DDoS útoky v ČR – průběžně aktualizováno

V posledních dnech jsme svědky DDoS útoků, které na vlastní kůži pocítila většina z nás, když zaznamenala nefunkčnost Seznamu, několika zpravodajských portálů a dále pak webových prezentací a internetového bankovnictví několika českých bank i státních institucí.

Následující rozhovor přináší odpovědi na nejčastější otázky ohledně probíhajících DDoS útoků.

Co říkáte na právě probíhající DDoS útoky?

Že se pomalu naplňuje naše předpověď o kybernetických hrozbách v roce 2013, kterou jsme zveřejnili koncem minulého roku. Již tehdy jsme upozorňovali, že se stale častěji budeme setkávat s DDoS útoky.

Minule jste říkal, že české banky se DDoS útoků obávat nemusí.

Ano, ale to platilo v době, kdy jsme spolu rozhovor o DDoS vedli, a to bylo před téměř půl rokem. A půl roku to je v kyberprostoru velice dlouhá doba.

Mají DDoS útoky z posledních dnů něco společného?

Snad jen to, že za nimi stojí stejná organizovaná skupina ovládající malý botnet, na což lze usuzovat podle způsobu, jak je celý útok veden a dále pak že byly napadeny servery, které jsou nejvíce vidět a jejichž nedostupnost může způsobit nějakou škodu.

Chcete tím naznačit, že DDoS útoky žádnou škodu nezpůsobily?

Jistěže způsobily, ale výrazně nižší, než jaká bude v následujících dnech vyčíslena, ale to není až tak podstatné. Ostatně finanční škoda nebyla cílem těchto útoků. Ze způsobu provedení je zřejmé, že šlo jen o to otestovat, jak zranitelná naše infrastruktura vlastně je.

Jaké další DDoS útoky můžeme očekávat?

V zásadě jsou dva možné scénáře, a to že budou následovat DDoS útoky na další weby státní správy, televizí, velkých e-shopů apod. Ale také je možné, že útoky již nebudou nadále pokračovat, protože už nemá příliš smysl testovat, zda jsou i ostatní weby zranitelné či nikoliv.

Dá se těmto DDoS útokům nějak bránit?

Vzhledem k tomu, že se zatím nejednalo o žádný sofistikovaný útok, neboť všechny útoky používaly již poměrně starou techniku jako je SYN flood, před kterou se dá poměrně snadno bránit. Je zvláštní, že tyto útoky byly úspěšné a podařilo se jim nedostupnost vůbec způsobit. Přiznám se, že mě to trochu překvapilo, protože v posledním průzkumu stavu informační bezpečnosti některé dotčené firmy tvrdily, že jsou na tyto útoky připraveny. Je proto otázka, jak by se dokázaly vypořádat s novými hrozbami.

Odkud byl DDoS útok veden?

K DDoS útokům byla využita síť nakažených počítačů nic netušících uživatelů, tzv. zombií, které je možné na dálku ovládat a jež tvoří tzv. botnet. Mimochodem, kdokoliv si může takový botnet pronajmout a začít útočit. Podle informací, které máme k dispozici, byla většina útoků vedena převážně z evropských zemí.

Kolik stojí pronájem takového botnetu?

V současné době nejnižší ceny za pronájem botnetu požadují Rusové, a nabízejí, že za vás provedou i samotný DDoS útok. Pronajmout si můžete botnet čítající 1.000 až 10.000 zombií, přičemž takový botnet o 1.000 zombiích rozesetých po celém světě pořídíte již za pouhých 25 USD na den, což je v přepočtu nějakých 500 Kč. Pokud byste chtěli botnet nacházející se v Evropě, zaplatíte jednou tolik. Pořád je to ale cena, za kterou si může pronajmout botnet v podstatě každý.

Jak vlastně samotný DDoS útok probíhal?

Útočník si pronajal botnet. V několika případech spíš menší než větší a poté, co zadal adresu serveru, na který měl být veden DDoS útok, byla tato informace přenesena na jednotlivé stroje v botnetu, jež pak odesílaly SYN požadavky na zadanou adresu, čímž došlo k zahlcení. Server, na který byl útok veden, pak nezvládal odpovídat na požadavky legitimních uživatelů, a daná služba se tak pro uživatele stala nedostupnou.

Co bylo cílem tohoto DDoS útoku?

O cíli tohoto útoku a stejně tak i o jeho smyslu můžeme zatím jen spekulovat. V zásadě se nabízí několik teorií. Jednoznačně ale odmítám, jak někde zaznělo, že by se jednalo o útok realizovaný za účelem snazšího prosazení zákona o kybernetické bezpečnosti, nebo navýšení prostředků NCKB nebo jiné organizační složky státu, protože takovému útoku by bylo lepší čelit až v okamžiku, kdy by daná organizace byla schopna něco předvést. Takhle by poukazovala jen na svoji totální neschopnost. Stejně tak vylučuji, že by se jednalo o nějaký konkurenční boj a jako ne moc pravděpodobně se jeví i snaha maskovat tím nějaký jiný útok.

Kdo byl podle vás v pozadí tohoto DDoS útoku?

Těžko říci, ale soudě podle toho, že útok byl veden na mnoho různých cílů a trval od pondělí do čtvrtka, a byl veden tak, aby nezpůsobil mnoho škody, domnívám se, že se jednalo o studenty druhého ročníku nejmenované VŠ, kteří informatiku nemají jako hlavní předmět, a kteří si chtěli vyzkoušet, zda to, co jim říkal pan profesor, je opravdu možné, a tak si pronajali botnet a ono to kupodivu fungovalo. Ovšem v pátek opouštějí koleje o něco dříve, neboť odjíždějí na víkend domů, a tak s tím museli včas skončit.

Děláte si legraci?

Jen jsem vám nabídl naprosto prozaické vysvětlení, které je schválně v kontrastu s nejrůznějšími konspiračními teoriemi a spekulacemi, kterými nás krmí média. S jistotou můžeme dnes říci jen to, že si někdo prostě chtěl otestovat, zda je možné vést DDoS útok na vybrané cíle v ČR. Je zřejmé, že po těchto útocích dojde ke zvýšení poptávky po bezpečnostních produktech a službách.

Sdružení CZ.NIC dnes vydalo tiskovou zprávu k DDoS útokům.

Ano, zprávu jsem si přečetl a musím říci, že zpráva obsahuje vše podstatné. Kdy a na koho byl DDoS útok veden a že správci napadených síti svou roli zvládli poměrně dobře, stejně jako ISP. Kromě toho se potvrdilo to, o čem jsme se bavili již počátkem týdne, že se jednalo skutečně o malý botnet, a že byť měl útočník dobrou znalost českého internetu, tak úspěšný byl spíše z důvodu nevhodné konfigurace a poddimenzování síťových prvků.

Myslel jsem, že se ze zprávy, kterou připravoval CSIRT, dozvíme víc.

Podívejte se, CSIRT může výborně plnit pouze jedinou úlohu, a to komunikovat s jednotlivými subjekty, analyzovat informace, které mu tyto subjekty dobrovolně poskytnou a následně vydávat určitá doporučení, a to je vše.

Pokud chcete být včas informováni o blížících se hrozbách, předplaťte si náš Cyber Threat Report.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: , ,


K článku “DDoS útoky v ČR – průběžně aktualizováno” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: