Český DDoS: dnes telekomunikační operátoři (průběžně aktualizováno)

Celý týden zaplavuje Česko vlna DDoS útoků. První z nich byl zaznamenán v pondělí kolem půl deváté ráno a záplavě provozu čelí stále další a další cíle. Už třetí den bojují různé služby a servery s dlouhými výpadky, které se tak dotkly prakticky každého českého uživatele. Od čtenářů zpravodajských serverů přes uživatele Seznamu až po zákazníky platící platebními kartami.

Jde o nejrozsáhlejší útok zaznamenaný v České republice. A to nejen svým rozsahem, ale i dobou trvání. Útoky běží už třetí den a po zvládnutí situace na jedné straně začne útok na úplně jiné cíle ze strany druhé. Společně si projdeme nejdůležitější události celého útoku.

Pondělí, 8:30, zpravodajské weby

První problémy byly zaznamenány v pondělí 4. března v 8:30, kdy se odmlčely velké zpravodajské servery. Pod útokem byly v prvním sledu servery Lidovky.cz, iDNES.cz, Deník.cz, Novinky.cz a iHned.cz. Servery iDNES.cz čelí útoku zvenčí, který je přetěžuje a způsobuje tak nedostupnost stránek. Cílem jsou i další české zpravodajské weby. Omlouváme se za komplikace, na odstranění potíží pracujeme, uvedli zástupci serveru iDNES.cz.

Problémy hlásil například také web hosting Active 24: V pondělí 4.3.2013. v době od 08:30 do 09:00 jsme čelili rozsáhlým distribuovaným DoS útokům vedeným proti webům našich zákazníků. To vedlo k přetížení hlavního firewallu a v důsledku tohoto došlo k nedostupnosti části služeb a naší zákaznické podpory. Proti útokům jsme okamžitě podnikli vhodná protiopatření.

Řešení problému komplikovalo zejména to, že část provozu (podle některých zdrojů všechen) pocházela z České republiky. Dříve byly DDoS útoky většinou vedeny ze zahraničí, stačilo zablokovat server před zahraničními uživateli. Tentokrát se zdá, že je vedený odněkud z Česka. Proto řešení není vůbec jednoduché, uvedli zástupci serveru iHned.cz.

Blokovat jednoduše zahraniční provoz, jako se to běžně dělá v jiných případech, tedy nestačilo. Provoz se valil skrze české IP adresy, takže odlišit útočící počítače od počítačů běžných uživatelů prakticky nemělo smysl.

Většina problémů pak byla vyřešena kolem pondělního poledne. Následovala ale další vlna útoků, především na weby Mladé fronty jako E15.cz či Živě.cz. Další vlna pak přišla v 15:30 a už fungující servery byly opět nedostupné. Během podvečera se situace stabilizovala a většina serverů už byla dostupná.

Úterý, 10:00, Seznam.cz

Následující den se terčem DDoS útoku stal server Seznam.cz. Podle techniků společnosti šlo o stejný útok, který den předtím pozorovali na serveru Novinky.cz. V tomto případě ale šlo o útok vedený ze zahraničních IP adres. Služby společnosti Seznam.cz se v dopoledních hodinách potýkaly s DDoS útokem (snaha uměle přetížit sítě, která vypadá, jako by se ke službám Seznamu přihlašovalo vysoké množství počítačů ze zahraničí najednou, čímž dojde k přetížení sítě a pro uživatele může služba krátkodobě vypadávat, nebo se déle načítat), zní oficiální vyjádření Seznamu.

Jelikož byl tento útok veden především ze zahraničí, technici se rozhodli odříznout zahraniční provoz. V současné chvíli došlo k odstřižení části přístupů na domovskou stánku Seznam.cz ze zahraničí. Naprostá většina českých uživatelů, kteří přistupují na Seznam.cz skrze peering NIX.CZ, by tak již v současné chvíli neměli mít žádné potíže, tvrdil Seznam.cz v půl dvanácté, kdy byl již provoz obnoven.

Kolem jedné hodiny byl pokusně zahraniční provoz obnoven a došlo k dalšímu DDoS útoku. Situace se postupně stabilizovala až v odpoledních hodinách.

Středa, 9:30, české banky

Další vlna útoků přišla následující den opět v dopoledních hodinách. Tentokrát byly zasaženy české banky: ČSOB, Komerční banka, Česká spořitelna, Raiffeisenbank a Fio banka. Nefungovaly veřejné informační stránky, internetové bankovnictví a nebylo možné dokonce ani platit u obchodníků.

Zhruba od čtvrt na deset do půl jedenácté nám nefungovalo internetové bankovnictví a terminály u obchodníků, potvrdila v České televizi mluvčí České spořitelny Kristýna Dolínek Havligerová. Sítě tedy byly pravděpodobně zatíženy tak, že nedokázaly přijímat ani informace od platebních terminálů. Výpadek naštěstí trval jen něco přes hodinu.

Podle národního bezpečnostního týmu CSIRT.CZ jsou jednotlivé složky v kontaktu a snaží se situaci řešit společně: V kontaktu jsme s pracovníky ČSOB, České spořitelny, GTS a samozřejmě s Národním bezpečnostním úřadem, konkrétně s Národním centrem kybernetické bezpečnosti. 

Na kritickou situaci reagoval Národní bezpečnostní úřad, který má na starosti vládní CERT tým. Jeho ředitel Dušan Navrátil požádal o spolupráci subjekty dotčené DDoS útokem: Již od pondělí čelí některé servery v České republice opakovaným útokům DDoS. Žádáme všechny dotčené subjekty, aby o těchto útocích informovaly buď Národní centrum kybernetické bezpečnosti v roli vládního CERT, nebo sdružení CZ.NIC jako národní CSIRT. Žádáme tímto o průběžné informování a aktivní spolupráci s výše uvedenými technickými týmy ze strany dotčených subjektů. Poskytnuté informace podrobíme analýze a případně budeme nápomocni při řešení problémů.

Čtěte: Vladimír Rohel, NCKB: nebudeme odposlouchávat ani vypínat internet

Další pokračování útoku přišlo po 14. hodině, kdy byly opět nedostupné služby České spořitelny. Dnes po 14. hodině jsme zaznamenali opětovný výpadek online služeb a máme dočasně nefunkční webové stránky, internetové bankovnictví a aplikace běžící přes internet, jako je e-commerce nebo platby kartou u obchodníků. Příčinou výpadku je stejně jako dopoledne vnější útok, který se netýkal jen České spořitelny, ale i jiných subjektů.

Čtvrtek, 9:00, mobilní operátoři

Útok se nezastavil ani ve čtvrtek a (opět) ráno byly napadeny weby českých mobilních operátorů. Problémy hlásily především O2 a T-Mobile. Útok trval přibližně hodinu, ale díky velké kapacitě operátorů se ho podařilo poměrně snadno zvládnout.

Potíže měly ale i další weby, i když na ně se přímo neútočilo. Využívají ale kapacity zmíněných operátorů, kteří byli útokem zasaženi. Šlo o web pražského dopravního podniku a registr vozidel.

CSIRT: malware už máme a zkoumáme ho

Českým expertům se už podařilo malware získat a nyní ho podrobují zkoumání. Dnes už máme k dispozici i ten malware, který je základem použitého botnetu a ve spolupráci s CSIRT.CZ jej zkoumáme, řekl nám Tomáš Hála z Active 24.

Podle jeho slov pochází také většina útoku ze zahraničních adres, což popírá původní domněnku, že jde o útok z Česka. Útok jde ze zahraničních (nejspíše falšovaných) adres, ale k nám teče přes český NIX, tudíž se to obtížněji filtruje od českého provozu. Je to proto, že v NIXu jsou i provideři, kteří tam propagují zahraniční prefixy, vysvětlil Hála.

Jak útok probíhal a jak se bránit?

Národní bezpečnostní tým CSIRT nám poskytl podrobné informace o tom, o jaký útok se konkrétně jednalo. Jedna se o útok typu SYN Flood, při kterém se používá podvržená IP adresa. Není tedy možné určit jednoznačný zdroj útoku. CSIRT týmy v zahraničí, o kterých víme, že mají zkušenosti s podobnými útoky, kontaktujeme, zatím za účelem ověření našich teorií a pro výměnu konkrétních zkušeností.

Podle členů národního bezpečnostního týmu CSIRT je obrana proti takovému útoku velmi složitá. Jeto dáno zejména tím, jak vypadá scénář takového DDoS útoku: Možných scénářů je více. Už zde byl zmíněn botnet, takže zůstaneme u něj – útočník se snaží ovládnout velké množství strojů, jako ideální nástroj mu v tomto pomůže worm či malware. Řada strojů se díky nim stane součástí botnetu, hlásí se na řídící servery, přes které dostávají příkazy, nákaza se rozšiřuje na další stroje a tak dále… Jakmile útočník ovládne dostatečné množství strojů, tzn. umístí na ně např. vhodně napsaný malware, začnou tyto stroje generovat provoz vůči zvolenému cíli útoku. Protože je útok veden z mnoha zdrojů (třeba z 5000 strojů), je těžké rozlišit korektní provoz od nekorektního a nasadit vhodnou obranu.

Obrana samozřejmě existuje, ale není možné ji aplikovat nijak plošně. Vždy je potřeba se přizpůsobit aktuální situaci. Způsoby obrany existují, ale obrana samotná jednoduchá není.. Možností a metod je mnoho – Load Balancery, Scrubbers aneb čističky provozu, kde se oddělí většina špatného provozu od dobrého, RTBH (remotely triggered black hole filtering), prefix-listy (omezení propagace AS), access-listy, firewally, aplikační firewally aj. Obvykle je potřeba nakombinovat a zřetězit více metod a to podle toho, jak útok probíhá, co je jeho cílem, jestli a jaké má charakteristické a dobře rozpoznatelné vlastnosti apod. Taková obrana ale stojí velké úsilí a především nemalé finanční prostředky. Velkou roli zde hraje také architektura sítě, použité prvky apod.

Důležitá je příprava a prevence. Především je nutné být na takovou situaci připravený a mít technologie, nástroje a postupy, jak jednotlivé prvky obrany nasadit – kde, kdy, proč a s jakým cílem. V případě útoku není možné teprve začít obranu vymýšlet, případně testovat konfiguraci, ale její rámec je nutné předem znát a ideálně vyzkoušet. Důležité také je obranu „nepřehnat“, protože ve výsledku může mít stejný efekt jako útok samotný (tzn. nedostupnost služby/sítě). A samozřejmě klíčová je role správce – jeho znalosti a zkušenosti rozhodují. 

Útoků přibývá, kdo bude další?

Podle týmu CSIRT.CZ podobných útoků přibývá. Může za to především velký rozmach botnetů a jejich komercionalizace. Vzestupný trend zde pozorujeme a to v souvislosti se vzrůstajícím trendem botnetů, které do útoků tohoto typu vnesly zcela nový rozměr – mnoho zdrojů útoku, jejich relativně snadné získání, distribuovanost, „management“ a podobně.

Klíčová otázka zní, kdo bude další? V internetových diskusích se hovoří o státní správě, telekomunikačních operátorech, velkých elektronických obchodech či kritické infrastruktuře českého internetu.

Jak nám potvrdil tým CSIRT, nebezpečí stále hrozí a klíčové společnosti se mají na pozoru. Situace vyžaduje pozornost všech správců sítí, takže na pozoru je řada velkých a důležitých společnosti, které zacházejí s citlivými daty a informacemi. CSIRT.CZ je připraven na základě oslovení zprostředkovat spolupráci s ostatními napadenými a umožnit jim výměnu informací.

Mohlo by dojít i k útoku na DNS servery domény .CZ. Podle slov správce domény, organizace CZ.NIC krizové plány existují, ale nemohou být zveřejněny.S takovouto situací samozřejmě v našich krizových plánech počítáme, serverů zajišťujících provoz domény .CZ je pochopitelně více a nacházejí se na různých místech po celém světě. Podrobnější informace však ze strategických důvodů poskytnout nemůžeme.

CZ.NIC: jsme na případný útok připravení

Oficiální stanovisko nám zaslalo i sdružení CZ.NIC, které je správcem domény .CZ a mohlo by tak být cílem dalšího útoku. Podle svých slov je ale na celou věc organizace dobře připravena.

Sdružení CZ.NIC spravující národní doménu .CZ si uvědomuje, že může být jedním z cílů dalších útoků, které od začátku tohoto týdne míří na společnosti v České republice (média, banky atd.). Díky robustnosti celého systému, který sdružení CZ.NIC využívá, je nepravděpodobné, že by mohlo v případě útoku dojít k jeho vyřazení z provozu. Takový útok by musel být velice silný a sofistikovaný. Bezpečnostní tým CZ.NIC také připravil efektivní nástroj, který může správcům sítí a serverů pomoci s otestováním odolnosti jejich infrastruktury, stojí v prohlášení.

Své stanovisko nám zaslal také Ondřej Filip, ředitel CZ.NIC. První část našeho systému představuje registrační systém, s nímž pracují pouze registrátoři domén. Ten je nasazen ve dvou zcela oddělených lokalitách, které mají veškerá síťová propojení pomocí dvou nezávislých tras. Obě lokality mají také vlastní nezávislé připojení, a to jak do dvou uzlů peeringového centra NIX.CZ, tak do zahraničí a to protokolem IPv4 a IPv6, uvedl Ondřej Filip.

Druhou součástí systému jsou potom samotné DNS servery, které slouží k propagování informací o doménových jménech. Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.