Nad 80 Gbps DDoS útokem na VShosting zůstávají otazníky

Když se 25. září 2013 objevila na Facebookovém profilu společnosti VShosting zpráva o DDoS útoku 80 Gbps byl jsem hodně překvapený. Jednalo by se totiž o nejsilnější útok tohoto druhu v historii Českého internetu. Sice mi nebylo jasné proč, by se někdo pouštěl do tak výrazného útoku, ale kdo ví, u VShostingu je spousta zajímavých cílů, které by někomu možná stálo za to pořádně vystrašit.

Na samotném Facebookovém profilu se objevilo zanedlouho několik spekulací, jestli se vůbec o DDoS útok jednalo.

Zkusil jsem se trochu poptat na útok, který na 14 minut vyřadil VShosting z provozu. Ostatně 80 Gbps by odstřelilo zřejmě každého. Vždyť útokům, které tento rok v březnu cílily na velká média, stačilo několik Gbps. Popadaly servery jako iDnes.cz, Lidovky.cz, Deník.cz či iHned.cz. Jediný kdo to více méně přežil byl Seznam.cz a to za cenu že musel část zahraničí odstřihnout. Odnesli to tehdy někteří zákazníci Active 24. Jen pro zajímavost na NIXu nic vidět nebylo, přitom březnové útoky tam byly a to směřovaly z Ruska.

Neoficiální kanály nebyly zrovna dvakrát vstřícné. Respektive to bylo spíše ve znění, jestli si dělám srandu anebo to se musím zeptat u VShosting, co tím bylo myšleno. Začal jsem tedy posílat žádost o oficiální vyjádření. Dočkal jsem se nakonec dvou.

Vyjádření od VShosting

Dobrý den,

informace k útoku Vám mohu poskytnout. Útok byl veden ze zahraničních linek z různých destinací na různé cíle a byl velice intenzivní. V důsledku toho došlo k přetížení hraničních routerů a následném poklesu trafficu i do NIX a SIX až k nule. Na takový traffic bohužel nebyly stavěny sondy zajišťujících vyhodnocování trafficu a automatická opatření Remotely Triggered Black Hole Filtering u našich zahraničních partnerů apod.). Věc se ještě od toho večera řeší s českým CSIRT teamem a pravdpodobně budeme informovat orgány činné v trestním řízení. V naší síti je zařízení zvané data retention, které vyžaduje ministerstvo vnitra od všech operátorů a které zaznamenává veškerá spojení až 6 měsíců zpětně. Tento systém na pomohl útočníky odhalit resp. vytvořit hmatatelný důkaz o útoku.

Pošlete mi spíš blizší dotazy, popř. mi zavolejte … … . Mohu Vám popsat způsob řešení a opatření do budoucna.

V případě zájmu rád poskytnu i bližší informace k naší expanzi do USA i o dalších projektech.

Ocením pokud mě před vydáním článku kontaktujete popř. pošlete článek k nahlédnutí předem, abych nechal naše specialisty udělat kontrolou technických údajů. Přeci jen já nejsem odborník.

—
Kind Regards / S pozdravem

Damir Špoljarič
CEO / ředitel společnosti

Z oficiální vyjádření VShostingu to vypadá, že cílem nebyla infrastruktura. Nejednalo se tak o útok přímo proti VShostingu, ale spíše jejich klientům. Útoky na infrastrukturu jsou známé u WEDOS, protože je pořád a stále někdo nemá rád.

Vzhledem k tomu, že to s těmi DDoS útoky bylo tajné, napadlo mě, že by mohl něco “prokecnout” někdo z CSIRT 🙂

CSIRT (Computer Security Incident Response Team) je bezpečnostní tým pro řešení bezpečnostních incidentu v České Republice. Mají roli spíše poradní, či koordinační. V případě bezpečnostních hrozeb spolupracují se zahraničními týmy, školení a snaží se obecně zlepšovat bezpečnost českého internetu. Za CSIRT stojí zaměstnanci CZ.NIC a ministerstvo spravedlnosti ČR jim prostřednictvím memoranda svěřilo správu českého CSIRT týmu. Více se o něm dozvíte zde. Mimochodem právě oni řešili březnové útoky na česká média. Výsledná zpráva je veřejná.

Vyjádření CSIRT

Zdravim Vas pane Sarkozi a nize Vam posilam nase vyjadreni/odpoved na Vasi zpravu kolegum z CSIRT.CZ:

Na základě zmíněného incidentu jsme se na VS Hosting obrátili s nabídkou pomoci, kterou její technické oddělení dosud nevyužilo. V jejich vyjádření bylo uvedeno, že se intenzivně věnují obraně proti podobným situacím a vyhodnocováním celého útoku. Další komunikace mezi námi, tedy pracovníky bezpečnostního týmu CSIRT.CZ, a VS Hostingem, už neproběhla. Pracovníci CSIRT.CZ nemají žádné bližší informace o typu ani intenzitě tohoto údajného útoku.

Dekuju a kdybych Vam mohl pomoci s cimkoliv dalsim, prosim, nevahejte se na me obratit na teto mailove adrese nebo na nize prilozenych telefonnich cislech.

S pranim pekneho vikendu,

Vilem Sladek

Zaujalo mě slovní spojení “údajného útoku” 🙂

Závěr

Bohužel tedy pro vás tentokrát nic vlastně nemám. I když jsem se snažil nenašel jsem dva důvěryhodné zdroje, které by mi potvrdily, že tu máme nový rekord v DDoS útocích. Spíše naopak. Zůstávají nám tak v podstatě jen tři možnosti.

1. Žádný megaútok se nekonal – Prostě VShosting špatně vyhodnotil situaci a vypustil ukvapeně senzační zprávu. Třeba měl útok jen 8 Gbps. I to je dost velký problém. Prostě si tam marketingové oddělení tu nulu kvůli vážnosti situace přidalo. Anebo žádný ani nebyl a jednoduše to spadlo. Unáhlená zpráva se stala senzační a už nebylo cesty zpět.

2. Internetová anomálie – Sami to znáte. Občas se přístroje prostě chovají divně. Procesor má dvě stě stupňů, větrák zvládá desítky tisíc otáček za minutu anebo vaše oblíbená hra na nejvyšší detaily tvrdí, že zvládá stovky FPS. I když na to zřejmě nemají stavěnou infrastrukturu, ostatně kdo má dneska 100 Gbitové všechno, tak jim to ukazovalo přenosy 80 Gbps.

3. Tajemný DDoS útok – Aby jsem nebyl nespravedlivý. Varianta, že k útoku opravdu došlo tu stále je. Co mi víme? Třeba se někde něco rozbilo, anebo si vysoký důstojník nějaké kyberarmády prostě zmyslel, že sundá někoho v neutrální zóně, aby otestoval co doopravdy umí. Náhodou to odnesl VShosting a teď musí mlčet, protože BIS dostalo depeši z CIA ať zajistí detaily. Zní to bláznivě, ale v online světě se jako ISP o spoustě věcech nemůžete zmínit i když si z vás dělají srandu anebo ukazují prstem. U takových případů jsem osobně byl.

Takže závěr: Pravda je tam někde venku…