Po týdnu útoků sympatizantů Anonymous na některé české weby se ozval národní bezpečnostní tým CSIRT, který od ledna minulého roku monitoruje a řeší „incidenty týkající se kybernetické bezpečnosti v sítích provozovaných v České republice“ (Wikipedie).
Národní CSIRT České republiky
CSIRT – Computer Security Incident Response Team je obecný název pro kybernetické bezpečnostní skupiny, které dnes mají všechny vyspělé země. Týmy CERT/CSIRT spolu mezinárodně spolupracují a koordinují své kroky. Národní CSIRT České republiky vznikl na sklonku roku 2010 na základě podpisu smlouvy mezi CZ.NIC, který je jeho koordinátorem, a Ministerstvem vnitra ČR.
CSIRT upozorňuje správce webových serverů, že aktuálním problémem České republiky není ani tak přehlcení internetové konektivity útočníky, ale zahlcení samotných serverů. Českých Anonymous není mnoho, pečlivě ale vybírají cíl útoku, kterým je zpravidla nějaký komplikovanější skript, který při častém volání (DoS) zahltí celý server, který poté nedokáže obhospodařovat další požadavky a stránka se jeví jako nedostupná.
Útočníci podle týmu CSIRT používají již známé programy LOIC, NOIC a také SLOWLORIS – outloně váhavého. Proti některým těmto nástrojům se přitom lze částečně bránit. Majitelé serverů s Apachem mohou nasadit například modul mod_noloris, který omezí počet připojení z jedné IP adresy. Dalším řešením je přejít na server NGINX, který je proti DoS útokům při správné konfiguraci významně odolnější.
Další funkční obranou je modul TARPIT pro iptables, tedy opět pro servery běžící na Linuxu. TARPIT zpomalí odpovědi serveru útočníkům. Pomoci by měly také moduly LIMIT a HASHLIMIT. Každý správce kritického serveru, který může být napaden, by měl také provést analýzu průniku pomocí nástroje NIkto2.
Suma sumárum, současná situace by mohla přinejmenším pomoci v lepším vzdělání některých správců webů, kteří si zpravidla vystačí s ¨výchozím nastavením Apache, IIS a dalších.
Více informací najdete ve zprávě CSIRT.