2014-02-04 автор: Гліб Пахаренко

gpaharenko (at) gmail.com

В списку нижче наведені дані про веб-ресурси, які постраждали від ДДос атак згідно інформації в ЗМІ в період з кінця листопаду 2013р. до початку 2014р. Деякі з них підтвердили проведення атак, для інших я отримав інформацію від дослідницьких фірм.

1. president.gov.ua.

2. www.radiosvoboda.org

3. pro-vincia.com.ua.

4. 5.ua.

5. censor.net.ua.

6. ukr.net.

7. news.liga.net.

8. skoty.info.

9. ugcc.org.ua

2

На цьому слайді наведені технічні деталі ДДос атак, які можуть бути використані при аналізі ризиків для ваших сайтів.

Потужність. Потужність атак була від декількох десятків Мб/с до 1 Гб/с (дані для флуд-атак).

Інструменти виконання. Використовувались наступні інструменти:

Ботнети, включаючи Dirt Jumper.

Slowhttptest (Slowloris), з використанням проксі.

LOIC.

Техніка виконання. Відмова в обслуговуванні відбувалась за рахунок численних запитів:

SYN. Інтернет адреси цих запитів підроблені.

HTTP GET/POST.

3

Захист. На цьому слайді наведені методи захисту від ДДос атак, які використовували різні ресурси.

Нічого не робити, чекати. Так діють державні сайти та регіональні портали.

Змінювати конфігурацію систем.

Обмежити доступ тільки з України. Спочатку так чинили деякі медіа-ресурси.

Розширити канал.

Використати хмарні технології. Мережі доставки контенту - Cloudflare, Akamai, Incapsula або онлайн анті-ддос сервіси – Arbor Pravail.

Звернутись до правоохороних органів та дослідницьких компаній.

4

Протидія захисту. Атакуючі використовували наступні методи для протидії захисту:

Збільшення потужності атаки. Без мережі доставки контенту сайти в Україні були приречені.

Зміна цілі, наприклад, з веб-сервера на вихідний канал офісу. Це дозволяє припинити оновлення інформації на ресурсах, які розміщені у “хмарах”.

Помилки. Атакуючі іноді допускали помилки, наприклад, використовували доступ з реальної Інтернет-адреси для попереднього тестування атак або перевірки доступності ресурсу під час атаки. Це дозволяє правоохоронцям їх знаходити.

5

Наступні кібер-загрози, окрім ДДос атак, використовувались останнім часом в Україні:

Злам поштових скриньок та облікових записів у соціальних мережах

Фізичне вилучення серверів

Використання пристроїв IMSI Catcher для розповсюдження СМС повідомлень абонентам з уразливими терміналами.

Захоплення будівлі Міненергетики, де розміщена операційна система керування енергетикою. За словами міністра можна було зупинити роботу електромережі всієї країни. Після цього на всіх атомних станціях був оголошений червоний рівень небезпеки. МАГАТЕ запланувало перевірку Українських АЕС.

Злам сторінок у соціальній мережі за допомогою вилучення мобільного телефону у власника, до якого був прив”язаний обліковий запис.

6

Висновки. На основі зібраних з відкритих джерел даних можна зробити такі висновки щодо використання кібер-атак в Україні:

Останнім часом активно використовуються ДДос та інші атаки. Для деяких ресурсів вони практично не впливають на бізнес-місію, для інших ефективні лише на короткий період. Більшість потерпілих спочатку не були готові до атак, але потім вироблять ефективну стратегію боротьби з ними. Важко назвати ДДос дієвим довготерміновим засобом.

Атакуючі змінюють тактику та постійно шукають слабку ланку. Потрібна комплексна система захисту.

Пропозиції. Для збільшення обізнаності та вироблення дієвих методів протидії атакам пропоную:

Регулярно обмінюватись інформацією про виявлені кібер-загрози.

Проводити більш глибокі дослідження кожного інциденту.

7