Provozovatelé velkých českých zpravodajských serverů v průběhu pondělí čelili rozsáhlému DDoS útoku, který přicházel v několika vlnách. Servery se potýkaly s úplnými výpadky nebo se na ně čtenáři dostali jen s velkými obtížemi.
Podle pracovníků bezpečnostního týmu CSIRT.CZ, který pomáhá řešit bezpečnostní incidenty, počet podobných útoků v poslední době roste.
Národní CSIRT České republiky alias CSIRT.CZ řeší situaci okolo DDoS útoků až tehdy, pokud se na něj obrátí někdo z poškozených a poskytne mu informace o útoku. Nicméně je možné z podobných incidentů, které CSIRT v minulosti řešil, a z veřejně dostupných informací dovodit, za jakým účelem podnikl někdo tyto útoky právě na tuzemské zpravodajské servery?
V některých případech lze odvodit, proč bylo útočeno na konkrétní server/službu, a to na základě charakteru útoku, zdroje, cíle apod. Občas se také někdo z „útočníků“ zpětně k danému útoku vyjádří a poodhalí tak motiv a cíl. Některé útoky jsou zcela zjevné, např. znepřístupnění určitého webu v určitou dobu (když je očekáváno zveřejnění zajímavých informací), znepřístupnění části sítě a pod. V tomto konkrétním případě žádné informace tohoto typu zatím nemáme.
Agendy a databáze řešených incidentů z prostředí CSIRT týmů mohou poskytnout vodítka pro odhalení motivů a důvodů konkrétních útoků.
DDoS útoky asi nejvíc proslavila hacktivistická skupina Anonymous, která je využívala jako formu digitální blokády či demonstrace. Jaké jiné motivy mohou útočníci využívající DDoS mít? A jaké si nejčastěji vybírají cíle? Dají se DDoS útoky využít v rámci kriminální činnosti?
Kromě klasického znepřístupnění konkrétní služby, serveru nebo sítě může být cílem např. shození určitého stroje (pád operačního systému), nebo tzv. „průzkum bojem“ pro lepší zacílení dalších budoucích útoků apod. Nejčastějšími cíli jsou webové portály médií nebo základní služby Internetu (DNS). DDOS útoky lze využít v rámci kriminální činnosti.
Psali jsme o národních bezpečnostních týmech
- CSIRT.cz radí, jak se bránit útokům typu DDoS
- CSIRT.cz bude další tři roky provozovat sdružení CZ.NIC
- CSIRT.cz přináší aktuální informace z oblasti síťové bezpečnosti
- Jak CSIRT.cz došel k akreditaci
- Role a počet bezpečnostních týmů rostou. Co o nich ale víme?
- CSIRT.cz přichází. Kyberzločincům navzdory
- CZ.NIC od ledna přebírá agendu CSIRT.CZ
Někteří vydavatelé, kteří byly útokem postiženi, hovoří o tom, že do útoku byly zapojené hlavně počítače z Česka. Jsou DDoS útoky na tuzemské servery vedeny obvykle ze zahraničí? Jaký důvod mohli mít útočníci proto, že do útoku zapojili právě počítače z Česka?
Zde nedokážeme jednoznačně odpovědět. DDOS útoky, při kterých jsme byli požádáni o spolupráci při řešení, měly zdroje útoků doma i v zahraničí, přičemž nelze jednoznačně říci, že ze zahraničí se útočí více než z České republiky.
Pozoruje CSIRT.CZ v posledních měsících v Česku nárůst počtu DDoS útoků?
Jistý vzestupný trend zde je. Souvisí s trendem ve využívání botnetů, které do útoků tohoto typu vnesly zcela nový rozměr – mnoho zdrojů útoku, jejich relativně snadné získání, distribuovanost, „management“ apod.
Pro útočníky dnes není problém připravit opravdu velký DDoS, využívající sítě botnetů se stovkou tisíc počítačů. Dá se vůbec proti tak velkým útokům nějak efektivně bránit?
Obrana je bohužel složitá a obvykle se skládá z kombinace mnoha metod a technik – navýšení kapacity připojení, filtry, analýza příchozího provozu apod. Tyto základní obranné prvky ale ve výsledku mohou mít stejný efekt jako útok samotný – díky extrémně přísné obraně se ke službě nedostane ani korektní provoz (požadavek od uživatele).
Podle údajů americké firmy Prolexic se stupňuje síla DDoS útoků – výjimkou nejsou ataky o datovém toku 50+ GBps. Jaké typy DDoS útoků jsou mezi útoky na cíle v ČR nejvíce zastoupeny?
Nejčastější jsou útoky na webové portály.
V únoru postihl podobný útok vedený převážně z počítačů umístěných v Česku web Viry.cz. Nevznikl nám tady nějaký „český botnet“?
Na začátku února byl CSIRT.CZ požádán o pomoc při eliminaci útoku na forum.viry.cz. Podle poskytnutých informací byly tři ze čtyř největších zdrojových sítí z České republiky. K tomuto incidentu jsme ale nedostali všechny potřebné informace, proto nemůžeme s jistotou říci, jaké bylo celkové složení IP adres. CSIRT.CZ byl požádán pouze o pomoc při řešení těchto největších zdrojů nežádoucího provozu. Z dat, která máme, tedy nemůžeme určit, zda pocházely z nějakého „českého botnetu“.