Stěží přesně říci, kdo se skrývá za současnými DDoS útoky na servery bank (České národní banky, České spořitelny, Komerční banky, ČSOB, …) a před „chvílí“ na některé zpravodajské servery (ihned.cz, lidovky.cz, Mafra, novinky.cz, Právo, …). Reálné obchodní dopady jistě jsou, daleko větší dopady však mohou být psychologické. Každý takový útok vyvolá větší či menší strach. Bude můj server napaden? Jsou má data v bezpečí? Jsou mé služby v bezpečí? … A není od věci zamyslet se nad tím, kdo se na tomto strachu může pást.
Jsou to účastníci ICT a informačního bezpečnostního průmyslu? Strach z útoků na ICT infrastrukturu je základním stavebním kamenem jejich businessu. Čím větší strach možných klientů, tím větší potenciální zisk. Připouštěl bych i možnosti vládních zájmů – to, že se vlády snaží různými aktivitami protlačit svůj ICT a informační bezpečnostní průmysl nejen na český trh, je holý fakt. V období „krizí“ o mnoho více.
Přestože soukromé ICT a informační bezpečnostní služby jsou velmi významné při ochraně majetku, zamezování škod i prevenci kriminality – a to pro svou značnou odbornost, organizovanost, komplexnost nabízených služeb, technologickou i technickou vybavenost – vnímám u nich zásadní problém. Problém, myslím že nejen Česka – v ČR bezpečnostní role soukromých ICT a informačních bezpečnostních služeb není doplňující, ale hlavní. Přestože bych očekával, že hlavní roli v těchto bezpečnostních oblastech bude mít Policie ČR a armáda ČR. Navíc činnost soukromých ICT a informačních bezpečnostních služeb není prakticky žádným racionálním způsobem monitorována, natož pak vyhodnocována.
Specializovanými firmami přesycený trh bez řádné právní legislativy, značná konkurence nejen regionálního charakteru, společně s vypjatými „krizovými“ obdobími, mohou jistě být živnou půdou pro nekalé aktivity, třeba uměle vytvářený strach za účelem zvýšení zisků ICT a informačně bezpečnostního průmyslu. Takový masivní DDoS útočníka zase tak moc nestojí, jeho dohledatelnost se velmi blíží nule, zisky mohou pro útočníka být značné.
Nicméně za mě – jen blogově spekuluji. Třeba útočník bude odchycen ;).
ako majitel jednej z bezpecnostnych firiem, ktorymi je "presycen trh" mozem povedat, ze zatial na tom nie sme tak zle aby sme museli umelo vyvolavat problemy. Situacia z pohladu ICT bezpecnosti je u vacsiny zakaznikov tak zufala, ze si ich mozeme vyberat nahodnym vyberom kludne cez zlate stranky... osobne som sa este nestretol so zakaznikom (lubovolnej velkosti) u ktoreho by som nenarazil na kriticky bezpecnostny problem, to je holy fakt. Ale dobre ste vystihli situaciu, v oblasti ICT security predava strach a my s nim dokazeme velmi efektivne pracovat :-)
petrzavodzky: suhlasim ze u velkych spolocnosti sa to aspon minimalne zlepsuje, ake-take povedomie o bezpecnosti uz vo vseobecnosti maju. Neprestane ma ale nikdy sokovat ked clovek sedi na stretnutiach vo velkych energetickych spolocnostiach alebo bankach a dozveda sa rozne interne "tajomstva" ako su niektore kriticke veci doslova zbastlene a nefunguju...
Ano, je pravda ze aj v tomto biznise by sa z radov velmi malych a hlavne mladych firiem mohlo najst zopar kreativnych jedincov s napadom riesit veci "inak" :-)
Ze sa bezne v praxi stretavam s poziadavkami na poskodzovanie konkurencie, cielene DoS/DDoS alebo social engineering atd.na to som si uz zvykol. Zvykol som si aj na to, ze DDoS sa da bez vacsich problemov "kupit" ako bezna sluzba. Komu by ale takyto masivny DDoS ktory prebehol mohol pomoct, to si neviem uplne predstavit. Ten utok nema ziadny jasny ciel.
Este k rieseniu DDoS a podobnych typov utokov - zhodou okolnosti prevadzkujem nejake sluzby a infrastrukturu v Rusku a okamzite po vstupe do specifickeho ruskeho ICT sveta clovek pochopi, ze je tam vojna - kyberneticka vojna. Vacsie alebo mensie utoky su tam denna rutina, podla analyz logov je ta vojna Rusko vs. Cina. Prevadzka sluzieb v prostredi CZ/SK je oproti RU neskutocna nuda, sem-tam nejake smiesne pokusy a ked pride nieco fakt masivne, tak je to o par hodin / dni prec. V Rusku sa bojuje 24/7/365 :-) Riesenie je ale relativne jednoduche, ale tiez take "ruske"... Najucinejsia obrana je blokovanie pristupov na baze geo lokality, moje merania hovoria o viac ako 90% poklese vsetkych pokusov. Ak si nemozem dovolit stale geo blokovanie, tak je potrebne blokovanie podla aktualnej situacie. Podla poslednych udalosti, ale vidime ze nasi prevadzkovatelia nie su vacsinou na tieto vojnove scenare vobec pripraveni, technicky ani personalne.
(8) Problem je v tom, ze sa kompetentni nerozhybali ani k tomu jednoduchemu blokovaniu na zaklade geo-lokality, to ze v rusku nebudu nejaku dobu citatelne ceske noviny alebo internet-banking nikoho extra mrziet nebude. V pripade takejto nejakej lotroviny je treba jednoducho odstrihnut prislusnu lokalitu, kym si v tom bordeli sami neurobia poriadok, a to uz na najvyssej moznej urovni. Pokial by to fungovalo dosledne, asi by si poriadne rozmysleli, ci to budu nabuduce skusat ...
Boze jen to ne ... jen at se to netu nesere stat, jinak nejen ze nebude fungovat pri dosu, on nebude fungova vubec.
Mimochodem, stat necht si chrani vlastni infrastrukturu, kterou si provozuje - zcela oddelenou od netu.
[2] Jakozto admin ti muzu sdelit sladke tajemstvi - oni totiz managori vlastnim adminum neveri (chtej po nich penize) a tak se ceka, az se neco podela. Kdyz totiz jako admin reknu managorovi "potrebuju 100k abych zajistil vase data za miliardu", tak se se mnou bude rok dohadovat, jestli by to neslo za min, a proc to vlastne potrebuju a nac ...
Zato kdyz prijde jeho kamos managor a rekne mu "potrebuju 2M na novy auto", tak je obratem dostane. A jako bonus se samo rozcili, ze mu "nejakej administratorskej powl odmitnul instalovat tu uzasnou vec co mu prisla mailem".
[3] Jak ses naivni... zarid, at kazdy provadi podobny blokovani a ja zaridim, ze do tydne prestane internet existovat, OK? Protoze bude kazdej blokovat kazdyho. Vazne myslis, ze je zasadni problem postavit dostatecne vykonej botnet v CR? Co myslis, kolik % lidi kdyz jim poslu mail s prilohou "ja sem peknej virus, spust si me" to udela?
Treba je to proto: http://www.root.cz/clanky/vladimir-rohel-nckb-nebudeme-odposlouchavat-ani-vypinat-internet/
?
aby meli duvod pritvrdit...
to (10) - neda sa suhlasit s tym, ze by sa stat nemal do netu montovat, v sucasnej dobe je funkcnost internetu rovnako dolezita ako akakolvek ina dopravno/prepravna/komunikacna infrastruktura, takze povinnostou statu v tomto pripade je zabezpecenie funkcnosti siete. Pokial si nejaky zasran kupi za par dolarov bootnet a vychechtava sa na tom, ako dostal kopu firiem na kolena, tak jednoducho musi zasiahnut stat a prostrednictvom poverenych organizacii dat veci do poriadku v zaujme obcanov, presne tak ako v pripade lubovolnej inej lotroviny, co ho ale v ziadnom pripade neopravnuje cmuchat v sieti.
[14]
To sice zní moc hezky ta formulace "v zájmu občanů musí zasáhnout stát", jak chcete ale zajistit, aby stát "v zájmu občanů" nezasahoval víc než je potřeba a tam kde je potřeba. Jakmile se jednou začne do internetu vměšovat stát, už jen těžko odtud jeho až příliš dlouhé prsty, řízené státními úředníky, vystrnadíte. A to je příležitost pro lobisty, korupci a různé "ochránce autorských práv" jako je OSA a pod. Co potom?
to (15) nie som naivny, (kazdy) stat uz je v spehovani namotany az-az, taku prilezitost si predsa nemoze nechat ujst. Kazdy mobilny operator musi na svoje naklady prevadzkovat zopar krabic, ktore mu tam nanutila nemenovana statna organizacia, o archivacii komunikacie zakaznikov providerov tu uz preberalo tiez kadeco ... Riesenim je obcianska angazovanost, vzdelanie a verejna kontrola, vo Svajciarsku si pani politici nedovolia ani 5% z toho co u nas, o kazdom zakone podliehajucemu referendu sa diskutuje aj v poslednej krcme. Preto u nas potrebuju tupe stada, ktorym naslubuju akesi istoty ... a obavam sa, ze celkova destrukcia skolskeho systemu ma s tymto asi daco spolocne.
Spat k teme - pokial dojde k takejto situacii, ktora vznikla o.i. aj vdaka neschopnosti prislusnych statnych organizacii zodpovednych za prevadzku siete (je snad tato forma utoku daco nove ?), neinvestovaniu do globalneho zabezpecenia siete (vraj sa neda zistit, odkial utok prichadza ? ako je mozne ze peeringove centrum prepusti nevalidnu komunikaciu so sfalsovanymi adresami ?), musi stat zasiahnut, ak je ohrozena funkcnost infrastruktury, presne tak isto, ako je to v pripade napr. ciest - stat sa musi postarat o infrastrukturu, ale uz nesmie nakukat do kufra mojho auta, ak k tomu nema nejaky zakonom stanoveny dovod.
To [13]:
Ano, i to je mozne. Myslim, ze reakce na chystany zakon o kyberneticke bezpecnosti by mohla byt motivem. Jen se mi to zda jako takovy neohrabany zpusob protestu, ktery jen dava duvod pro podobne zakony.
Pripoustim, ze jistym motivem by mohla byt i strelba do vlastnich rad pro nastaveni dulezitosti takoveho zakona - ale nejak se mi tomu nechce verit.
to [10]: bez urazky, ale toto je taka ta typicka "adminovska" reakcia, vsade bol, vsetko videl, vsetko vie. O bezpecnosti a "ekosysteme" okolo nej toho podla reakcie vela nevies, spolahni si sa ze aj pri masivnom blokovani na baze geo lokality by internet do tyzdna neprestal existovat. Ano, pri typicky "administratorskom" rieseni urcite ano, ale nastastie v oblasti bezpecnosti zvykneme uvazovat trochu v suvislostiach. Predstav si u vsetkych svojich zakaznikov pouzivam kombinovane IPS kde sa okrem inych faktorov uplatnuje aj geo blokovanie a predstav si, ze to nijak negativne nepocituju... Samozrejme nehovorim o zbastlenom linuxovom boxiku ale o enterprise rieseni.
[18] jeden o voze druhej o koze ... co myslis, co udela tvuj "profi" blokovaci system, kdyz ho dosnu z nejakyho IP rozsahu ... mnojo, zablokuje ho, ze ... kdyz to budou delat vsichni, tak ti garantuju, ze odstrelit celou sit je otazka nekolika malo hodin. Staci i relativne malej botnet, utok nemusi byt dost silny na to, aby neco skutecne odstrelil, staci dost velky na to, aby ho ty krabky detekovaly. A kdyz budu chtit zacilit na nekoho konkretne, tak si trebas vytahnu par ceskych rozsahu a dos pustim z nich, behem par minut prestane ceskej net existovat, protoze budou vsichni blokovat vsechny.
[19] DDoS mají vlastnost, že se současně vede útok na omezený počet adres. Útočníků je prostě více než cílů. To znamená, že pokud během útoku odpojím část IP rozsahu, který se podílí na útoku a ihned po jeho ukončení ten rozsah zase povolím, tak nedojde k trvalému blokování "Všichni všechny".
Stačí rozdělit buffer připojení na několik (N) sekcí, které se budou zaplňovat samostatně - podle IP rozsahu a případně tyto sekce ještě dynamicky zjemňovat. Při útoku je příslušná sekce přeplněna a systém je nedostupný z odpovídajícího IP rozsahu a na jiné adresy útok vliv mít nebude. Po ukončení útoku se ta část bufferu přirozeně uvolní a opět začne fungovat.
Stát by mohl uzákonit povinnost ISP ověřovat adresy paketů od nich odcházejících a pokud nejsou jejich, tak aby je zahazovali. Pokud budou mít chybu v konfiguraci, měli by ji po upozornění do zákonem stanovené doby napravit. Současně by se dal distribuovat uživatelům program "prověř svého ISP", který odešle paket s podvrženým odesilatelem na konkrétní server a tak se ověří, zda ISP aspoň trochu splňuje nebo ne.
[20] V případě že se zdrojové ip - navíc spoofované - v čase mění, by bylo potřeba měnit směrování do jednotlivých sekcí bufferu velmi dynamicky. Pokud útočník zneužije adresy velkého operátora (podvržené pakety vám přitom budou přicházet ze zahraničí), např. O2, a cílem je velká služba v ČR, odstřihnete si tak velkou část svých uživatelů/klientů.
Ono opatření o "podepisování paketů" a zahazování podezřelých paketů by muselo být používáno mezinárodně. Kdo donutí Rusko, Čínu ..... ?
RETN, ze které ten útok přicházel, vám pak napíše, co s tím mohou dělat, když mají x desítek zákazníků, od kterých to k nim může téci.
[22] Omezení bufferů není o odstřihnutí, ale o rozdělení prostředků. DDoS prostě svůj segment zahltí a bude nefunkční, ale jen tento segment - a jen po dobu trvání útoku.
Podvržené adresy ze zahraničí - je to problém. Logicky mi vychází, že by se hodilo mít někde v hlavičce IP paketu 1 bit (asi jich bude potřeba více na odlišení různých stupňů garancí) vyhrazen na to, abychom v .cz věděli - tohle je zahraniční paket - je ze zemí, které negarantují, že není podvržený odesílatel. Potom bychom mohli v rámci rozdělení bufferu na oblasti IP adres řešit, zda do příslušného segmentu (např. O2) má právo takový "negarantovaný packet" vůbec vstoupit.
Tj. nejde o to někoho nutit, aby povinně podepisoval packety, ale jen o "rasovou segregaci" - podepsané packety pojedou jiným autobusem (samostatně vyhrazené prostředky), než nepodepsané. A pokud se nebudou nepodepsané packety chovat "slušně", tak způsobí problémy jen nepodepsaným packetům.
Nikde samozřejmě není garance, že nebudou útoky v podepisované části světa. Jen na ně bude snadnější reakce.
Tady by bylo ideální, aby bylo nasazeno IPv6 (alespoň pro "podepsané" packety) a dal se útočící počítač lépe identifikovat, a případně aby bylo legislativně umožněno - pokud někdo identifikuje útok, tak by měl právo požádat příslušného ISP o omezení uploadu z dané adresy - vše opět na úrovni protokolu, aby to probíhalo v reálném čase. Napadený by předal ISP vzorky packetů, které působí problémy, ISP by ověřil, že takový provoz klient opravdu generuje (aby někdo nezneužíval tohoto nástroje) a provedl by omezení provozu - včetně vygenerování emailu pro postiženého uživatele:
"Z Vašeho počítače odchází podezřelé packety, které se podílejí na útoku na stránku seznam.cz - pravděpodobně je počítač napaden a je součástí botnetu. Na základě §25 zákona č.135/2018 Sb. o podepsaných packetech jsme omezili na přechodnou dobu tok dat z Vašeho počítače na 32kBps. Můžete spustit standardní nástroj Windows 13 "Co posílám na net" a předat mu přílohu tohoto emailu - pomůže Vám identifikovat škodlivý SW. Pomocí tohoto nástroje můžete škodlivý SW ukončit a rovnou zažádat o obnovení std datového toku."
Uživatele většinou zajímá download a omezená rychlost uploadu pro ně není v 90% výrazným omezením.
[23] Značkování nebezpečných paketů již je standardizované jako RFC3514 Ievil-bit).
[24] RFC3514 - zaradoval jsem se, že něco takového už je. Ale není to úplně totéž.
z této pasáže mám dokonce dojem, že je to vtip: "Systems that do not have other mechanisms MUST provide such an API;attack programs MUST use it." Tj. že útočící program musí nastavit tento flag - v opačném případě porušuje RFC3514 a programátor se musí hluboce stydět :-(
Řešení problému nesmí být založeno na dobré vůli programátorů botnetů.
Pokud bychom si řekli, že jej využijeme v ČR jinak a budeme si tak značit packety, které jsou "podepsané", tak ohrozíme funkčnost nepodepsaného internetu. Pokud jsem správně pochopil toto RFC, tak ty packety mají všichni zahazovat, s výjimkou masochistů, kteří chtějí být napadeni.
[25] stát a jeho vměšování - stát má teď velkou část své infrastruktury založenu na internetu (podávání daňových přiznání, datové schránky, všemožné registry a informační systémy ministerstev). Ne, že by to nešlo jinak, ale přes internet je všechno řádově levnější, než přes vyhrazenou síť. Toto všechno není v bezpečí před DDoS útoky. Pokud nefunguje v důsledku útoků internetové bankovnictví, má to negativní vliv na chod ekonomiky, i zisky všech subjektů, z nichž si stát vybírá svá % - takže je na nich přímo zainteresován.
Nepochybuji o tom, že se všechno dá zpackat. Že pro např. ministerstvo vnitra není problém vypsat výběrové řízení na ochranu serverů státní zprávy a důležité infrastruktury před DDoS útoky v miliardách Kč - když k tomu Kalousek svolí - a všichni si tu budeme klepat na čelo. Shrábne to nějaký kamarád, nastaví pár řádků v konfiguracích několika serverů a při prvním útoku bude tvrdit, že 100% ochrana neexistuje.
Pokud bychom nechtěli zavádět bit do IP protokolu, tak bychom ještě mohli alokovat nějaký pevný rozsah IPv6 adres, které by měly takové chování implicitní - tj. byly by "podepsané" - v rámci ČR a nepustili bychom do tohoto rozsahu podvržený zahraniční provoz.
Stejně to dříve nebo později povede k odtržení "podepsaného" internetu - pokud nepodepsaný internet bude nepřijatelně nespolehlivým médiem.
ad [26]
datum vydania tohoto RFC je 1.april 2003 - to hovori za vsetko ;]
http://www.apps.ietf.org/rfc/apr1list.html
To [31] Statisticky nejvice utoku pochazi z Ruska. Proto si myslim, ze ani v tomto pripade na tom neni vesmes nic moc zajimavaho. Kdyz pujdu nakupovat "utok", pravdepodobne pujdu do Ruska :), protoze tam maji nejlepsi zkuenosti, jsou spolehlivi ...
Vice nez motiv k utoku je mozna ted i zajimavejsi motiv k jeho ukonceni/preruseni. Ze by kasa byla prazdna?
taky jsme si zaspekulovali: http://nebezpecnakniha.blog.root.cz/2013/03/21/ddos-utoky-z-pocatku-brezna-velky-webovy-test/
Petr Závodský se zabývá QA, testováním a bezpečnosti IT. Před touto prací se živil jako penetrační tester, vývojář, tester SW, pozorovatel meteorů, dělník. Je nadšenec OWASP a speciálního astronomického vzdělávání.