Vlákno názorů k článku
DDoS útoků na české firmy přibylo v únoru trojnásobně, roste i jejich intenzita od Filip Jirsák - Místo házení mincí přemýšlejte o tom, že útoky...

Místo házení mincí přemýšlejte o tom, že útoky mohou být různě intenzivní. Jak byste popsal situaci, kdy přijde 10 malých útoků z Ruska a jeden velký o pětinásobné nebo dvacetinásobné síle z USA?

Asi tomu nerozumíte.Tu skupinu útočících strojů obvykle nevytváří přímo útočník, ale někdo, kdo je pak pronajímá k různým útokům. No a když chcete jenom rychlý jednorázový útok, může vyjít levněji pronajmout si ten výkon a konektivitu normálně od ISP, protože než stihne zareagovat, je po útoku. Akorát tedy v tom případě nákupu od ISP dotyčný nesděluje ISP své úmysly. Což nebude tak těžké, protože ISP se na nic takového neptá.

Ze na vas bezi utok z americkych (ci adres v ramci EU) adres jeste neznamena, ze rusti aktiviste nejsou puvodcem utoku. A nekdy je i velmu snadno prokazatelne, ze Rusko za utokem stoji - nekteri se tim primo chlubi. Zrovnatak ten pronajem neni zadne sci-fi, vi se dokonce o celych autonomnich systemech, ze kterych ty utoky pravidelne jdou, ba dokonce to ma vlastni pravni entity... samozrejme, ze prefixy se propaguji z ruznych mist a jejich geolokace je ruzna. Je blbost, ze by o tom provozovatel nevedel :-) Ono kdyz vam prispeje vlada, tak penize na to mate... a zovnatak se najdou firmy, kterym prachy nesmrdi, i kdyz je rec o ne zrovna legalnich cinnostech.

"nejvíce útoků přichází z Ruska"
"nejvíce intenzivní útoky mířily v únoru z USA"

.... takze co, mam si hodit minci?

"se útočníkům evidentně podařilo pronajmout si"

Fakt? Jako nevim, asi tomu nerozumim, ale normalne se to dela tak, ze si dotycny vytvori dostatecne velkou skupinku stroju, ktere ma pod kontrolou, a u kterych to provozovate/majitel pochopitelne nevi. A rozhodne nedela to, ze by nekam prisel a rek "hele pracho, pristi mesic du delat 100G ddos, potrebuju konektivitu a HW".

Od loňského července nejvíce útoků přichází z Ruska VS ... nejvíce intenzivní útoky mířily v únoru z USA. A s tím pronájmem HW v datacentrech je to dle mého přesně, jak píšete. Anonymně si pronajmu HW, zaplatím v BTC nebo jiné podobné měně a jde se na věc. ;-)

To ze se nekdo necim chlubi znamena stejne prdlajs, jako ze nekde neco prichazi z nejakych IP o kterych nekdo dalsi tvrdi, ze jsou z US a nekdo jiny ze z Ruska. Ackoli ted sedim v CR, tak podle IP chvili v Fr, De, Gb ...

chlubení či oznámení je důležitá indície, ale samozřejmě také existuje spousty přivlastnění zásluh.

Rozhodnutí odkud vlastně pochází útok bývá poměrně komplexní a nebývá to jen tak, že označíš toho, kdo se ti hodí. Každý útok má určitý rukopis, určitý průběh a není jeden jako druhý, jednotlivé týmy se na určité typy útoků specializují. Pokud se objeví nová skupina, málokdy jí dokážeš rovnou přisoudit nějaký útok, ale časem a při více incidentech si ty údaje už spojíš.

Např. poslední rok nás trápí noname057, používají botnet v .NET, který by vytvořený rusky mluvícími vývojáři (podle fóra, kde se řešil a jazyku, který se v něm používá). Ten je řízen C&C servery, které zatím byly spozorovány pouze v Rusku a Rumunsku. Botnet dostává úkoly přes xml soubory, které nejsou šifrované a obsah v xml odpovídá tomu, čím se noname057 chlubí na fóru. Má stovky až tisíce členů, často spíše najatých hackerů, ale bylo postupně nalezeno několik desítek lidí, kteří jsou přímo zaměstnanci FSB v Rusku. Cíle útoků se až moc překrývají s politickou agendou Ruska. Jsou to nitky, které se sbírají.

Vývoj nějakého botnetu je poměrně dlouho a drahá činnost, díky tomu, že botnet je masivní, často se dá právě díky tomu odhalit, sledovat, infiltrovat, postupně získáš o něm dostatečné informace.

Co už ale nelze jen tak odhalit je, jestli náhodou někdo si ten útok nezaplatil jako službu, kdo to byl a jaký k tomu měl účel. Občas unikne databáze nějaké skupiny, tak se pak člověk dozví zajímavé věci a opět si dokáže spousty vazeb doplnit.