Што имаат заедничко нападите врз Тајм и ДИК на изборниот ден и нападот врз веб-страницата на Фондот за иновации две недели пред изборите? Како потфрлила заштитата на ДИК? Што правеле институциите за безбедност за време на нападот? Дали целта била дефокус или вистински упад во системот? Истражувачка Репортерска Лабораторија и „Само прашај“ прават реконструкција на клучните настани пред и по изборниот процес.
На веб-страницата на Бирото за јавна безбедност во САД може да прочитате како изгледа зашитата на изборната инфраструктура и што прават органите на системот за да ја одржат максимално безбедноста на изборниот ден. САД и европските држави имаат процедури и правила за заштита на изборниот процес.
Во таа инфраструктура, покрај заштитата на избирачките места и слично, спаѓа и заштитата на критичната дигитална инфраструктура, односно веб-страниците и апликациите за гласање и следење на изборниот процес.
Македонското Биро за јавна безбедност нема своја веб-страница. Хакерскиот напад врз веб-страницата на Државната изборна комисија на самиот изборен ден, како и обвинувањата за технички слабости на апликацијата отворија прашања за начинот на којшто институциите го штитат изборниот процес. На прашањето коешто ИРЛ го испрати до МВР да праша какви се безбедносните протоколи за изборниот ден – одговори не добивме.
Во разговор со сите вклучени страни и релевантни институции, како и со посебни експерти за сајбер безбедност, ИРЛ и Само прашај направија реконструкција на клучните настани пред и по изборниот ден, кои отвораат сомнежи за институционални пропусти и негрижа за безбедноста на изборниот процес.
Што навистина се случи на изборниот ден?
Денот на изборите, 15 јули
21:10: Првиот напад
Паѓа веб-страницата на Државната изборна комисија, којашто е основниот извор за следење на изборните резултати. Новинарите и јавноста не можат да добијат никаква информација од ДИК со часови.
„Страницата едноставно престана да работи. Не можевме да знаеме дали е технички проблем или е напад. Нештата почнаа да стануваат чудни кога тајм.мк објави дека е цел на хакерски напад. Ние реално не знаевме што воопшто се случило со сајтот и дали е напад или технички пропуст до следниот ден, со што се остави голем простор за шпекуланти кои во име на разни центри на моќ би искористиле ваква прилика за поткопување на веродостојноста на изборните резултати“, вели Марија Митевска од Радио Слободна Европа.
21:15 ДИК пријавува во „Дуна компјутери“
ДИК пријавиле во „Дуна“, компанијата одговорна за електронскиот систем за внесување и пренесување на статистиките од изборите, мислејќи дека проблемот е во апликацијата. Од таму им одговориле дека паднала веб-страницата. Додека одговорните во ДИК панично вртеле во „Дуна“, никој не забележал дека проблемот е со целата веб-страница на ДИК, а не само со страницата изборни резултати којашто функционира како посебна платформа.
Ова значи дека ако паднела само апликацијата, останатата содржина на сајтот ќе била сѐ уште достапна, а само платформата со резултатите би била недостапна. Во ДИК владеела вистинска паника, а никој не знаел што точно да прави.
Од „Дуна“ велат дека тие се обиделе да им објаснат дека проблемот е во нивниот сервер. Апликацијата каде што се внесуваат изборните резултати е поставен во засебна мрежа од онаа што ја гледа јавноста, независна од страницата на ДИК, и е поставена од страна на компанијата „Дуна“. Ги упатуваат да проверат во своите сервери.
ДИК оперира со сопствени сервери, донација од двата меѓународни донатори, американската владина агенција УСАИД и Меѓународната федерација за изборен систем - ИФЕС, во вредност од 200.000 долари. Новите сервери влегле во употреба пред околу 2 месеци.
„Ние веднаш им кажавме дека е напад и дека нема врска со апликацијата. Потоа се јавија од А1 Австрија да пријават невообичаено голем сообраќај во секунда“, вели Александар Пајковски од „Дуна компјутери“.
21:40 Нападот го прекинала А1 Австрија, потфрлила заштитата на ДИК
Иако ДИК е претплатена на заштита којашто треба брзо да ги отфрли ваквите напади ако се случат и да го врати серверот на хакнатиот сајт што поскоро во функција, нападот е прекинат во моментот кога интервенира меѓународната телекомуникациска компанија А1 Австрија.
„По безуспешниот обид А1 Македонија да се справи со проблемот, А1 Австрија се оние кои реагираат и го блокираат нападот“, вели Владо Васиљевски, раководител на одделението за информатичка технологија во ДИК.
22:10 Тајм се враќа, ДИК не
По самo еден час од затворањето на кутиите, поради нападите е успорена цела процедура за дигитално внесување на гласовите. Фокусот на граѓаните и медиумите е целосно променет по она што, според сите партии, беше мирен и успешен изборен ден и покрај предизвикот за одржување избори во услови на пандемија.
Твитот на Тајм со кој тие први на јавноста ѝ откриваат што точно им се случило се шири пребрзо на социјалните мрежи. Во исто време, на прес-конференција, претседателот на ДИК Оливер Дерковски ќе рече само: „Ние сме под хакерски напад“, додека основачот на Тајм, Игор Трајковски, во својот твит ќе објасни и каков е тој напад.
„Под DDoS напад сме, ИП адреси од цела планета“, вака основачот на агрегаторот Тајм ќе го соопшти нападот врз нивната веб-страница. За ИРЛ, истиот напад ќе го опише како еден од „најагресивните напади што кога било им се случиле“.
Под DDOS сме
— Igor Trajkovski (@mkrobot) July 15, 2020
Агрегаторот Тајм бил нападнат со повеќе од 20 милиони ИП-адреси. Но, во ова време е веќе опоравен и достапен за корисниците. Веб-страницата на ДИК не работеше и во следните 12 часа наредниот ден. Доцнеа резултатите, ливчињата се пребројуваа рачно, а конечните резултати се споделуваа со новинарите преку Гугл-фолдери.
ДИК и Тајм со иста заштита и сервери на иста мрежа
„Поради природата на нападот, нашиот безбедносен систем Cloudflare воопшто не успева да го детектира нападот“, вели Васиљевски од ДИК. На прашањето зошто тајм.мк успева да го врати сајтот да продолжи нормално да функционира онлајн, а ДИК не успева, Васиљевски обвини дека тоа е резултат на технички пропусти со апликацијата. Спротивно на него, претседателот на ДИК Оливер Дерковски вели дека апликацијата функцонирала беспрекорно.
„Тоа се невистини, апликацијата беше функционална“, рече тој во вчерашното гостување во телевизијата Алфа.
Обата сервери, и оној на тајм.мк и оној на ДИК, се прикачени на телекомуникациската мрежа на А1 Македонија, потврдија и двете страни за ИРЛ. Со помош на специјални дигитални алатки за проверка на информации за домејни и сервери, ИРЛ утврди дека и Тајм.мк и ДИК користат иста заштита од DDoS напади од позната американска компанија Cloudflare.
Од ДИК не знаеја да одговорат каква заштита купиле, бидејќи постојат различни степени на безбедност коишто ги продава компанијата.
16 јули, ден по изборите
12:30 ДИК пријавуаат во полиција откако МВР ги прашале кога ќе пријават
Државната изборна комисија дури следниот ден го пријавува нападот во полиција, откако МВР самите се јавиле да ги прашаат дали и кога ќе пријават, потврдија и од МВР за ИРЛ.
ДИК не даде одговор зошто толку време чекале за да пријават во полиција.
Обвинувањата за изборни нерегуларности и партиските приговори минуваат во сенка на сајбер скандалот со ДИК.
Скап и опасен напад којшто може да се купи на „Dark Web“
ИРЛ разговараше и се консултираше со сите вклучени страни во институциите и компаниите кои беа цел на овој напад. Сакавме да го утврдиме карактерот на нападот. Со помош на двајца експерти чијашто специјалност е сајбер безбедноста, сакавме да дознаеме што би можел да значи овој напад и како е изведен. Имињата на овие лица ќе останат познати на редакцијата од безбедносни причини.
Што е „DDoS“ или дистрибуиран напад за одбивање на услугата
Постојат различни компјутерски напади, но овој конкретен напад се нарекува „DDoS“ или на македонски – Дистрибуиран напад за одбивање на услугата. Овој напад има една цел, а тоа е да го оптовари системот со барања за пристап до серверот.
Се случува кога хакерите се обидуваат да ги преплават серверите зад веб-страницата која е цел на нападот за да дојде до што е можно поголем сообраќај сѐ до моментот кога веб-страницата не може да го издржи тоа и станува недостапна за корисниците. Нападите „DDoS“ најчесто работат преку мрежа на ботови – голема група од дистрибуирани компјутери кои делуваат заедно и истовремено спамираат веб-страница или давател на услуги од којшто бараат податоци.
Како е направен овој напад?
Постојат два начини: со сопствена инфраструктура која подразбира и своја бот-мрежа или, пак, услугата да се купи на „Dark Web“. Тоа е она место на интернетот каде што одат оние кои сакаат да останат анонимни и често се користи за илегални активности. На пример, таму може да купитe ’премиум акаунт‘ од хакиран Нетфликс, да купите ботови, да тргувате со оружје, па и да нарачате хакерски напад. Се плаќа во криптовалути и тешко е да се следат ваквите трансакции.
Нашите аналитичари велат дека немаат дилема дека овој напад е купен бидеќи за да се изгради таква инфраструктура се потребни многу ресурси, а вакви сервиси се нудат на „Dark Web“ во изобилство. Цената за ваква услуга зависи од обемот и времетраењето на нападот и варира од само неколку стотици, па сѐ до стотици илјади долари.
Тие велат дека обично сајбер напади се прават за да се влезе во серверот со цел да се прават одредени промени или да се преземат податоци. Но, со „DDoS“ напад не можеш да направиш ништо освен да го онеспособиш сајтот или, популарно наречено, да го „турнеш“. Ова се прави за да се онеспособи одреден вебсајт со цел да се спречи пристап до услугите на корисниците. Втората цел е создавање хаос или дефокус за да може да се изврши друга операција во заднината.
Игор Трајковски вели дека нападот врз Тајм бил толку агресивен што тие сѐ уште работат да се опорават и веќе второ деноноќие ресурсите на компанијата се насочени само кон поправање на инфраструктурата.
На нападот е можно да му претходел тест
Само 15 дена пред изборниот ден, на 30 јуни Фондот за иновации и технолошки развој во Одделението за компјутерски криминал во Министерството за внатрешни работи ќе пријави хакерски напад.
„Веб-страницата на Фондот за иновации и технолошки развој fitr.mk беше цел на хакерски напад доцна на 28.06 (недела) и во претпладневните часови на 29.06 (понеделник)“, ќе информира ФИТР преку соопштение, за кое ќе извести само еден информативен портал.
Од Фондот за ИРЛ потврдија дека станува збор за ист сајбер напад како оние на изборниот ден.
„Нападот беше од ист тип, или „DDoS“ напад, како нападот врз агрегаторот Тајм.мк и оној на ДИК. Ние не чекавме, сами го саниравме и брзо го направивме достапен, а во полицијата пријавивме веднаш“, велат од ФИТР.
Од денот на пријавувањето до денес, никој од полицијата не го исконтактирал Фондот и не добиле никаква информација во врска со истрагата.
Институциите молчат
Освен истрагата на МВР којашто е отворена еден ден по денот на изборите, други институциоанални реакции и официјално појаснување до граѓаните нема.
Државното јавно обвинителсто за ИРЛ рече дека ги следи случаите со нападот, но не одговори дали во услови кога има обвинувања за надворешни напади кои некои лица и медиуми ги нарекуваат терористички, а други ја користат ситуацијата за да ја спорат легалноста и легитимноста на изборите.
Од МВР не одговорија на прашањата на ИРЛ. Началникот на Одделението за компјутерски криминал при МВР Марјан Стоилковски рече дека двете истраги се во тек, и онаа за ДИК и онаа за Тајм, но одби да разговара на другите теми и нѐ упатуваше во Службата за јавни односи на МВР. Ниту службата не одговори на прашањата на ИРЛ и Само прашај.
Контроверзна софтверска набавка: Другиот проблем во изборниот ден
Паѓањето на страницата на ДИК отвори и други проблематични прашања, како постапката за набавка на софтверот за апликацијата за изборни резултати на Државната изборна комисија. Ден по изборите, медиумите објавуваа дека набавката била спорна, се направила без отворен натпревар, само со покана до две фирми. „Дуна компјутери“ успева да го победи „Ај Воут“ на вториот тендер за софтвер, којшто се распишал на 19 јуни, а завршил на 8 јули 2020. Тоа е една недела пред изборите, кога била одбиена жалбата на „Ај Воут“, фирмата со која ДИК работеше од 2006 година. Истата набавка прво се спровела на почетокот на годинава кога изборите беа закажани за 12 април. Аплицирале истите две компании, но набавката била прекината откако Комисијата којашто одлучувала по жалбите ги прифатила забелешките на „Ај Воут“ дека „Дуна“ не ги исполнува техничките критериуми. Ова ги подгреа шпекулациите дека апликацијата не работела соодветно, а следеа обвинувања за нетранспарентно доделување на тендерот и несериозно работење во процесот на подготовки на ДИК за изборите.
Пишуваат: Сашка Цветковска, Давид Илиески
Илустрации: Лука Блажев
Оваа содржина ја изработи Истражувачката репортерска лабораторија во соработка со Институтот за комуникациски студии и онлјан платформата Само прашај, како дел од проектот Поврзи ги точките: подобрени политики преку граѓанско учество што го финансира Британската амбасада во Скопје.