Názory k článku
Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data

rb.cz, kb.cz, csas.cz
nešlo ani čsob a fio - ale to se už rozjelo.

nedostanu se na účet u RB, mBank v pohodě a FIO trochu drhne, jojo, vše po internetu..... není nad hotovost :-)

tak fio.cz už taky zase leží

ani csob a fio

Asi takhle:
http://byznys.lidovky.cz/kyberneticky-utok-zasahl-ceske-banky-internetove-bankovnictvi-nefunguje-15d-/moje-penize.aspx?c=A130306_093618_moje-penize_mev

ani http://www.bcpp.cz/ nejede

tak ekonto a web bezi

Tak možná u vás na intranetu. :-)))

Musím vám zopakovat, že vám to jede leda tak na intranetu. Nedostupný je web i ekonto.

Má pravdu, RB.cz je dostupné, ale osobně bych si nebyl moc jistý jak dlouho to vydrží.

Už mě to nebaví zkoušet. Web mi ještě před 2 minutami nejel vůbec, klient?.rb.cz se po několikaminutovém načítání a částečném načtení vytimeoutovaly.

Raifka zda se aspon pri primym pristupu na web rozhrani (https://klient2.rb.cz/ebts/version_02/cz/banka3.html) jede, mainpage je takova polomrtva - neco malo se nacte, ale spis nic nez vic.

To opravdu netuším. Původní reakce byla na noname (neregistrovaný) ---.rb.cz a jinak je mi Rajfka již několik let ukradená, takovou zlodějnu aby pohledal.

Joooo kdoví jestli nezadáváš platby na nějakém podvrženém webu, když ti to jede jak po másle.

Oni problém "vyřešili" odříznutím některých sítí, takže např. přes O2 ADSL to jede, nicméně přes jiného ISP (viz aktuální IP ve výpisu komentářů) nikoliv.

route:          188.75.0.0/19
descr:          LANCRONIX LTD
descr:          Moscow, Russia
descr:          http://www.lancronix.ru
descr:          aggregate prefix
origin:         AS48209
mnt-by:         LNX-MNT
source:         RIPE # Filtered

Ne, v Rusku se fakt nenacházím, nicméně oni zařízli celé 188.75

Lemro lina - tvoje 188.75.132.x je rozhodne mimo 188.75.0.0/19...

Network: 188.75.0.0/19
HostMin: 188.75.0.1
HostMax: 188.75.31.254

vy víte kdo co přesně zařizl?

To ale zkus vysvětlit ne mně, ale RB a dalším bankám, kam se prostě z 188.75.132.0/24 nedostanu. :-)))

Nebo jste v tom bordelu přesměrovanej bůhví kam....já bych za týhle situace teda platby nezadával........

Zacina to vypadat, jako by nekdo testoval odolnost vyznamnych clanku webove casti infrastruktury CR a mozna i reakci CSIRT (ktera je tedy takova, jaka je). Kdyz si to probereme, tak to zatim vypada, ze bylo utoceno na:

1. Zpravodajske weby
2. Vyhledavac/portal, ktery pouziva vyznamna cast Ceske populace
3. Bankovni weby

Skoro bych ocekaval, ze dalsi krok budou stranky statni spravy/samospravy, ale tady uz je riziko zasahu a vysetrovani vyrazne vetsi a navic nektere uz byly "otestovany" hacktivisty.

Zajimava myslenka, treba na tom neco bude :)

Taky mi to přijde uhlazený a systematicky policejní postup... nedivil bych se, kdyby v tom měly prsty naše tajné služby a jen testují stabilitu sítí.

Stabilita siti se netestuje tak, ze posilam hodne paketu na koncove servery.

Zajimalo by me, zda uz nekdo (myslim tim ISP) na zaklade tech utoku zavedl filtrovani prefixu (aspon proti NIXu).

tim,ze 'posilam hodne paketu na koncove servery' se ale testuje prave odolnost tech serveru a nikoliv siti jako takovych - a to se prave ted IMO deje :]

Michale, filtrovani prefixu vubec nic neresi, protoze utocnik si muze podvrhnout libovolnou adresu. Filtrovat se musi bohuzel podle destinace a to pokud mozno co nejdal cili a co nejbliz mistu vzniku utoku.

Bohuzel o bude potreba presvedcit ty ony netranzitni providery, aby neco takoveho cinili. A presvedcujte o necem takovem ruskeho nebo treba nigerijskeho providera, ktery ma nezridka zelezo, ktere o uRPF neslyselo ani v nadraznim rozhlase, kdyz ho vezli do mista urceni.

ACL na uplinku k upstreamu zveda na softwarovych boxech (mezi nez se radi treba i Cisco 7200, 7300, 7400 atd. a ktere se nekde stale jeste pouzivaji) zatez CPU, coz pro takove operatory bohuzel muze byt dost dobry duvod je tam nemit.

Spousta mensich ISP ma na hrane PCcko.

Pri 64bajtovych packetech? :-)

Ja mel ovsem za to, ze jste jednak hovoril o nejlevnejsim PC a krome toho jste tam chtel jeste mit nejaka filtrovaci pravidla (kazde fw pravidlo predstavuje nekolik set instrukci CPU per packet).

Vami dodany odkaz naopak naznacuje, kde zhruba konci routovaci moznosti PC architektury pri pouziti velmi vykonneho hardware.

Zajimave, proc vlastne jeste dneska ma tu drzost prodavat firewally, ktere nejsou bezne PC.

V tom textu je cosi o tom, ze vykonne PC dava desetigigabit (teda ve smerovani), o nejakych filtrovacich pravidlech tam toho moc neni - ale mohu se mylit.

Doporucuji vzit na vedomi, ze kazdy zaznam v routovaci tabulce take znamena nekolik set instrukci CPU per packet.

Jenze i netranzitni ISP se muze stat tranzitnim - spousta z nich ma ruzny dohody mezi sebou, kvuli ruznycm vypadkum ... ze docasne prevezmou provoz ...

BTW: A vzhledem k tomu, ze pres jiste 80% routeru projde src/dst v privatnim rozsahu ...

Ale jiste ze neni od veci mit nastavana nejaka pravidla, jenze na druhou stranu i jednoducha pravidla = je na to potreba nejaky nenulovy vykon HW.

Pro zajimavost, na gw o ktery se staram neproleze do netu privatni adresa, jenze zaroven vim, ze sem spis naprosto extremni vyjimka. Staci chvili poslouchat na siti libovolnyho ISP a nejen ze mu tam tecou privatni adresy od klientu, ale ISP je klido odroutuje dal.

Jak pak po nekom chcete aby resil filtrovani korektnich adres, kdyz neni schopen odfiltrovat ani ty nekorektni?

To mas pravdu, nicmene neresime obecny problem, ale konrektni problem v konkretnim prostredi.

Ja bych to bral tak, ze pro nouzove low cost reseni problemu Ti bude stacit:
1) blackholovat zahranicni provoz
2) Vynutit filtrovani prefixu na strane ISP (tj. zahazuju vsechno, co jde ven z me site a neni muj prefix). Zde vidim mozne implementacni problemy na strane UPC, ktera je velky ISP se spoustou prefixu a zaroven ma spoustu home klientu.
3) Rozvazani peeringu s temi, kteri nefiltruji

Zbytek provozu by mely zvladnout opatreni na hrane site ICP.

Samozrejme je mozne, ze se mylim a neco mi unika - pripadne me oprav.

Depeering nefiltrujici site je z hlediska kontroly provozu horsi, nez peering s ni. Proc? Protoze transit jim nekdo urcite proda, presneji proda jim ho uplne kazdy, protoze si rekne "kdyz ne ja, proda jim ho treba ... " (jmeno si dopln, napada mne asi pet jmen operatoru s udesnou povesti) a protoze cash is king. Ovsem v transitu onen legitimni provoz od podvrzeneho nerozeznas vubec, narozdil od peeringu. A pak uz je to filtrovani u sebe jen technicky problem, na PNI o neco mensi, v IXP o neco vetsi (hodila by se kombinace L2+L3 podminek v jednom ACL pravidle).

To tedy nemuzete.

Samozrejme, a ceho dosahnete? Tak akorat toho, ze se vam vsechny packety, ktere vam prijdou a budou podminku dane destinace splnovat, budou sypat na Null. To fakt chcete? Ja mel za to, ze tady diskutujeme o tom, jak efektivne resit DDoS ze spoofovanych adres. Pokud zanullroutujete vsechny packety na danou konkretni adresu, tak to nemusite vubec resit, protoze tim zajistite nedostupnost dane sluzby jeste o neco efektivneji, nez autor onoho DDoSu zamyslel :-)

Ja si to studovat nemusim, ja to az prilis dobre vim. Take az prilis dobre vim, jaky problem muze znamenat zapnute uRPF na upstream portech, pokud mate vic nez jeden upstream a jak uzasne se takovy problem hleda.
Druhy problem je, ze uRPF mozna mate zapnute vy, ale uz nemate jistotu, ze jej maji zapnute ostatni (spis naopak mate jistotu, ze nemaji, kdyz chodi DDoS utoky z spoofovanych adres).

Proto tahle debata dale ztraci jakykoli vyznam. Pokud v ni chcete pokracovat, zkuste si to nejprve v labu odsimulovat, s tim, ze nemate moznost ovlivnit ani chovani utocnika, ani chovani ostatnich siti.

A obcas se najde nekdo, kdo to tam zapnute ma, zejmena pokud routuje na linuxu, ktery to zapina by default a ifconfig mu to neukaze. No a tak ja priste nekoho takoveho poslu za vami, vy mu to urcite moc hezky vysvetlite :-)

Ahoj,
prosim precti take bod (1) a vez, ze to, co resim, je nouzova situace.

MK

9:59 – Mimo provoz je také web pražské Burzy cenných papírů.

"(Google DNS například vrací ERR_NAME_RESO­LUTION_FAILED)"
fundovaný popis chyby :-)

Ano, to je dostatečně fundovaný popis, který pouze dokumentuje to, co je PŘED závorkou. Chce to jenom číst.

No jo, ale tuhle hlasku Vam DNS NIKDY nevrati, protoze to, co jste napsal, je nejaka interpretovana chyba zrejme knihovny pouzite ve Vasem prohlizeci. DNS server Vam vratil mozna tak treba ServFail zpravu nebo Vam nedojde odpoved zadna...

DNS server Vam vratil mozna tak treba ServFail zpravu

<irony>Ano, což je obrovský rozdíl proti ERR_NAME_RESO­LUTION_FAILED, že </irony>

Co je to "doménový server"? V češtině se používá spojení "jmenný server", když se mluví o DNS. Doménový server by použil někdo z oblasti microsoftích sítí jako termín pro DC (doménový řadič). Chce to jenom nepoužívat pseudo fundovaný popis.

Ještě v devět šla, to jsem zjistil že mi vypršel certifikát :D Než jsem se vrátil za čtvrt hodiny z pobočky, už to lehlo...

Tohle bude útok lobby chovatelů poštovních holubů nebo poštovních doručovatelů.

Mě tedy trasa končí na 194.228.190.166 a DNS mi tvrdí, že mojebanka.cz je na 194.228.113.32.
Co na to říkají pánové z csirt.cz?

(kolegové jsou naštvaní, že se nemůžou dostat ke svým výplatám a já se jim směji – peníze mám totiž částečně v cash / částečně v BTC, dobře vám tak :P)

CSIRT hlida pouze statni spravu, komercni resi, jen pokud je o to pozadan. Takze opet vyda jen prohlaseni, ze vse sledoval, ale pokud jej nekdo nepozada o pomoc, tak aktivneni nic nedela. Ale kdo vi, treba zitra uz bude mit prilezitost :-)

A když ho požádají o pomoc, tak jim řeknou, že se jedná o složitý obtížně řešitelný problém. :-)

Polem působnosti týmu CSIRT.CZ je celá Česká republika, tzn. všichni uživatelé a všechny sítě provozované v České republice se nachází ve sféře vlivu CSIRT.CZ.

...vy se smějete kolegům, že se nemohou dostat ke svým výplatám...??? Tak v tom případě jste d.bil...dobře Vám tak...

A jak vám ropovod vynáší? Že bych do BTC taky zainvestoval? :-)
http://en.wikipedia.org/wiki/Baku–Tbilisi–Ceyhan_pipeline

To není ropovod, to je Bhůtánská koruna :D (zainteresovaní vědí)

No tak vězte, že Bhútán se píše s "u s čárkou" a ne kroužkem.

já bych psal ú všude a ten hloupý kroužek zrušil.

ono to je jedno, protože o Bhútán vůbec nejde (ale aspoň sem chytřejší, díky :D)

mozna uz by to mel zacit resit nekdo v NIXu, nebot to opet prichazi ze site RETN

RETN - to máte odkud, je to oficiální důvěryhodná informace?

Kazdy, kdo ma pristup do intranetu nixu se muze podivat, kolik packetu/s prichazi z jejich site.

RETN to samozrejme mohlo jen nekde nabrat, ale patrani by se asi melo ubirat timhle smerem, pripadne pokud to prichazi z tranzitu, tak vypatrat odkad to +- prichazi.

tak to by me teda take zajimalo

Uprimne receno, NIX.CZ je layer2 infrastruktura a peering neni vynucena sluzba - tj. kazdy muze rozvazat propojeni dle vlastni uvahy.

což ovšem neznamená že by neměla ČR těžit z unikátnosti centralizace a maximálně spolupracovat.

Podle mě je to regulérní zločin tj mezinárodně kooperovat a koukat ne odkud je SRC adresa ale kudy to skutečně teče a tam to buď filtrovat nebo eskalovat a dál řešit.

Takový řečičky že v nixu být nikdo nemusí a nenutí ho mi přijdou krátkozraké, v čr funguje několik globálních služeb na které jdou tyto DDoS pravidelně a nejde o něčí zisk ale o to že tím ČR ekonomicky tratí. Nejsem krátkozrakej a i když se mi to co se právě děje "hodí" do krámu vidím si dál než na špičku nosu.

Dodavatelů tranzitu není v ČR tak moc aby se nenašlo odkud to teče do jejich sítě. I kdyby to byl fake SRC tak právě flow z ostatních příchozich tras daného operátora naznačí směr odkud to teče. (pokud to není opravdu masivní botnet o milionech počítačů jejichř majitelé ani netuší která bije)

Martine je to jednoduche. NIX.CZ je ve vlastnictvi clenu. Pokud se vetsina clenu rozhodne, ze se ma zmenit na L3 infrastrukturu, tak to udela.

Troufam si tvrdit, ze vetsine ISP je to, ze na necem ekonomicky trati CR, docela sumak. Uz jen proto, ze od statu dostavaji jenom buzeraci.

Pokud nekdo provozuje globalni sluzbu a nema na to infrastrukturu, tak je to jeho problem. Eistuji takovi poskytovatele infrastruktury, ktere podobne utoky nechavaji klidnymi.

My si nerozumime, clenove nixu MUSI mit nejakej tranzit. Tj pokud se dohodnou ze k vlastni ochrane budou vedet ze NIXem to netece mohou mit spolecne silu dotlacit upstream providery "patrat" dal nebo filtrovat.

Nejde o to spolecne jde o to ze jednou podrzi ten toho a podruhe nekdo jine. Z globalniho hlediska je NIX unikat (ve smyslu technickeho reseni jiste ze je rada narodnich IXu tedy spolecne s padesatkou dalsich) kdy se da rici ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny" a to skarede zahranici bude mit smulu.

Uz vidim jak nekde v USA nekdo filtruje nejak "neamericky" provoz. Ad korporace - ano o tom to je, jaky kdo nakoupi box tak mu to jede, zel bohu nasi klienti byvaji tercem takovychto utoku 10x do roka a i kdyz se ISP box drape v nose ten cilovej system treba 6hodin nejede (nastesti existuje scenar obrany rozdrobenim provozu mezi desitky IP a tam se pak filtruje jak vztekle).

Cesi ovsem nejsou zvykli platit, 99procentum se nevyplati to platit predem. Pro to by to mel nabizet bud isp v nejake hodinove sazbe nebo prave stat tak ze by ten provoz poslal na sebe a "sdilene" to filtroval. Stat nemusi byt stat, muze to byt zrovna cz.nic z prebytku nebo nix se zajmu (sdilena infrastruktura musi byt levnejsi nez nesdilena) zrovna u nixu by to davalo smysl "clenove sobe" proste by se vypropagoval cil utoku nejakou sdilenou linkou s radou filtrovacich boxu a na provoz by se skladali. Vim ze je to utopie protoze rada nejvetsich (komercnich) ISP v CR by nikdy nepriznala tento druh problemu prestoze jim to casto pekne zatapi.

Prosim vas, veci jako 'ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny"' snad radeji ani nevypoustejte z klavesnice. Navrh zakona o kyberneticke bezpecnosti je pripraven k pripominkovani a brzy zamiri do Snemovny. Samozrejme, ze takove DDoSy zadny zakon nevyresi a navic pridela ISP spoustu zbytecne prace (mimochodem, je s podivem, ze se tento problem objevil prave v dobe, kdy je takovy zakon pripraven, clovek by az rekl, ze je to podezrele). Statu cesky Internet nepatri, krome financovani CESNETu se na jeho vzniku ani existenci nikterak nepodilel, spise vzdy vsechno komplikoval a problemy pridelaval.

ISP mimochodem DDoSy zasadni problemy necini, zvlaste tem vetsim. Naopak, takovy DDoS a jeho ucinek na koncovy system je dukazem toho, ze sit dotycneho ISP funguje dostatecne dobre a ma vykonove rezervy, v dobach softwarovych routeru by situace vypadala zcela jinak. ISP proto vadi DDoSy pouze z toho duvodu, ze poskozuji jejich zakazniky a oni chteji mit sve zakazniky v maximalni mozne mire spokojene.

Na blackholing zadnou zazracnou ani drahou infrastrukturu nepotrebujete. Poslat ty dva nebo tri miliony packetu za sekundu do Null zvladne kterykoli lepsi router a dokonce i nektere L3 switche. Rada clenu sdruzeni NIX.CZ takovou sluzbu dokonce svym zakaznikum uz davno poskytuje.

Vkládáte mi ovšem do úst něco co jsem neřekl. Jako Michal hovořím o nouzovém řešetní tj lepší něco než nic. Tj stát si může vynutit u ISP :

1. kontrolu jestli to nejde přes ně (flow sample, nebo pravidlo )

2. zakázat takový provoz

když vám může stát/policie zakázat např jít do svého domu nevidím důvod proč by silově nedokázal vynutit aby jste filtroval nějaký typ provozu.

navíc stát tahá za oba konce, buď se na tom podílíte nebo maříte vyšetření téhož. zákon nezmiňuje žádnou kompenzaci nákladů a vždy když nám soud něco takového nařídí platíme to my.

By mě zajímalo jak chcete blackholovat nějakou globální službu? ČR není usa nemáte přímý peering s dvaceti "tranzity" tj pokud vám to leze vše tranzitem navíc je to spoofle (miliony IP) nezbývá než přístup ala michal tj filtrovat.

S CDN nesouhlasím, nikdy nejste schopen měřit QoS CDNka, dynamicky Vám naskakují stovky instancí.

Navíc z praxe několik našich zákazníků provozující globální službu bývá nejlepší řešení úskokem protože často jde o útok na IP nikoliv na hostname (i když jde proti nějaké konkrétní službě) protože DNS záznam zaspoofujete hůř a nebo potřebujete nějaké centrální místo odkud botnet řídíte průběžně a to Vás může poodkrýt.

Váš idealismus by se hodil na "každý lepší switch" když by jste se stal opravdu trnem a najednou by sem lezlo 20Gbps/4mpps, což např pro Čínu nebude problém (coby kouřová clona pro zakrytí jiného provozu který v tom bordelu nenajdete).

A kdo to bude platit ... aha, ja ze svych dani a budou to desitky miliard (jako kazda kravina, do ktery se stat sere). Uz je za ten napad by bylo treba vas zastrelit.

A kdo to plati teď kdo platí oknonet a všechny věci okolo? Jste naivka a netušíte co stát má a jak neefektivně to dělá - v tom by jedno NOC nehrálo roli. Když teď někdo podá TO (ideálně it oddělení např idnes.cz aby mělo krytá záda pojištění, šéfové, pr, veřejné mínění) tak to taky platíte vy. V trestních věcech bohužel pachatelé neplatí škodu vzniklou státu - to že stát vynucuje právo si platíte v daní.

TO muze podat kdokoli, ale nevim proc byc mel nekolika vyvolenym platit jejich infrastrukturu. Zatahne mi stat optiku az do bytu a 10Gbit pripojku? Ja se taky citim byt ohrozen DOSy ...

Ja myslim, ze je to jednoduche. Pokud stat rozhodne, ze by neco takoveho melo fungovat, pak at to stat plati.

Mozna Vas prekvapi, ale to, cemu dnes celi ceske firmy, neni nic neobvykleho. Troufam si tvrdit, ze podobnych utoku mohou probihat radove desitky najednou. A existuji infrastruktury a technicko/orgna­nizacni reseni, ktera to zvladaji. V nekterych pripadech je to implementovano jako sluzba, takze vam staci penize.

Jedno z reseni, jak minimalizovat naklady, je skutecne sdilena infrastruktura. Nicmene jeji vznik nemuzete iniciovat shora. A cim mate vetsi mnozstvi hracu (a NIX.CZ i CZ.NIC jich maji pozehnane), tim tezsi je hledani shody. Dokazu si predstavit, ze se nejaka skupina poskytovatelu obsahu obrati na NIX.CZ ci CZ.NIC se zadosti o konzultace, ale proboha necekejte, ze tyto organizace budou nositeli te myslenky.

Co se tyce "platit predem" - vetsina CDN dnes zpoplatnuje sve sluzby dle prenesenych dat a obranu proti DDoS mate v cene (samozrejme zalezi na velikosti konkretni CDN). Je to jenom otazka jednotkove ceny.

Nemyslim, ze ceskym ISP nejak zatapi DDoSy - ony zatapeji jejich zakaznikum.

někdo DDoSoval i jižní spojku, stál jsem tam minimálně 20 minut

koukal jste na spz adresy těch útočníků - šlo opravdu o rusáky?

Já bych všechny ty internety a počítače zakázala

;-)

.. a to si většina (nejen eshopů) stahuje aktuální kurzy právě z webu ČNB

Uz jedu nejake weby bank, ted jen, jestli to banky spravily, nebo sli kluci na obed a pak to pusti znovu :-)

Jop, CSAS uz jede. Otazkou je, jestli se s tim poprali IT machri z CS nebo se na to rusaci uz vyflakli a sli na burek.

https://docs.google.com/spreadsheet/ccc?key=0AmSVXPgdVdQ1dHUzRldHNG1wVTNpbm9YMnRZN0Q1YkE&usp=sharing#gid=0

ono asi zalezi odkud to sledujete. Csas z netboxu jede uplne normalne.

šikula, ale dostupnost je opravdu potřeba určovat z vícero lokalit.

kazdopadne, CNB je taky down. A to uz je statni instituce, tak by meli alibisti z CSIRT zvednou zadky a konecne neco zacit delat :) Ne jenom vydavat prohlaseni, ze ddos je slozite lokalizovat atd. Predpokladam ze CR do toho vklada miliony korun a ze se alespon par skutecnych expertu najde.

Tyhle výkřiky mě fakt baví ;) I vaše předpoklady... P.S. A to nejsem z CSIRTu :)

tak k cemu jinemu csirt je, nez aby se nastavalo tohle: http://byznys.lidovky.cz/cesko-zaziva-elektronickou-invazi-padaji-banky-urady-i-zpravodajske-weby-1rn-/firmy-trhy.aspx?c=A130306_104142_firmy-trhy_mev ? poucte me o realite.

nejste členem csirtu a trápí vás ta bezmoc? i vy můžete pomoci - projet svého miláčka antivirem, antimalwarem, nejlépe nějakým bootovatelným, aktualizovat systém, webový prohlížeč, disablovat java plugin, odinstalovat acrobat reader a dát si jinou pdf čtečku, tedy podniknout kroky k tomu, abych se nestal členem netbotu.

Svého miláčka radši projedu něčím jiným. :-P A co se týče toho zbytku, asi bude jednodušší nainstalovat jiný OS.

Když se podívám odkud chodí nejvíce SPAMu, což jsou také botnety, tak je to Brazilie, Mexiko, Peru, Argentina, Španělsko, Indie, Turecko, Kazachstán, ...

a Česko nikde. Má zajet čistit Windowsy do Jižní Ameriky?

NBU pozadal o zaslani dat a informacich o utocich. By me zajimalo, jake moznosti v tomto smeru ma NBU nebo CSIRT? Jak nam muze pomoci NBU nebo CSIRT?

NBÚ nám pomůže tak leda do hrobu.

tak NBÚ může např. zjištěným útočníkům nevydat bezpečnostní prověrku

NBÚ může ten útok příště lépe utajit, aby nebylo poškozeno jméno České republiky v zahraničí.

stačí změnit hesla z nbusr na něco složitějšího a pak ještě prověřit všechny systémy :P

To prohlášení, že mají postižení dát těmto subjektům údaje o útocích, je normální kravina.

K čemu jim asi tak bude seznam IP adres zavirovaných počítačů?

Cílem snažení by mělo být vybudování dostatečné volné kapacity, kterou by třeba financoval stát a která by zajistila odolnost všech postižených před podobnými útoky.

Tohle přece není možné, abychom byli až takhle zranitelní a nikdo proti tomu nic nedělal!

Ja bych pockal do zitrka a myslim, ze tech dat budou mit dost...:-) A ani jim to nemusime davat mi ...

Moc nevěřím tomu, že další na řadě jsou státní instituce a naprosto amatérsky zabezpečené nesmysly typu registr vozidel nebo sociální dávky.

Spíš bych to viděl na eshopy. Až padne mall, aukro, alza, tak se škody začnou počítač v milionech za minutu.

Jen abyste se nedivil, zhruba od 12 hodin máme nějaké problémy se systémem základních registrů.

A proc bych ja ze svych dani mel platit infrastrukturu komercnim subjektum? Me je zcela uprdele ze nejede seznam, ides, banky .... je to jen hloupej web a je treba presne tak k tomu pristupovat. Na netu nema co delat nejaka provozne kriticka infrastruktura.

Stejne tak bych moh po statu chtit, aby znasobil kapacitu trebas magistraly, videl bych to na vybourani vsech prekazek az k Vltave, co kdyby se nekdo rozhod demonstrovat ... ze ... aspon to bude kudy objet.

Ale no tak.

Ochrana firem je v zájmu státu.

Když terorista vyhodí do povětří elektrárnu, tak nám to má být taky fuk, protože je to je majetek komerčního subjektu?

Internet už není žádná hračka pro děti a sám o sobě je "kritická infrastruktura"!

Ochrana firem je v zájmu státu.

Kam stát se svými zkorumpovanými zakázkami rypák strčí, tam sto let tráva neroste. Běžte s tím do háje.

Stát může např donutit poskytnout ISP který zde podniká data k útoku, to asi moc navíc stát nebude - naprosto nechápu proč není nejaké centrální 24/7/365 pracoviště které by toto zajištovalo pro stát.

Jde o kompetenci, teoreticky to může být síť SZ/Soudců na telefonu - nehledě na to že stačí aby to byla gentlemanská dohoda. Když někdo někomu vyhrožuje vraždou také si obvykle UZČ nehraje na byrokraty a prostě se to řeší po telefonu operativně na základě příkazu kterej to pokryje v časovém období.

Stát může např donutit poskytnout ISP který zde podniká data k útoku¨

Jo jo jo!!! Větším šmírováním za světlejší zítřky!!!

jaký šmírování? teď tu povinnost dávno má jde o to zrychlit ten proces vypátrání bez byrokracie teď vás taky donutí a ještě k tomu policie potřebuje např souhlas SZ nebo soudce. kdo to platí? vy.

přesně tak, už se nemůžu dočkat, až nějaký jouda z PČR bude beztrestně šmírovat "velké ryby". Takové kauzy tady byly i navzdory té byrokracii, bez ní to bude opravdu lahoda.

zaznel tu dotaz kdo to plati - tak tady minimalne drzitele domen, vubec by mi nevadilo kdyby to cz.nic za uplatu poskytoval komercne

Bezpečnostní tým z CZ.NIC už prý také připravil efektivní nástroj, který může jiným správcům sítí a serverů pomoci s otestováním odolnosti jejich infrastruktury.

„Tento nástroj dokáže vygenerovat zátěž stejného typu a intenzity, jaké dosahovaly aktuální útoky. Je nainstalován na velice výkonné farmě serverů, které umožňují vyvinout dostatečně silný datový tok. V současné době ho používáme pro testování vlastní infrastruktury a následně ho nabídneme i externím zájemcům,“ uvedlo sdružení v tiskové zprávě.

ale nefungovaly platební terminály u obchodníků?
WTF?

A ty si myslis, ze z banky vede drat ke kazdemu obchodnikovi? Pochopitelne to (skoro) vsechno jde pres VPNku pres Internet...

No a? Tento druh utoku zahlti z internetu dostupne servery, ne linku.

Spíš to zahltí firewally které jsou mezi internetem a vnitřní sítí - propustnost firewallu se obvykle počítá jako počet zpracovatelných paketů za vteřinu, takže dnes je obvykle mnohem jednodušší přetížit firewall než běžně dostupné tlusté linky (např. 10 Gbps).

... pokud nemiril taky na VPN koncentrator te banky ...

to jedine, ale vzhledem k povaze a cilu utoku se mi to moc nezda.
navic terminal asi nenavazuje vpn spojeni pro kazdou platbu, ne?

Ono je tady ale zásadní otázkou, zda jen někdo nepochopil špatně to, co je citováno i tady v textu jako vyjádření ČS (tedy klasická "novinářská zkratka").

Tam o platebních terminálech nic napsáno nevidím. Je tam řečeno jen to, že nefungovaly "platby kartou u obchodníků". A to může být klidně 3D secure brána pro platby přes Internet, což už by byla trochu jiná písnička.

Ale klidně mohlo dojít k zahlcení linky do ČS, a.s. jako takové a neprocházela ani data z platebních terminálů (ale tady bych tedy čekal jiný, na Internetovém připojení nezávislý, propoj).

"Zhruba od čtvrt na deset do půl jedenácté nám nefungovalo internetové bankovnictví a terminály u obchodníků." Mluvčí České spořitelny Kristýna Dolínek Havligerová v ČT 24 - viz zde: http://www.ceskatelevize.cz/porady/10101491767-studio-ct24/213411058060306/ (odpověď je v čase 15:20)

Bude zajímavé sledovat, co se stane, až někdo shodí ty aplikace státání správy co nemají na Internetu co dělat ale co tam přesto jsou (politici jim říkají aplikace fungující na bázi Internetu). Zastřelí se příslušný ministr? A nebo aspoň odostiupí?

Jinak k čemu proboha budou těm byrokratům z NBU nějaké údaje? :-)

K tomu aby mohli vopruzovat tech par nestastniku se zavirovanejma kompama.

To asi těžko, ten proud útoku tekl z ruské sítě. Pravděpodobně byly falšované zdrojové ip adresy. Proto se taky objevovaly informace, že jde útok z švýcarska, holandska, česka.. Skutečný zdroj by se dal dohledat pouze s pomocí té ruské sítě.

vida, insider. pokud jde o syn útok s falešnou ip, tak toho asi ve web(/proxy) logu moc nebude, co? anebo pozorovali jste tam včera cosi?

Samozřejmě nepozorovali. "weby" ve smyslu samotných webserverů, jely dál a obsluhovaly to co se k němu stihlo protlačit. Byla to čistě síťová věc. Počítám, že informace typu "přetížený web" nebo "mnoho požadavků na web" apod, co se objevovali a objevují ve zpravodajství jsou jen z toho důvodu, aby to pochopila většina uživatelů internetu. Ale s výkonem webserverů to nemělo co do činění. Reálný počet req/s na weby se prakticky nezměnil, jen se brutálně zvedla odezva po síti pro skutečné požadavky a tím pak způsobené případné connect/read timeouty... (prostě efekt klasického synfloodu)

.. co se pak tedy dá nabídnout státním orgánům - nějaké statistiky z balancéru?

Mno :) předpokládám, že tak si to asi představují.. aby jako bylo vidět, že proti tomu "bojují". Každopádně charakteristika útoku, prozatím zjištěné informace.. Jde o to jak to mohou oni použít. Možná využít na státní úrovni tak, že zavolají cojavim někam do jiného státu podobné instituci a zkusí touto formou vyvinout tlak na místní provozovatele zdrojových sítí. Ale to zrovnatak a asi i efektivněji dokážou udělat postižení standartními kanály.
Uvidíme až zítra padne něco dalšího (nebo taky ne). Jen doufám, že tato situace nebude zneužita k nějaké všeobjímající™ zázrakytvořící© státní regulaci - ve jménu - i kdyby to mělo zachránit jeden jediný lidský život®

S nejvetsi pravdepodobnosti k tomu nejen ze bude zneuzita, ale nelze zcela vyloucit ani tu moznost, ze za tim ucelem tato situace byla ucelove vytvorena.

Zavolat do jineho statu? Vzdyt statni instituce ani nema moznost zjistit, odkud dotycna data prichazeji. Mohou se to pokusit zjistit od lokalnich ISP, ale ti to take nevedi, ti jen vedi, kterym portem jim to do jejich site prichazi.

NBU žádá po postižených data, aby je mohl patřičně zaevidovat a založit.

CSIRT.CZ, to je nástupce CZERT.CZ?

Celkem by me zajimalo, jestli jde vyhradit na firewallu pasmo dle regionu, ze utoky vetsinou prichazeji z IP mimo CR. Napr, ze 89% by bylo vyhrazeno pro IP v CR, 10% z EU, 1% zbytek, tak by se zahltilo akorat prislusne pasmo

Podle me firewall kontroluje source IP a s tou umi pracovat, umi ji zaradit do jake geo lokace patri a tim ji muze i zakazat. Problem je, ze chodily source IP ze Svycar, Cech a ostatnich statu Evropy, takze vlastne neni poradne co zakazat....to odkud to jde pozna jen ISP, pac vi odkud mu ten provoz pritece

ISP samo pozna prd, protoze ISP ma 1,2 mozna 3 trubky, ale nevidi nikam dal. A pokud se budeme bavit o DDOSu, tak mu to potece ze vsech tech trubek +- rovnomerne, takze by leda moh odriznout komplet vsechno.

Hmm ... to by me zajimalo, ktery RFC rozsiruje IP protokol o poviny atribut AS ... Ja zil vzdycky v tom, ze ASko se dozvim pres BGPcko a tak maximalne vim, kterym smerem posilat ty pakety, ale rozhodne nemuzu vedet, odkud mi pakety prichazeji. Specielne ne kdyz maji podvrzeny src, ze ...

A jak poznate, odkud to prislo?

Podle IP rozsahu

možná jste to zatím nezaregistroval, ale tady se řešil i problém zfalšovaných zdrojových IP adres..

Jsem si toho vedom, ale dle medii pomohlo odstrizeni pristupu z cizich IP, tj z cech toho slo minimum

IP spoofing vam neco rika?

Jedná se o útoky permoníků

taky vám ten název "distributed _denial_ of service" přijde trochu přihlouplý?

Ne..

aha. tak nevím, asi jsem nějak přecitlivělý.. irituje mě ta představa, že útočník zamítá přístup ke službě, což může dělat leda poslytovatel té služby. útočník leda tak blokuje, sabotuje, ..

Další důvod, proč mu fandit.

možná nesestřelíš, ale lehce způsobíš, že každému ukousne lokální databáze v cukuletu pár GB navíc. velkou nevýhodou tohoto systému je jeho antianonymita..

Wut? Zajímalo by mě, jak konkrétně to uděláte. Pokud máte problém s velikostí blockchainu, použijete lightweight klienta/pruning.

Antianonymita? Spíše pseudonymita. A přece DEA nemá zatím šanci došlápnout si na silkroad. :-)

Ať to udělal kdokoliv výsledek bude jednoznačný. Velký Bratr se toho chopí, zpracuje vovce pomocí TV Hovna , že penízky nejsou v bezpečí, přidaj špetku dětskýho porna a už to hezka pojede...cenzura, prokazování totožnosti atd......přitom by stačilo aby ti pitomci v bankách důležité infrastruktury trochu líp ochránily.

dle vsech informaci za utokem stoji nova skupina CZert13 a za ni stojici Dominik Pantucek a Michal Medvecky ze spolecnosti Trustica, kteri nasledne nabizeji postizenym institucim zabezpeceni proti temto utokum.

anebo se tady právě někdo zhrzený snaží očernit svoji úspěšnou konkurenci a s útokem to nemá pranic společného?

beru zpět. něco na tom bude. je zajímavé, že trustica má zeregistrovánu doménu nckb.cz .. ale trustica jsou zřejmě odborníci na slovo vzatí: http://img849.imageshack.us/img849/5668/trusticanckbweb.png

toto je taky zajímavé a profesionální :) http://lists.trustica.cz/cgi-bin/mailman/listinfo/kokot

.. dostali naznačeno, že by si měli zamést před vlastním prahem, a dnes útoky ustaly. zajímavé..

vážený příteli na telefonu, podal jste tedy příslušný podnět, anebo jsou opravdu nějak propojeni a nemá to tedy smysl?

"Jak česká tak slovenská ČSOB mají podle SME své stránky na různých serverech v Belgii, kde sídlí jejich mateřská společnost KBC Group."

haha slovenske sme nedokaze zjistit kde lezi IP adresa :-) V Belgii ne

to mají v geopi databízi tedy pěkné boty..