Rusko | Kyberválka

Nandali jste to Putinovi? Rusko zveřejnilo IP adresy, které se zapojily do obřího DDoS. Možná je tam i ta vaše

  • Zapojte se do útoků, lákají lidé na Twitteru
  • Mnohé weby Moskvy skutečně nejedou ani v Rusku
  • Pozor na podvodníky, toto je příležitost pro phishing

Oživeno v 16:14: Podívali jsme se na seznam IP adres (GitHub, TXT) a porovnali jej s rozsahy IP adres českých operátorů (GitHub, CSV, vygenerováno odtud).

Narazili jsme na 137 českých IP adres. Jejich seznam zde samozřejmě zveřejňovat nebudeme, ale patří těmto operátorům:

Klepněte pro větší obrázek
České IP adresy detekované Ruskem podle operátorů

Výčet není v žádném případě kompletní, takže se i ze strany ruských úřadů jedná nejspíše jen o výřez dat – možná o ty nejúspěšnější (pro Rusko nejnebezpečnější?) útočníky, kteří se dostali na blacklist.

Oživeno: Ruské úřady zveřejnily seznam refererů/domén, ze kterých se útočilo na tamní weby a také IP adresy útočníků. Výčet domén je ještě relativně krátký a figurují v něm i dvě české: peliskovi.cz a kuzelovi.cz, na kterých běžela česká verze DoS skriptu (viz článek níže).

Klepněte pro větší obrázekKlepněte pro větší obrázek
Seznamy domén/HTTP refererů a IP adres, ze kterých se podle Ruska útočilo

Seznam IP, ze kterých se útočilo, je pak pochopitelně mnohonásobně delší a čítá více než 17 tisíc adres, byť u masivního a globálního DDoS by mohl být ještě mnohem delší. Na stranu druhou, bude se jednat i o adresy různých NATů/proxy, takže nemusí vyjadřovat absolutní počet útočících strojů.


Poslední týden je naprosto bezprecedentní. Z Twitteru se stal živý proud informací z bojiště (nutno podotknout, že se také výrazně snížila laťka standardu ověřování zpráv), a jelikož žijeme v éře demokratizace technologií, ruku k dílu mohl připojit každý z nás a zapojit se do boje.

Sice to neznamená, že budeme pomocí stingerů shazovat ruské vrtulníky, ale z mnoha tweetů na nás křičí zpráva: „Otevři v prohlížeči tuhle adresu a zapoj se do masového útoku DDoS, který nemá v historii obdoby!“

Podívejte se na ruský Downdetector, jak si teď stojí tamní weby

Tou první adresou byl nejspíše skript vug.pl/takeRussiaDown.html, pak přibyla jeho lokalizovaná verze kuzelovi.cz/FuckPutin.html a vznikají další a další zrcadla, i když mnohá z nich mají nakonec docela jepičí život. Třeba takový norussian.tk, který se už také odmlčel.

Klepněte pro větší obrázek
Pokus o HTTP DoS a chybové zprávy, že se nedá spojit s cílovými servery 

Položil jsem ruský web, anebo mě jen zablokoval jeho firewall?

DDoS, tedy plným názvem Distributed Denial of Service, je v tomto případě realizovaný tak, že se váš prohlížeč začne v nekonečné smyčce stále dokola připojovat na desítky ruských webů ze seznamu s jasným cílem je zahltit.

Stejně zahltit, jako by si celé Česko v jeden okamžik spustilo náš pořad Týden Živě. To by nás sice potěšilo, ale nejspíše jen po dobu prvních deseti sekund, než se naše streamovací servery zhroutí pod náporem neobvyklého zájmu. Ostatně, v minulosti se to během olympijských her stalo i tehdy poddimenzované České televizi.

Program Logstalgia a starší vizualizace HTTP požadavků létajících mezi klienty (vlevo) a serverem (vpravo). Kdybychom měli klientů ještě o řád více a zrychlili jejich aktivitu, můžeme vytvořit DDoS:

Prosté otevírání spojení se vzdálenými servery je ale poměrně primitivní a zvláště ty větší na to myslí a používají nejrůznější cache, technologie pro vyrovnání zátěže a firewally, které při zjištění podezřelé aktivity z konkrétního počítače jednoduše na nějaký čas zablokují jeho IP adresu a v klidu jedou dál.

Z tohoto úhlu pohledu není jednoduché ověřit, jestli má takový útok vlastně nějaký smysl, ukončení spojení ze strany oběti totiž ještě nemusí znamenat, že jste opravdu položili web Gazpromu, ale že vás třeba jen zablokoval jeho nadřazený firewall.

Klepněte pro větší obrázek
Stránky Kremlu se stahují i z Česka, ale extrémně pomalu 

Pokud by však byl útok opravdu masivní – geograficky dostatečně distribuovaný ze všech možných končin světa – banování jednotlivých IP adres nebo dokonce celých oblastí ztrácí smysl a oběť spíše počká, až to útočníky přestane bavit. Až vypnou své domácí počítače. Ostatně, ani samotný útok není zadarmo a solidně vytíží váš procesor.

Klepněte pro větší obrázek
Při úspěšném navázání spojení dochází k zajímavých přesměrováním. Reaguje tak nějaký firewall/vyrovnávací server? Je to možné

Funguje to? Pomůže tunel do Moskvy

Pokud jste se také zapojili, vaše domácí mašina právě teď zvesela útočí a vy v druhém okně ověřujete, že ruská webová stránka ze seznamu skutečně nereaguje. Nicméně z výše popsaných důvodů se vyplatí zkontrolovat reálné bojiště.

Klepněte pro větší obrázek
Tunel do Moskvy pomocí VPN od Avastu

Letadla do Moskvy momentálně z Evropy prakticky nelétají, takže se musíte na Rudé náměstí teleportovat alespoň virtuálně a zkusit dostupnost cílového webu přímo z hlavního města ruské federace. Pomůže některé z věrohodných anonymizačních VPN, které má v nabídce i tamní adresy IP.

Umí to třeba placený Avast SecureLine VPN, který ale nabízí bez jakékoliv registrace a vyplňování platebních údajů první týden zdarma. V nabídce má koncové body v Petrohradě a Moskvě. Pět set megabajtů zdarma a možnost připojit se v Rusku dává také nástroj OpenFreedom.

Gazprom.ru mlčí i v Rusku, Kreml asi také

Mnohé prohlížečové DDoS útočí na již zmíněný Gazprom a jeho ruskou doménu gazprom.ru, která skutečně mlčí i při pokusu o její návštěvu z moskevské IP.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Gazprom.ru neodpovídá ani z Prahy, ani z Moskvy

Jenže nejrůznějších hackerských operací nyní probíhají tucty, Anonymous vyzývá k dalším, takže – ruku na srdce – nelze spolehlivě ověřit, jestli web přetížily podobné prohlížečové skripty, nějaký mnohem sofistikovanější útok, anebo je důvodem něco úplně jiného.

Nesmíme zapomínat ani na to, že na weby moskevského režimu jistě útočí i mnozí Rusové, takže nejde jen o datový tok z vnějšího světa, ale i o ten domácí.

Klepněte pro větší obrázek
Webové stránky Kremlu se s moskevskou IP také načítají žalostně pomalu. Jednou se to podaří, podruhé ne

Do třetice je tu ještě jeden otazník. Tunel do Moskvy skrze VPN nám sice dá tamní IP adresu, jenže na ruské weby přistupujeme z některého z datových center a nikoliv jako prostí obyvatelé skrze běžného poskytovatele internetu na poslední míli a jeho DNS. Pouze se jim snažíme alespoň trošku přiblížit.

Reálný odhad situace je proto opravdu složitý a skutečný rozsah útoku v tuto chvíli znají jen ajťáci z Kremlu. Všechny zprávy bychom měli v dnešní třaskavé době brát s určitou profesní rezervou a to včetně těch, které aktuálně ladí našim srdcím.

Drahoušek zákazník, zničíme Putina

Důležité je přitom ověřovat nejen zprávy, ale přinejmenším s elementární nedůvěrou přistupovat i k podobným skriptům. Troufám si totiž tvrdit, že je jen otázkou času, kdy se na scéně vyrojí hromada podvodných phishingových stránek typu: „Drahoušek, zákazník, pojďme útočit na Rusko rychle a levně! Klikni na tento odkaz!

Mějte na paměti, že podobné weby mohou začít dříve či později provádět i něco jiného. Kdybych byl představitelem ruského státu, vypustím na Twitter tucet zdánlivě identických stránek, které by vedle několika ruských klamných cílů útočily i na servery v Evropě a USA. Anebo bych je rovnou zaplnil malwarem a těžebními skripty, což by bylo koneckonců asi mnohem praktičtější.

Jelikož je v těchto dnech naše obezřetnost v tomto směru poněkud nalomena a mnozí klepneme téměř na cokoliv, abychom to Putinovi trošku nandali, ta příležitost pro malware nebyla nikdy lepší.

Komunitní DoSy mají bohatou historii 

Jednoduché masivní DoSy skrze web, nebo aplikaci nejsou ničím novým. Naši věrní čtenáři si jistě pamatují na akci Operation Payback z roku 2010, ve které komunita Anonymous podobným způsobem útočila na západní služby, které se tehdy postavily proti Wikileaks.

Klepněte pro větší obrázek
Javascriptový DoS z roku 2010

Zatímco ve webových prohlížečích se kvůli jejich aplikačnímu omezení používal opět primitivní Javascript, který v nekonečné smyčce stále dokola načítal stránky, obrázky a další obsah z amerických federálních webů, specializované (ale z hlediska UX naprosto blbuvzdorné) aplikace jako třeba LOIC se snažily cíl zahltit také UDP a TCP pakety na nižší úrovni.

Klepněte pro větší obrázek
Program LOIC pro HTTP/TCP/UDP DoS

Obecně vzato, sofistikovanější útoky nemusí potřebovat tolik hrubé síly, protože se snaží vyvolat DoS skrze nějakou známou zranitelnost v systému. Třeba takovou, která při určitém speciálním požadavku zablokuje na delší čas procesor, takže ke zhroucení systému stačí mnohem méně reálných spojení než v případě javascriptového kobercového náletu.

Učebnicový SYN flood

Učebnicovým typem staršího DoS je třeba tzv. SYN flood. V tomto případě útočník upraví podobu TCP handshaku (doslova podání rukou), tedy výměny úvodních informací při navazování spojení mezi klientem a serverem.

Klepněte pro větší obrázek
DoS pomocí otevírání TCP spojení skrze nevalidní handshake

Základní princip útoku popisuje obrázek výše. Obrazně si můžeme standardní handshake představit tak, že potkáte kamaráda a než spolu zajdete na pivo, chcete si ze slušnosti podat ruce. Natáhnete pravici (SYNchronizace), on také (SYN-ACK), zatřepete (ACKnowledgment) a spojení je navázáno.

Když ale na kamaráda provedete DoS typu SYN flood, bude to celé vypadat trošku jinak. Opět natáhnete pravici, kamarád také, ale vy pravici náhle schováte do kapsyKamarád je zmatený a spaluje drahocenné milisekundy CPU.

Když toto kolečko budete provádět stále dokola na špatně zabezpečeném systému, režie vašeho DoS bude relativně malá – budete jen natahovat ruku –, ale váš kamarád – server oběti – spálí mnohem více procesorové energie.

Diskuze (60) Další článek: Předplatné Microsoft 365 je dražší, ale vás se to nejspíš nedotkne

Témata článku: Bezpečnost, Web, Twitter, USA, Anonymous, Hacking, Evropa, Ukrajina, Rusko, VPN, Praha, WikiLeaks, Firewall, Avast, Kyberválka, Olympijské hry, SYN-ACK, Pravice, Kreml, Gazprom, Spojení, Česká republika, LOIC, Ruský web, Petrohrad



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Chytrý prsten Oura ve speciální edici Gucci. Je doplněný zlatem a stojí jako smartphone

Chytrý prsten Oura ve speciální edici Gucci. Je doplněný zlatem a stojí jako smartphone

** Chytré dnes nemusí být jen hodinky, ale třeba i prstýnky ** A ještě lépe, když se celek spojí se světoznámou značkou ** Zlatý prsten Oura od Gucciho stojí jako špičkový smartphone

Martin Chroust
Chytrý prstenZlatoLimitovaná edice
Velký srovnávací test herních klávesnic. Použitelnou seženete pod tisíc, nejlepší stojí 4× tolik

Velký srovnávací test herních klávesnic. Použitelnou seženete pod tisíc, nejlepší stojí 4× tolik

Mechanické klávesnice nejsou jen doménou hráčů. S klesajícími cenami si je můžete pořídit i jako spolehlivé a pohodlné pracovní modely. Otestovali jsme jich hned osm v cenovém rozpětí 1 000–3 500 Kč.

Stanislav Janů
Srovnávací testGamingKlávesnice
Druhotné softwarové licence. Kdo by nechtěl legální Windows za stovku…

Druhotné softwarové licence. Kdo by nechtěl legální Windows za stovku…

Koupě originálního programového vybavení přímo od výrobce není jedinou možností, jak sehnat pro váš počítač legální software. Další možností je koupit licenci od toho, kdo ji už nepotřebuje nebo nevyužije. Můžete ušetřit nemalou částku, zároveň si však dávejte pozor na podvodníky.

Jan Spěšný
Jak promítnout displej telefonu na počítač s Windows 10

Jak promítnout displej telefonu na počítač s Windows 10

Chcete jednoduše ukázat známým fotky z dovolené a displej vašeho telefonu vám přijde malý? Promítněte si jej na obrazovku počítače, bez nutnosti kopírování nebo připojení přes kabel.

Jan Spěšný
SmartphoneWindows 10Android
18 tipů a triků pro WhatsApp, které možná neznáte

18 tipů a triků pro WhatsApp, které možná neznáte

** WhatsApp je jedna z nejrozšířenějších komunikačních aplikací ** Obsahuje mnoho skrytých funkcí, které vylepší používání ** Zde najdete tipy na ty nejužitečnější

Adam Kos
WhatsAppTipy a triky
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Marek Čech
Filmy, které musíte vidět