква прилика за поткопување на веродостојноста на изборните резултати, вели Марија Митевска од Радио Слободна Европа. 

21:15 ДИК пријавува во Дуна компјутери

ДИК пријавиле во „Дуна“, компанијата одговорна за електронскиот систем за внесување и пренесување на статистиките од изборите, мислејќи дека проблемот е во апликацијата. Од таму им одговориле дека паднала веб-страницата. Додека одговорните во ДИК панично вртеле во „Дуна“, никој не забележал дека проблемот е со целата веб-страница на ДИК, а не само со страницата изборни резултати којашто функционира како посебна платформа.

Ова значи дека ако паднела само апликацијата, останатата содржина на сајтот ќе била сѐ уште достапна, а само платформата со резултатите би била недостапна. Во ДИК владеела вистинска паника, а никој не знаел што точно да прави.

Од „Дуна“ велат дека тие се обиделе да им објаснат дека проблемот е во нивниот сервер. Апликацијата каде што се внесуваат изборните резултати е поставен во засебна мрежа од онаа што ја гледа јавноста, независна од страницата на ДИК, и е поставена од страна на компанијата „Дуна“. Ги упатуваат да проверат во нивните сервери.

ДИК оперира со сопствени сервери, донација од двата меѓународни донатори, американската владина агенција УСАИД и и Меѓународната федерација за изборен систем – ИФЕС, во вредност од 200.000 долари добиен. Новите сервери влегlе во употреба пред околу 2 месеци.

„Ние веднаш им кажавме дека е напад и дека нема врска со апликацијата. Потоа се јавија од А1 Австрија да пријават невообичаено голем сообраќај во секунда“, вели Александар Пајковски од Дуна компјутери. 

21:40 Нападот го прекинала А1 Австрија, потфрлила заштитата на ДИК

Иако ДИК е претплатена на заштита којашто треба да ги отфрли брзо ваквите напади ако се случат и да го врати серверот на хакнатиот сајт што поскоро во функција. Нападот е прекинат во моментот кога меѓународната телекомуникациска компанија А1 Австрија интервенира.

„По безуспешниот обид А1 Македонија да се справи со проблемот, А1 Австрија се оние кои реагираат и го блокираат нападот“, вели Владо Васиљевски, раководител на одделението за информатичка технологија во ДИК. 

22:10 Тајм се враќа, ДИК не

По самo еден час од затворањето на кутиите, поради нападите е успорена цела процедура за внесување на гласовите дигитално. Фокусот на граѓаните и медиумите е целосно променет по она што, според сите партии, беше мирен и успешен изборен ден и покрај предизвикот за одржување избори во услови на пандемија.

Твитот на Тајм со кој тие први на јавноста ѝ откриваат што точно им се случило се шири пребрзо на социјалните мрежи. Во исто време, на прес-конференција, претседателот на ДИК Оливер Дерковски ќе рече само: „Ние сме под хакерски напад“, додека основачот на Тајм, Игор Трајковски, во својот твит ќе објасни и каков е тој напад.

„Под DDoS сме, ИП адреси од цела планета“, вака основачот на агрегаторот Тајм ќе го соопшти нападот врз нивната веб-страница. За ИРЛ, истиот напад ќе го опише како еден од „најагресивните напади што кога било им се случиле“. 

Агрегаторот Тајм бил нападнат со повеќе од 20 милиони ИП-адреси. Но, во ова време е веќе опоравен и достапен за корисниците. Веб-страницата на ДИК не работеше и во следните 12 часа на денот по изборите. Доцнеа резултатите, ливчињата се пребројуваа рачно, а конечните резултати се споделуваа со новинарите преку Гугл-фолдери.

ДИК и Тајм со иста заштита и сервери на иста мрежа

„Поради природата на нападот, нашиот безбедносен систем Cloudflare воопшто не успева да го детектира нападот“, вели Васиљевски од ДИК. На прашањето зошто тајм.мк успева да го врати сајтот да продолжи нормално да функционира онлајн, а ДИК не успева, Васиљевски обвини дека тоа е резултат на технички пропусти со апликацијата. Спротивно на него, претседателот на ДИК Оливер Дерковски вели дека апликацијата функцонирала беспрекорно.

„Тоа се невистини, апликацијата беше функционална“, рече тој во вчерашното гостување во телевизијата Алфа.

Со помош на специјални дигитални алатки за проверка на информации за домејни и сервери, ИРЛ утврди дека и Тајм и ДИК користат иста заштита од DDoS напади од позната американска компанија Cloudflare.

Игор Трајковски појасни дека овие напади ја заобиколиле заштитата од Cloudflare и биле директно насочени кон ИП-адресите на веб страницата. И покрај другите заштити кои ги користат серверите на Тајм, напаѓачите успеале да ги направат штета.

Од ДИК не знаеја да одговорат каква заштита купиле, бидејќи постојат различни степени на безбедност коишто ги продава компанијата.

16 јули, ден по изборите

12:30 ДИК пријавуваат во полиција откако МВР ги прашале кога ќе пријават

Државната изборна комисија дури следниот ден го пријавува нападот во полиција, откако МВР самите се јавиле да ги прашаат дали и кога ќе пријават, потврдија и од МВР за ИРЛ. ДИК не даде одговор зошто толку време чекале за да пријават во полиција.

Обвинувањата за изборни нерегуларности и партиските приговори минуваат во сенка на сајбер скандалот со ДИК.

Скап и опасен напад којшто може да се купи на „Dark Web“

ИРЛ разговараше и се консултираше со сите вклучени страни во институциите и компаниите кои беа цел на овој напад. Сакавме да го утврдиме карактерот на нападот. Со помош на двајца експерти чијашто специјалност е сајбер безбедноста, сакавме да дознаеме што би можел да значи овој напад и како е изведен. Имињата на овие лица ќе останат познати на редакцијата од безбедносни причини.

Што е „DDoS“ или дистрибуиран напад за одбивање на услугата

Постојат различни компјутерски напади, но овој конкретен напад се нарекува „DDoS“ или на македонски – Дистрибуиран напад за одбивање на услугата. Овој напад има една цел, а тоа е да го оптовари системот со барања за пристап до серверот.

Се случува кога хакерите се обидуваат да ги преплават серверите зад веб-страницата која е цел на нападот за да дојде до што е можно поголем сообраќај сѐ до моментот кога веб-страницата не може да го издржи тоа и станува недостапна за корисниците. Нападите „DDoS“ најчесто работат преку мрежа на ботови – голема група на дистрибуирани компјутери кои делуваат заедно и истовремено спамираат веб-страница или давател на услуги од којшто бараат податоци.

Како е направен овој напад

Постојат два начини: со сопствена инфраструктура која подразбира и своја бот-мрежа или, пак, услугата да се купи на „Dark Web“. Тоа е она место на интернетот каде што одат оние кои сакаат да останат анонимни и често се користи за илегални активности. На пример, таму може да купитe ’премиум акаунт‘ од хакиран нетфликс, да купите ботови, да тргувате со оружје, па и да нарачате хакерски напад. Најчесто се плаќа во криптовалути и тешко е да се следат ваквите трансакции.

Нашите аналитичари велат дека немаат дилема дека овој напад е купен бидеќи за да се изгради таква инфраструктура се потребни многу ресурси, а вакви сервиси се нудат на „Dark Web“ во изобилство. Цената за ваква услуга зависи од обемот и времетрањето на нападот и варира од само неколку стотици, па сѐ до стотици илјади долари.

Тие велат дека обично сајбер напади се прават за да се влезе во серверот со цел да се прават одредени промени или да се преземат податоци. Но, со „DDoS“ напад не можеш да направиш ништо освен да го онеспособиш сајтот или, популарно наречено, да го турнеш. Ова се прави за да се  онеспособи одреден вебсајт со цел да се спречи пристап до услугите на корисниците. Втората цел е создавање хаос или дефокус за да може да се изврши друга операција во заднината.

Игор Трајковски вели дека нападот врз Тајм бил толку агресивен што тие сѐ уште работат да се опорават и веќе второ деноноќие ресурсите на компанијата се насочени само кон поправање на инфраструктурата.

На нападот е можно да му претходел тест

На само 15 дена пред изборниот ден, на 30 јуни Фондот за иновации и технолошки развој во Одделнието за компјутерски криминал во Министерството за внатрешни работи ќе пријави хакерски напад.

„Веб-страницата на Фондот за иновации и технолошки развој fitr.mk беше цел на хакерски напад доцна на 28.06 (недела) и во претпладневните часови на 29.06 (понеделник)”, ќе информира ФИТР преку соопштение, за кое ќе извести само еден информативен портал.

Од Фондот за ИРЛ потврдија дека станува збор за ист сајбер напад како оние на изборниот ден.

„Нападот беше од ист тип, или „DDoS“ напад, како нападот врз агрегаторот Тајм.мк и оној на ДИК. Ние не чекавме, сами го саниравме и брзо го направивме достапен, а во полицијата пријавивме веднаш“, велат од ФИТР. 

Од денот на пријавувањето до денес, никој од полицијата не го исконтактирал Фондот и не добиле никаква информација во врска со истрагата.

Институциите молчат

Освен истрагата на МВР којашто е отворена еден ден по денот на изборите, други институциојанлни реакции и официјално појаснување до граѓаните нема.

Државното јавно обвинителсто за ИРЛ рече дека ги следи случаите со нападот, но не одговори дали во услови кога има обвинувања за надворешни напади кои некои лица и медиуми ги нарекуваат терористички, а други ја користат ситуацијата за да ја спорат легалноста и легитимноста на изборите.

Од МВР не одговорија на прашањата на ИРЛ. Началникот на Одделението за компјутерски криминал при МВР Марјан Стоилковски рече дека двете истраги се во тек, и онаа за ДИК и онаа за Тајм, но одби да разговара на другите теми и нѐ упатуваше во Службата за јавни односи на МВР. Ниту службата не одговори на прашањата на ИРЛ и Само прашај.

Контроверзна софтверска набавка: Другиот проблем во изборниот ден

Паѓањето на страницата на ДИК отвори и други проблематични прашања, како постапката за набавка на софтверот за апликацијата за изборни резултати на Државната изборна комисија. Ден по изборите медиумите објавуваа дека набавката била спорна, се направила без отворен натпревар, само со покана до две фирми. „Дуна“ успева да го победи „Ај Воут“ на вториот тендер за софтвер, којшто се распишал на 19 јуни а завршил на 8 јули 2020, една недела пред изборите, кога била одбиена жалбата на „Ај Воут“, фирмата со која ДИК работеше од 2006 година. Истата набавка прво се спровела на почетокот на годинава кога изборите беа закажани за 12 април. Аплицирале истите две компании, но набавката била прекината откако Комисијата којашто одлучувала по жалбите ги прифатила забелешките на „Ај Воут“ дека „Дуна“ не ги исполнува техничките критериуми. Ова ги подгреа шпекулаците дека апликацијата не работела соодветно, а следеа обвинувања за нетранспарентно доделување на тендерот и несериозно работење во процесот на подготовки на ДИК за изборите.

Оваа содржина ја изработи Истражувачката новинарска лабораторија (ИРЛ) во соработка со Институтот за комуникациски студии и онлјан платформата Само прашајкако дел од проектот Поврзи ги точките: подобрени политики преку граѓанско учество што го финансира Британската амбасада во Скопје.

Корекција: 18 Јули 2020
Овој текст беше корегиран по реакција на сопственикот на Тајм, Игор Трајковски. Во текстот пишуваше дека обата сервери, и оној на Тајм и оној на ДИК, се прикачени на телекомуникациската мрежа на А1 Македонија. Трајковски посочи дека нивните сервери не ја користат мрежата на А1 Македонија и се сместени во друга држава. 

Последни приказни на ИРЛ

Направи сам и прогласи се за победник: Вистинските луѓе позади анкетите од партиските фиоки