Rusko | Kyberválka

Nandali jste to Putinovi? Rusko zveřejnilo IP adresy, které se zapojily do obřího DDoS. Možná je tam i ta vaše

  • Zapojte se do útoků, lákají lidé na Twitteru
  • Mnohé weby Moskvy skutečně nejedou ani v Rusku
  • Pozor na podvodníky, toto je příležitost pro phishing

Oživeno v 16:14: Podívali jsme se na seznam IP adres (GitHub, TXT) a porovnali jej s rozsahy IP adres českých operátorů (GitHub, CSV, vygenerováno odtud).

Narazili jsme na 137 českých IP adres. Jejich seznam zde samozřejmě zveřejňovat nebudeme, ale patří těmto operátorům:

Klepněte pro větší obrázek
České IP adresy detekované Ruskem podle operátorů

Výčet není v žádném případě kompletní, takže se i ze strany ruských úřadů jedná nejspíše jen o výřez dat – možná o ty nejúspěšnější (pro Rusko nejnebezpečnější?) útočníky, kteří se dostali na blacklist.

Oživeno: Ruské úřady zveřejnily seznam refererů/domén, ze kterých se útočilo na tamní weby a také IP adresy útočníků. Výčet domén je ještě relativně krátký a figurují v něm i dvě české: peliskovi.cz a kuzelovi.cz, na kterých běžela česká verze DoS skriptu (viz článek níže).

Klepněte pro větší obrázekKlepněte pro větší obrázek
Seznamy domén/HTTP refererů a IP adres, ze kterých se podle Ruska útočilo

Seznam IP, ze kterých se útočilo, je pak pochopitelně mnohonásobně delší a čítá více než 17 tisíc adres, byť u masivního a globálního DDoS by mohl být ještě mnohem delší. Na stranu druhou, bude se jednat i o adresy různých NATů/proxy, takže nemusí vyjadřovat absolutní počet útočících strojů.


Poslední týden je naprosto bezprecedentní. Z Twitteru se stal živý proud informací z bojiště (nutno podotknout, že se také výrazně snížila laťka standardu ověřování zpráv), a jelikož žijeme v éře demokratizace technologií, ruku k dílu mohl připojit každý z nás a zapojit se do boje.

Sice to neznamená, že budeme pomocí stingerů shazovat ruské vrtulníky, ale z mnoha tweetů na nás křičí zpráva: „Otevři v prohlížeči tuhle adresu a zapoj se do masového útoku DDoS, který nemá v historii obdoby!“

Podívejte se na ruský Downdetector, jak si teď stojí tamní weby

Tou první adresou byl nejspíše skript vug.pl/takeRussiaDown.html, pak přibyla jeho lokalizovaná verze kuzelovi.cz/FuckPutin.html a vznikají další a další zrcadla, i když mnohá z nich mají nakonec docela jepičí život. Třeba takový norussian.tk, který se už také odmlčel.

Klepněte pro větší obrázek
Pokus o HTTP DoS a chybové zprávy, že se nedá spojit s cílovými servery 

Položil jsem ruský web, anebo mě jen zablokoval jeho firewall?

DDoS, tedy plným názvem Distributed Denial of Service, je v tomto případě realizovaný tak, že se váš prohlížeč začne v nekonečné smyčce stále dokola připojovat na desítky ruských webů ze seznamu s jasným cílem je zahltit.

Stejně zahltit, jako by si celé Česko v jeden okamžik spustilo náš pořad Týden Živě. To by nás sice potěšilo, ale nejspíše jen po dobu prvních deseti sekund, než se naše streamovací servery zhroutí pod náporem neobvyklého zájmu. Ostatně, v minulosti se to během olympijských her stalo i tehdy poddimenzované České televizi.

Program Logstalgia a starší vizualizace HTTP požadavků létajících mezi klienty (vlevo) a serverem (vpravo). Kdybychom měli klientů ještě o řád více a zrychlili jejich aktivitu, můžeme vytvořit DDoS:

Prosté otevírání spojení se vzdálenými servery je ale poměrně primitivní a zvláště ty větší na to myslí a používají nejrůznější cache, technologie pro vyrovnání zátěže a firewally, které při zjištění podezřelé aktivity z konkrétního počítače jednoduše na nějaký čas zablokují jeho IP adresu a v klidu jedou dál.

Z tohoto úhlu pohledu není jednoduché ověřit, jestli má takový útok vlastně nějaký smysl, ukončení spojení ze strany oběti totiž ještě nemusí znamenat, že jste opravdu položili web Gazpromu, ale že vás třeba jen zablokoval jeho nadřazený firewall.

Klepněte pro větší obrázek
Stránky Kremlu se stahují i z Česka, ale extrémně pomalu 

Pokud by však byl útok opravdu masivní – geograficky dostatečně distribuovaný ze všech možných končin světa – banování jednotlivých IP adres nebo dokonce celých oblastí ztrácí smysl a oběť spíše počká, až to útočníky přestane bavit. Až vypnou své domácí počítače. Ostatně, ani samotný útok není zadarmo a solidně vytíží váš procesor.

Klepněte pro větší obrázek
Při úspěšném navázání spojení dochází k zajímavých přesměrováním. Reaguje tak nějaký firewall/vyrovnávací server? Je to možné

Funguje to? Pomůže tunel do Moskvy

Pokud jste se také zapojili, vaše domácí mašina právě teď zvesela útočí a vy v druhém okně ověřujete, že ruská webová stránka ze seznamu skutečně nereaguje. Nicméně z výše popsaných důvodů se vyplatí zkontrolovat reálné bojiště.

Klepněte pro větší obrázek
Tunel do Moskvy pomocí VPN od Avastu

Letadla do Moskvy momentálně z Evropy prakticky nelétají, takže se musíte na Rudé náměstí teleportovat alespoň virtuálně a zkusit dostupnost cílového webu přímo z hlavního města ruské federace. Pomůže některé z věrohodných anonymizačních VPN, které má v nabídce i tamní adresy IP.

Umí to třeba placený Avast SecureLine VPN, který ale nabízí bez jakékoliv registrace a vyplňování platebních údajů první týden zdarma. V nabídce má koncové body v Petrohradě a Moskvě. Pět set megabajtů zdarma a možnost připojit se v Rusku dává také nástroj OpenFreedom.

Gazprom.ru mlčí i v Rusku, Kreml asi také

Mnohé prohlížečové DDoS útočí na již zmíněný Gazprom a jeho ruskou doménu gazprom.ru, která skutečně mlčí i při pokusu o její návštěvu z moskevské IP.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Gazprom.ru neodpovídá ani z Prahy, ani z Moskvy

Jenže nejrůznějších hackerských operací nyní probíhají tucty, Anonymous vyzývá k dalším, takže – ruku na srdce – nelze spolehlivě ověřit, jestli web přetížily podobné prohlížečové skripty, nějaký mnohem sofistikovanější útok, anebo je důvodem něco úplně jiného.

Nesmíme zapomínat ani na to, že na weby moskevského režimu jistě útočí i mnozí Rusové, takže nejde jen o datový tok z vnějšího světa, ale i o ten domácí.

Klepněte pro větší obrázek
Webové stránky Kremlu se s moskevskou IP také načítají žalostně pomalu. Jednou se to podaří, podruhé ne

Do třetice je tu ještě jeden otazník. Tunel do Moskvy skrze VPN nám sice dá tamní IP adresu, jenže na ruské weby přistupujeme z některého z datových center a nikoliv jako prostí obyvatelé skrze běžného poskytovatele internetu na poslední míli a jeho DNS. Pouze se jim snažíme alespoň trošku přiblížit.

Reálný odhad situace je proto opravdu složitý a skutečný rozsah útoku v tuto chvíli znají jen ajťáci z Kremlu. Všechny zprávy bychom měli v dnešní třaskavé době brát s určitou profesní rezervou a to včetně těch, které aktuálně ladí našim srdcím.

Drahoušek zákazník, zničíme Putina

Důležité je přitom ověřovat nejen zprávy, ale přinejmenším s elementární nedůvěrou přistupovat i k podobným skriptům. Troufám si totiž tvrdit, že je jen otázkou času, kdy se na scéně vyrojí hromada podvodných phishingových stránek typu: „Drahoušek, zákazník, pojďme útočit na Rusko rychle a levně! Klikni na tento odkaz!

Mějte na paměti, že podobné weby mohou začít dříve či později provádět i něco jiného. Kdybych byl představitelem ruského státu, vypustím na Twitter tucet zdánlivě identických stránek, které by vedle několika ruských klamných cílů útočily i na servery v Evropě a USA. Anebo bych je rovnou zaplnil malwarem a těžebními skripty, což by bylo koneckonců asi mnohem praktičtější.

Jelikož je v těchto dnech naše obezřetnost v tomto směru poněkud nalomena a mnozí klepneme téměř na cokoliv, abychom to Putinovi trošku nandali, ta příležitost pro malware nebyla nikdy lepší.

Komunitní DoSy mají bohatou historii 

Jednoduché masivní DoSy skrze web, nebo aplikaci nejsou ničím novým. Naši věrní čtenáři si jistě pamatují na akci Operation Payback z roku 2010, ve které komunita Anonymous podobným způsobem útočila na západní služby, které se tehdy postavily proti Wikileaks.

Klepněte pro větší obrázek
Javascriptový DoS z roku 2010

Zatímco ve webových prohlížečích se kvůli jejich aplikačnímu omezení používal opět primitivní Javascript, který v nekonečné smyčce stále dokola načítal stránky, obrázky a další obsah z amerických federálních webů, specializované (ale z hlediska UX naprosto blbuvzdorné) aplikace jako třeba LOIC se snažily cíl zahltit také UDP a TCP pakety na nižší úrovni.

Klepněte pro větší obrázek
Program LOIC pro HTTP/TCP/UDP DoS

Obecně vzato, sofistikovanější útoky nemusí potřebovat tolik hrubé síly, protože se snaží vyvolat DoS skrze nějakou známou zranitelnost v systému. Třeba takovou, která při určitém speciálním požadavku zablokuje na delší čas procesor, takže ke zhroucení systému stačí mnohem méně reálných spojení než v případě javascriptového kobercového náletu.

Učebnicový SYN flood

Učebnicovým typem staršího DoS je třeba tzv. SYN flood. V tomto případě útočník upraví podobu TCP handshaku (doslova podání rukou), tedy výměny úvodních informací při navazování spojení mezi klientem a serverem.

Klepněte pro větší obrázek
DoS pomocí otevírání TCP spojení skrze nevalidní handshake

Základní princip útoku popisuje obrázek výše. Obrazně si můžeme standardní handshake představit tak, že potkáte kamaráda a než spolu zajdete na pivo, chcete si ze slušnosti podat ruce. Natáhnete pravici (SYNchronizace), on také (SYN-ACK), zatřepete (ACKnowledgment) a spojení je navázáno.

Když ale na kamaráda provedete DoS typu SYN flood, bude to celé vypadat trošku jinak. Opět natáhnete pravici, kamarád také, ale vy pravici náhle schováte do kapsyKamarád je zmatený a spaluje drahocenné milisekundy CPU.

Když toto kolečko budete provádět stále dokola na špatně zabezpečeném systému, režie vašeho DoS bude relativně malá – budete jen natahovat ruku –, ale váš kamarád – server oběti – spálí mnohem více procesorové energie.

Diskuze (60) Další článek: Předplatné Microsoft 365 je dražší, ale vás se to nejspíš nedotkne

Témata článku: Bezpečnost, Web, Twitter, USA, Anonymous, Rusko, Hacking, Evropa, VPN, Ukrajina, Praha, Firewall, WikiLeaks, Avast, Olympijské hry, Kyberválka, LOIC, Česká republika, Ruský web, Česká televize, Pravice, Gazprom, Moskva, DOS, Spojení



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

** Patentové spory většinou ústí k tomu, že jedna z firem zaplatí ** Oppo ani OnePlus však nechtějí platit 2,50 EUR za každý telefon ** Firmy už v Německu nesní prodávat, a to může platit i o dalších trzích

Martin Chroust
NěmeckoPatentSmartphony
Vybíráme nejlepší fotomobily současnosti. Dobře mohou fotit i telefony za 6 tisíc

Vybíráme nejlepší fotomobily současnosti. Dobře mohou fotit i telefony za 6 tisíc

** Smartphony válcují nejen levné, ale už i pokročilé kompakty ** Vlajkové modely jsou skoro jistota, dobře fotí ale i levnější přístroje ** Po kterých fotomobilech byste měli aktuálně sáhnout?

Jan Pánek
FotomobilyVýběry
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware