Rusko | Kyberválka

Nandali jste to Putinovi? Rusko zveřejnilo IP adresy, které se zapojily do obřího DDoS. Možná je tam i ta vaše

  • Zapojte se do útoků, lákají lidé na Twitteru
  • Mnohé weby Moskvy skutečně nejedou ani v Rusku
  • Pozor na podvodníky, toto je příležitost pro phishing

Oživeno v 16:14: Podívali jsme se na seznam IP adres (GitHub, TXT) a porovnali jej s rozsahy IP adres českých operátorů (GitHub, CSV, vygenerováno odtud).

Narazili jsme na 137 českých IP adres. Jejich seznam zde samozřejmě zveřejňovat nebudeme, ale patří těmto operátorům:

fdabc4fa-cea4-4927-9bf4-58c1cd313184
České IP adresy detekované Ruskem podle operátorů

Výčet není v žádném případě kompletní, takže se i ze strany ruských úřadů jedná nejspíše jen o výřez dat – možná o ty nejúspěšnější (pro Rusko nejnebezpečnější?) útočníky, kteří se dostali na blacklist.

Oživeno: Ruské úřady zveřejnily seznam refererů/domén, ze kterých se útočilo na tamní weby a také IP adresy útočníků. Výčet domén je ještě relativně krátký a figurují v něm i dvě české: peliskovi.cz a kuzelovi.cz, na kterých běžela česká verze DoS skriptu (viz článek níže).

8077af2f-d6bb-4f5f-8337-c25aee1352d62d8f51ee-1b9c-4ad0-b3fd-7a48e69cd6ac
Seznamy domén/HTTP refererů a IP adres, ze kterých se podle Ruska útočilo

Seznam IP, ze kterých se útočilo, je pak pochopitelně mnohonásobně delší a čítá více než 17 tisíc adres, byť u masivního a globálního DDoS by mohl být ještě mnohem delší. Na stranu druhou, bude se jednat i o adresy různých NATů/proxy, takže nemusí vyjadřovat absolutní počet útočících strojů.


Poslední týden je naprosto bezprecedentní. Z Twitteru se stal živý proud informací z bojiště (nutno podotknout, že se také výrazně snížila laťka standardu ověřování zpráv), a jelikož žijeme v éře demokratizace technologií, ruku k dílu mohl připojit každý z nás a zapojit se do boje.

Sice to neznamená, že budeme pomocí stingerů shazovat ruské vrtulníky, ale z mnoha tweetů na nás křičí zpráva: „Otevři v prohlížeči tuhle adresu a zapoj se do masového útoku DDoS, který nemá v historii obdoby!“

Podívejte se na ruský Downdetector, jak si teď stojí tamní weby

Tou první adresou byl nejspíše skript vug.pl/takeRussiaDown.html, pak přibyla jeho lokalizovaná verze kuzelovi.cz/FuckPutin.html a vznikají další a další zrcadla, i když mnohá z nich mají nakonec docela jepičí život. Třeba takový norussian.tk, který se už také odmlčel.

3df51bf7-6a5d-4a14-95da-e061ebd3bf52
Pokus o HTTP DoS a chybové zprávy, že se nedá spojit s cílovými servery 

Položil jsem ruský web, anebo mě jen zablokoval jeho firewall?

DDoS, tedy plným názvem Distributed Denial of Service, je v tomto případě realizovaný tak, že se váš prohlížeč začne v nekonečné smyčce stále dokola připojovat na desítky ruských webů ze seznamu s jasným cílem je zahltit.

Stejně zahltit, jako by si celé Česko v jeden okamžik spustilo náš pořad Týden Živě. To by nás sice potěšilo, ale nejspíše jen po dobu prvních deseti sekund, než se naše streamovací servery zhroutí pod náporem neobvyklého zájmu. Ostatně, v minulosti se to během olympijských her stalo i tehdy poddimenzované České televizi.

Program Logstalgia a starší vizualizace HTTP požadavků létajících mezi klienty (vlevo) a serverem (vpravo). Kdybychom měli klientů ještě o řád více a zrychlili jejich aktivitu, můžeme vytvořit DDoS:

Prosté otevírání spojení se vzdálenými servery je ale poměrně primitivní a zvláště ty větší na to myslí a používají nejrůznější cache, technologie pro vyrovnání zátěže a firewally, které při zjištění podezřelé aktivity z konkrétního počítače jednoduše na nějaký čas zablokují jeho IP adresu a v klidu jedou dál.

Z tohoto úhlu pohledu není jednoduché ověřit, jestli má takový útok vlastně nějaký smysl, ukončení spojení ze strany oběti totiž ještě nemusí znamenat, že jste opravdu položili web Gazpromu, ale že vás třeba jen zablokoval jeho nadřazený firewall.

88fc192b-10f1-4d10-b754-040a78ddc253
Stránky Kremlu se stahují i z Česka, ale extrémně pomalu 

Pokud by však byl útok opravdu masivní – geograficky dostatečně distribuovaný ze všech možných končin světa – banování jednotlivých IP adres nebo dokonce celých oblastí ztrácí smysl a oběť spíše počká, až to útočníky přestane bavit. Až vypnou své domácí počítače. Ostatně, ani samotný útok není zadarmo a solidně vytíží váš procesor.

abb51308-64f1-45b4-b7f7-7de2e06d4242
Při úspěšném navázání spojení dochází k zajímavých přesměrováním. Reaguje tak nějaký firewall/vyrovnávací server? Je to možné

Funguje to? Pomůže tunel do Moskvy

Pokud jste se také zapojili, vaše domácí mašina právě teď zvesela útočí a vy v druhém okně ověřujete, že ruská webová stránka ze seznamu skutečně nereaguje. Nicméně z výše popsaných důvodů se vyplatí zkontrolovat reálné bojiště.

6ca5bd04-7b14-41cd-89fe-0a40f8320dd9
Tunel do Moskvy pomocí VPN od Avastu

Letadla do Moskvy momentálně z Evropy prakticky nelétají, takže se musíte na Rudé náměstí teleportovat alespoň virtuálně a zkusit dostupnost cílového webu přímo z hlavního města ruské federace. Pomůže některé z věrohodných anonymizačních VPN, které má v nabídce i tamní adresy IP.

Umí to třeba placený Avast SecureLine VPN, který ale nabízí bez jakékoliv registrace a vyplňování platebních údajů první týden zdarma. V nabídce má koncové body v Petrohradě a Moskvě. Pět set megabajtů zdarma a možnost připojit se v Rusku dává také nástroj OpenFreedom.

Gazprom.ru mlčí i v Rusku, Kreml asi také

Mnohé prohlížečové DDoS útočí na již zmíněný Gazprom a jeho ruskou doménu gazprom.ru, která skutečně mlčí i při pokusu o její návštěvu z moskevské IP.

ed3ee71b-bc4a-4c4d-8d34-115be3791236718e3054-91ff-47b5-9bcc-2c36e10f4bd4
Gazprom.ru neodpovídá ani z Prahy, ani z Moskvy

Jenže nejrůznějších hackerských operací nyní probíhají tucty, Anonymous vyzývá k dalším, takže – ruku na srdce – nelze spolehlivě ověřit, jestli web přetížily podobné prohlížečové skripty, nějaký mnohem sofistikovanější útok, anebo je důvodem něco úplně jiného.

Nesmíme zapomínat ani na to, že na weby moskevského režimu jistě útočí i mnozí Rusové, takže nejde jen o datový tok z vnějšího světa, ale i o ten domácí.

80b12b2d-ff44-41fd-b5f9-89ea608f87fd
Webové stránky Kremlu se s moskevskou IP také načítají žalostně pomalu. Jednou se to podaří, podruhé ne

Do třetice je tu ještě jeden otazník. Tunel do Moskvy skrze VPN nám sice dá tamní IP adresu, jenže na ruské weby přistupujeme z některého z datových center a nikoliv jako prostí obyvatelé skrze běžného poskytovatele internetu na poslední míli a jeho DNS. Pouze se jim snažíme alespoň trošku přiblížit.

Reálný odhad situace je proto opravdu složitý a skutečný rozsah útoku v tuto chvíli znají jen ajťáci z Kremlu. Všechny zprávy bychom měli v dnešní třaskavé době brát s určitou profesní rezervou a to včetně těch, které aktuálně ladí našim srdcím.

Drahoušek zákazník, zničíme Putina

Důležité je přitom ověřovat nejen zprávy, ale přinejmenším s elementární nedůvěrou přistupovat i k podobným skriptům. Troufám si totiž tvrdit, že je jen otázkou času, kdy se na scéně vyrojí hromada podvodných phishingových stránek typu: „Drahoušek, zákazník, pojďme útočit na Rusko rychle a levně! Klikni na tento odkaz!

Mějte na paměti, že podobné weby mohou začít dříve či později provádět i něco jiného. Kdybych byl představitelem ruského státu, vypustím na Twitter tucet zdánlivě identických stránek, které by vedle několika ruských klamných cílů útočily i na servery v Evropě a USA. Anebo bych je rovnou zaplnil malwarem a těžebními skripty, což by bylo koneckonců asi mnohem praktičtější.

Jelikož je v těchto dnech naše obezřetnost v tomto směru poněkud nalomena a mnozí klepneme téměř na cokoliv, abychom to Putinovi trošku nandali, ta příležitost pro malware nebyla nikdy lepší.

Komunitní DoSy mají bohatou historii 

Jednoduché masivní DoSy skrze web, nebo aplikaci nejsou ničím novým. Naši věrní čtenáři si jistě pamatují na akci Operation Payback z roku 2010, ve které komunita Anonymous podobným způsobem útočila na západní služby, které se tehdy postavily proti Wikileaks.

dc2593dd-0ddc-497c-a121-191113aceaf1
Javascriptový DoS z roku 2010

Zatímco ve webových prohlížečích se kvůli jejich aplikačnímu omezení používal opět primitivní Javascript, který v nekonečné smyčce stále dokola načítal stránky, obrázky a další obsah z amerických federálních webů, specializované (ale z hlediska UX naprosto blbuvzdorné) aplikace jako třeba LOIC se snažily cíl zahltit také UDP a TCP pakety na nižší úrovni.

61bc1afe-1c6b-47be-a2b5-7960e519ea1e
Program LOIC pro HTTP/TCP/UDP DoS

Obecně vzato, sofistikovanější útoky nemusí potřebovat tolik hrubé síly, protože se snaží vyvolat DoS skrze nějakou známou zranitelnost v systému. Třeba takovou, která při určitém speciálním požadavku zablokuje na delší čas procesor, takže ke zhroucení systému stačí mnohem méně reálných spojení než v případě javascriptového kobercového náletu.

Učebnicový SYN flood

Učebnicovým typem staršího DoS je třeba tzv. SYN flood. V tomto případě útočník upraví podobu TCP handshaku (doslova podání rukou), tedy výměny úvodních informací při navazování spojení mezi klientem a serverem.

de9182a6-8248-46ae-9b02-f7f204ceab92
DoS pomocí otevírání TCP spojení skrze nevalidní handshake

Základní princip útoku popisuje obrázek výše. Obrazně si můžeme standardní handshake představit tak, že potkáte kamaráda a než spolu zajdete na pivo, chcete si ze slušnosti podat ruce. Natáhnete pravici (SYNchronizace), on také (SYN-ACK), zatřepete (ACKnowledgment) a spojení je navázáno.

Když ale na kamaráda provedete DoS typu SYN flood, bude to celé vypadat trošku jinak. Opět natáhnete pravici, kamarád také, ale vy pravici náhle schováte do kapsyKamarád je zmatený a spaluje drahocenné milisekundy CPU.

Když toto kolečko budete provádět stále dokola na špatně zabezpečeném systému, režie vašeho DoS bude relativně malá – budete jen natahovat ruku –, ale váš kamarád – server oběti – spálí mnohem více procesorové energie.

Diskuze (60) Další článek: Předplatné Microsoft 365 je dražší, ale vás se to nejspíš nedotkne

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,