Názory k článku
DDoS útoků na české firmy přibylo v únoru trojnásobně, roste i jejich intenzita
-
chlubení či oznámení je důležitá indície, ale samozřejmě také existuje spousty přivlastnění zásluh.
Rozhodnutí odkud vlastně pochází útok bývá poměrně komplexní a nebývá to jen tak, že označíš toho, kdo se ti hodí. Každý útok má určitý rukopis, určitý průběh a není jeden jako druhý, jednotlivé týmy se na určité typy útoků specializují. Pokud se objeví nová skupina, málokdy jí dokážeš rovnou přisoudit nějaký útok, ale časem a při více incidentech si ty údaje už spojíš.
Např. poslední rok nás trápí noname057, používají botnet v .NET, který by vytvořený rusky mluvícími vývojáři (podle fóra, kde se řešil a jazyku, který se v něm používá). Ten je řízen C&C servery, které zatím byly spozorovány pouze v Rusku a Rumunsku. Botnet dostává úkoly přes xml soubory, které nejsou šifrované a obsah v xml odpovídá tomu, čím se noname057 chlubí na fóru. Má stovky až tisíce členů, často spíše najatých hackerů, ale bylo postupně nalezeno několik desítek lidí, kteří jsou přímo zaměstnanci FSB v Rusku. Cíle útoků se až moc překrývají s politickou agendou Ruska. Jsou to nitky, které se sbírají.
Vývoj nějakého botnetu je poměrně dlouho a drahá činnost, díky tomu, že botnet je masivní, často se dá právě díky tomu odhalit, sledovat, infiltrovat, postupně získáš o něm dostatečné informace.
Co už ale nelze jen tak odhalit je, jestli náhodou někdo si ten útok nezaplatil jako službu, kdo to byl a jaký k tomu měl účel. Občas unikne databáze nějaké skupiny, tak se pak člověk dozví zajímavé věci a opět si dokáže spousty vazeb doplnit.
-
Ze na vas bezi utok z americkych (ci adres v ramci EU) adres jeste neznamena, ze rusti aktiviste nejsou puvodcem utoku. A nekdy je i velmu snadno prokazatelne, ze Rusko za utokem stoji - nekteri se tim primo chlubi. Zrovnatak ten pronajem neni zadne sci-fi, vi se dokonce o celych autonomnich systemech, ze kterych ty utoky pravidelne jdou, ba dokonce to ma vlastni pravni entity... samozrejme, ze prefixy se propaguji z ruznych mist a jejich geolokace je ruzna. Je blbost, ze by o tom provozovatel nevedel :-) Ono kdyz vam prispeje vlada, tak penize na to mate... a zovnatak se najdou firmy, kterym prachy nesmrdi, i kdyz je rec o ne zrovna legalnich cinnostech.
-
no, nezvládá a ochranu nemají nijak pokročilou a ani úspěšnou, velice pokročilý mají ale marketing. Jsou schopní tvrdit, že odrazili 300Gbps útok na jejich infrastrukturu, když jedou na 300Gbps přípojkách a většina útoku na něj se ucpe před nimi. Na cokoliv se útočníci zaměří, to jim jde dolu, zpravidla rovnou jejich status page (to raději hostují u sebe, že jo).
Patří samozřejmě k těm lepším v našem písečku, ale to je pořád nic ve srovnání s jejich sebechválou a marketingem, slibují, co dodržet nemohou.
-
Místo házení mincí přemýšlejte o tom, že útoky mohou být různě intenzivní. Jak byste popsal situaci, kdy přijde 10 malých útoků z Ruska a jeden velký o pětinásobné nebo dvacetinásobné síle z USA?
Asi tomu nerozumíte.Tu skupinu útočících strojů obvykle nevytváří přímo útočník, ale někdo, kdo je pak pronajímá k různým útokům. No a když chcete jenom rychlý jednorázový útok, může vyjít levněji pronajmout si ten výkon a konektivitu normálně od ISP, protože než stihne zareagovat, je po útoku. Akorát tedy v tom případě nákupu od ISP dotyčný nesděluje ISP své úmysly. Což nebude tak těžké, protože ISP se na nic takového neptá.
-
"nejvíce útoků přichází z Ruska"
"nejvíce intenzivní útoky mířily v únoru z USA".... takze co, mam si hodit minci?
"se útočníkům evidentně podařilo pronajmout si"
Fakt? Jako nevim, asi tomu nerozumim, ale normalne se to dela tak, ze si dotycny vytvori dostatecne velkou skupinku stroju, ktere ma pod kontrolou, a u kterych to provozovate/majitel pochopitelne nevi. A rozhodne nedela to, ze by nekam prisel a rek "hele pracho, pristi mesic du delat 100G ddos, potrebuju konektivitu a HW".
ČLÁNKY DO MAILU