Hlavní navigace

CSIRT: DDoS útoků v poslední době přibývá, obrana je složitá

Martin Vyleťal 5. 3. 2013

Vznikl v České republice „český botnet“? A jaké cíle si útočníci využívající DDoS útoky nejčastěji vybírají? Ptali jsme se členů bezpečnostního týmu CSIRT.

Provozovatelé velkých českých zpravodajských serverů v průběhu pondělí čelili rozsáhlému DDoS útoku, který přicházel v několika vlnách. Servery se potýkaly s úplnými výpadky nebo se na ně čtenáři dostali jen s velkými obtížemi.

Podle pracovníků bezpečnostního týmu CSIRT.CZ, který pomáhá řešit bezpečnostní incidenty, počet podobných útoků v poslední době roste.

Národní CSIRT České republiky alias CSIRT.CZ řeší situaci okolo DDoS útoků až tehdy, pokud se na něj obrátí někdo z poškozených a poskytne mu informace o útoku. Nicméně je možné z podobných incidentů, které CSIRT v minulosti řešil, a z veřejně dostupných informací dovodit, za jakým účelem podnikl někdo tyto útoky právě na tuzemské zpravodajské servery?

V některých případech lze odvodit, proč bylo útočeno na konkrétní server/službu, a to na základě charakteru útoku, zdroje, cíle apod. Občas se také někdo z „útočníků“ zpětně k danému útoku vyjádří a poodhalí tak motiv a cíl. Některé útoky jsou zcela zjevné, např. znepřístupnění určitého webu v určitou dobu (když je očekáváno zveřejnění zajímavých informací), znepřístupnění části sítě a pod. V tomto konkrétním případě žádné informace tohoto typu zatím nemáme.

Agendy a databáze řešených incidentů z prostředí CSIRT týmů mohou poskytnout vodítka pro odhalení motivů a důvodů konkrétních útoků.

DDoS útoky asi nejvíc proslavila hacktivistická skupina Anonymous, která je využívala jako formu digitální blokády či demonstrace. Jaké jiné motivy mohou útočníci využívající DDoS mít? A jaké si nejčastěji vybírají cíle? Dají se DDoS útoky využít v rámci kriminální činnosti?

Kromě klasického znepřístupnění konkrétní služby, serveru nebo sítě může být cílem např. shození určitého stroje (pád operačního systému), nebo tzv. „průzkum bojem“ pro lepší zacílení dalších budoucích útoků apod. Nejčastějšími cíli jsou webové portály médií nebo základní služby Internetu (DNS). DDOS útoky lze využít v rámci kriminální činnosti.

Někteří vydavatelé, kteří byly útokem postiženi, hovoří o tom, že do útoku byly zapojené hlavně počítače z Česka. Jsou DDoS útoky na tuzemské servery vedeny obvykle ze zahraničí? Jaký důvod mohli mít útočníci proto, že do útoku zapojili právě počítače z Česka?

Zde nedokážeme jednoznačně odpovědět. DDOS útoky, při kterých jsme byli požádáni o spolupráci při řešení, měly zdroje útoků doma i v zahraničí, přičemž nelze jednoznačně říci, že ze zahraničí se útočí více než z České republiky.

Pozoruje CSIRT.CZ v posledních měsících v Česku nárůst počtu DDoS útoků?

Jistý vzestupný trend zde je. Souvisí s trendem ve využívání botnetů, které do útoků tohoto typu vnesly zcela nový rozměr – mnoho zdrojů útoku, jejich relativně snadné získání, distribuovanost, „management“ apod.

Pro útočníky dnes není problém připravit opravdu velký DDoS, využívající sítě botnetů se stovkou tisíc počítačů. Dá se vůbec proti tak velkým útokům nějak efektivně bránit?

Obrana je bohužel složitá a obvykle se skládá z kombinace mnoha metod a technik – navýšení kapacity připojení, filtry, analýza příchozího provozu apod. Tyto základní obranné prvky ale ve výsledku mohou mít stejný efekt jako útok samotný – díky extrémně přísné obraně se ke službě nedostane ani korektní provoz (požadavek od uživatele).

Podle údajů americké firmy Prolexic se stupňuje síla DDoS útoků – výjimkou nejsou ataky o datovém toku 50+ GBps. Jaké typy DDoS útoků jsou mezi útoky na cíle v ČR nejvíce zastoupeny?

Nejčastější jsou útoky na webové portály.

V únoru postihl podobný útok vedený převážně z počítačů umístěných v Česku web Viry.cz. Nevznikl nám tady nějaký „český botnet“?

Na začátku února byl CSIRT.CZ požádán o pomoc při eliminaci útoku na forum.viry.cz. Podle poskytnutých informací byly tři ze čtyř největších zdrojových sítí z České republiky. K tomuto incidentu jsme ale nedostali všechny potřebné informace, proto nemůžeme s jistotou říci, jaké bylo celkové složení IP adres. CSIRT.CZ byl požádán pouze o pomoc při řešení těchto největších zdrojů nežádoucího provozu. Z dat, která máme, tedy nemůžeme určit, zda pocházely z nějakého „českého botnetu“.

Našli jste v článku chybu?

5. 3. 2013 8:03

J. Zouda (neregistrovaný)

Myslím, že článek pěkně ilustruje onu zoufalou zbytečnost celého aparátu CSIRT týmu:

a) CSIRT si všimul, že DOS útoků přibývá (no pánečku kdo by to čekal, myslím, že za posledních 20 let se to dost zhoršilo)
b) Nejčastěji se pry útočí na weby, také poměrně hodně šokující informace
c) Když dojde na lámaní chleba tak CSIRT tvrdí, že obrana je složitá, že měli málo informací a že je to celé vůbec komplikované.
d) Nebyli jste náhodou nedávno na cvičení (

5. 3. 2013 9:20

Lemra lina (neregistrovaný)


a) DOS útoků přibývá
b) Nejčastěji se pry útočí na weby
c) obrana je složitá

Nebude-li pršet, nezmoknem... :-)))





Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: S.r.o. využívá cizí auto. Jak je to s daněmi?

S.r.o. využívá cizí auto. Jak je to s daněmi?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá