DDoS útoky v ČR

V posledních dnech jsme svědky DDoS útoků, které na vlastní kůži pocítila většina z nás, když zaznamenala nefunkčnost Seznamu, několika zpravodajských portálů a dále pak webových prezentací a internetového bankovnictví několika českých bank i státních institucí.

Následující rozhovor přináší odpovědi na nejčastější otázky ohledně probíhajících DDoS útoků.

Co říkáte na právě probíhající DDoS útoky?

Že se pomalu naplňuje naše předpověď o kybernetických hrozbách v roce 2013, kterou jsme zveřejnili koncem minulého roku. Již tehdy jsme upozorňovali, že se stale častěji budeme setkávat s DDoS útoky.

Minule jste říkal, že české banky se DDoS útoků obávat nemusí.

Ano, ale to platilo v době, kdy jsme spolu rozhovor o DDoS vedli, a to bylo před téměř půl rokem. A půl roku to je v kyberprostoru velice dlouhá doba.

Mají DDoS útoky z posledních dnů něco společného?

Snad jen to, že za nimi stojí stejná organizovaná skupina ovládající malý botnet, na což lze usuzovat podle způsobu, jak je celý útok veden a dále pak že byly napadeny servery, které jsou nejvíce vidět a jejichž nedostupnost může způsobit nějakou škodu.

Chcete tím naznačit, že DDoS útoky žádnou škodu nezpůsobily?

Jistěže způsobily, ale výrazně nižší, než jaká bude v následujících dnech vyčíslena, ale to není až tak podstatné. Ostatně finanční škoda nebyla cílem těchto útoků. Ze způsobu provedení je zřejmé, že šlo jen o to otestovat, jak zranitelná naše infrastruktura vlastně je.

Jaké další DDoS útoky můžeme očekávat?

V zásadě jsou dva možné scénáře, a to že budou následovat DDoS útoky na další weby státní správy, televizí, velkých e-shopů apod. Ale také je možné, že útoky již nebudou nadále pokračovat, protože už nemá příliš smysl testovat, zda jsou i ostatní weby zranitelné či nikoliv.

Dá se těmto DDoS útokům nějak bránit?

Vzhledem k tomu, že se zatím nejednalo o žádný sofistikovaný útok, neboť všechny útoky používaly již poměrně starou techniku jako je SYN flood, před kterou se dá poměrně snadno bránit. Je zvláštní, že tyto útoky byly úspěšné a podařilo se jim nedostupnost vůbec způsobit. Přiznám se, že mě to trochu překvapilo, protože v posledním průzkumu stavu informační bezpečnosti některé dotčené firmy tvrdily, že jsou na tyto útoky připraveny. Je proto otázka, jak by se dokázaly vypořádat s novými hrozbami.

Odkud byl DDoS útok veden?

K DDoS útokům byla využita síť nakažených počítačů nic netušících uživatelů, tzv. zombií, které je možné na dálku ovládat a jež tvoří tzv. botnet. Mimochodem, kdokoliv si může takový botnet pronajmout a začít útočit. Podle informací, které máme k dispozici, byla většina útoků vedena převážně z evropských zemí.

Kolik stojí pronájem takového botnetu?

V současné době nejnižší ceny za pronájem botnetu požadují Rusové, a nabízejí, že za vás provedou i samotný DDoS útok. Pronajmout si můžete botnet čítající 1.000 až 10.000 zombií, přičemž takový botnet o 1.000 zombiích rozesetých po celém světě pořídíte již za pouhých 25 USD na den, což je v přepočtu nějakých 500 Kč. Pokud byste chtěli botnet nacházející se v Evropě, zaplatíte jednou tolik. Pořád je to ale cena, za kterou si může pronajmout botnet v podstatě každý.

Jak vlastně samotný DDoS útok probíhal?

Útočník si pronajal botnet. V několika případech spíš menší než větší a poté, co zadal adresu serveru, na který měl být veden DDoS útok, byla tato informace přenesena na jednotlivé stroje v botnetu, jež pak odesílaly SYN požadavky na zadanou adresu, čímž došlo k zahlcení. Server, na který byl útok veden, pak nezvládal odpovídat na požadavky legitimních uživatelů, a daná služba se tak pro uživatele stala nedostupnou.

Co bylo cílem tohoto DDoS útoku?

O cíli tohoto útoku a stejně tak i o jeho smyslu můžeme zatím jen spekulovat. V zásadě se nabízí několik teorií. Jednoznačně ale odmítám, jak někde zaznělo, že by se jednalo o útok realizovaný za účelem snazšího prosazení zákona o kybernetické bezpečnosti, nebo navýšení prostředků NCKB nebo jiné organizační složky státu, protože takovému útoku by bylo lepší čelit až v okamžiku, kdy by daná organizace byla schopna něco předvést. Takhle by poukazovala jen na svoji totální neschopnost. Stejně tak vylučuji, že by se jednalo o nějaký konkurenční boj a jako ne moc pravděpodobně se jeví i snaha maskovat tím nějaký jiný útok.

Kdo byl podle vás v pozadí tohoto DDoS útoku?

Těžko říci, ale soudě podle toho, že útok byl veden na mnoho různých cílů a trval od pondělí do čtvrtka, a byl veden tak, aby nezpůsobil mnoho škody, domnívám se, že se jednalo o studenty druhého ročníku nejmenované VŠ, kteří informatiku nemají jako hlavní předmět, a kteří si chtěli vyzkoušet, zda to, co jim říkal pan profesor, je opravdu možné, a tak si pronajali botnet a ono to kupodivu fungovalo. Ovšem v pátek opouštějí koleje o něco dříve, neboť odjíždějí na víkend domů, a tak s tím museli včas skončit.

Děláte si legraci?

Jen jsem vám nabídl naprosto prozaické vysvětlení, které je schválně v kontrastu s nejrůznějšími konspiračními teoriemi a spekulacemi, kterými nás krmí média. S jistotou můžeme dnes říci jen to, že si někdo prostě chtěl otestovat, zda je možné vést DDoS útok na vybrané cíle v ČR. Je zřejmé, že po těchto útocích dojde ke zvýšení poptávky po bezpečnostních produktech a službách.

Sdružení CZ.NIC dnes vydalo tiskovou zprávu k DDoS útokům.

Ano, zprávu jsem si přečetl a musím říci, že zpráva obsahuje vše podstatné. Kdy a na koho byl DDoS útok veden a že správci napadených síti svou roli zvládli poměrně dobře, stejně jako ISP. Kromě toho se potvrdilo to, o čem jsme se bavili již počátkem týdne, že se jednalo skutečně o malý botnet, a že byť měl útočník dobrou znalost českého internetu, tak úspěšný byl spíše z důvodu nevhodné konfigurace a poddimenzování síťových prvků.

Myslel jsem, že se ze zprávy, kterou připravoval CSIRT, dozvíme víc.

Podívejte se, CSIRT může výborně plnit pouze jedinou úlohu, a to komunikovat s jednotlivými subjekty, analyzovat informace, které mu tyto subjekty dobrovolně poskytnou a následně vydávat určitá doporučení, a to je vše.

Pokud chcete být včas informováni o blížících se hrozbách, předplaťte si náš Cyber Threat Report.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “DDoS útoky v ČR” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: