Názory k článku Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data

Zacina to vypadat, jako by nekdo testoval odolnost vyznamnych clanku webove casti infrastruktury CR a mozna i reakci CSIRT (ktera je tedy takova, jaka je). Kdyz si to probereme, tak to zatim vypada, ze bylo utoceno na:

1. Zpravodajske weby
2. Vyhledavac/portal, ktery pouziva vyznamna cast Ceske populace
3. Bankovni weby

Skoro bych ocekaval, ze dalsi krok budou stranky statni spravy/samospravy, ale tady uz je riziko zasahu a vysetrovani vyrazne vetsi a navic nektere uz byly "otestovany" hacktivisty.

někdo DDoSoval i jižní spojku, stál jsem tam minimálně 20 minut

Tak možná u vás na intranetu. :-)))

koukal jste na spz adresy těch útočníků - šlo opravdu o rusáky?

CSIRT.CZ, to je nástupce CZERT.CZ?

rb.cz, kb.cz, csas.cz
nešlo ani čsob a fio - ale to se už rozjelo.

ani csob a fio

tak fio.cz už taky zase leží

Asi takhle:
http://byznys.lidovky.cz/kyberneticky-utok-zasahl-ceske-banky-internetove-bankovnictvi-nefunguje-15d-/moje-penize.aspx?c=A130306_093618_moje-penize_mev

ani http://www.bcpp.cz/ nejede

tak ekonto a web bezi

Musím vám zopakovat, že vám to jede leda tak na intranetu. Nedostupný je web i ekonto.

Už mě to nebaví zkoušet. Web mi ještě před 2 minutami nejel vůbec, klient?.rb.cz se po několikaminutovém načítání a částečném načtení vytimeoutovaly.

9:59 – Mimo provoz je také web pražské Burzy cenných papírů.

"(Google DNS například vrací ERR_NAME_RESO­LUTION_FAILED)"
fundovaný popis chyby :-)

Joooo kdoví jestli nezadáváš platby na nějakém podvrženém webu, když ti to jede jak po másle.

Ještě v devět šla, to jsem zjistil že mi vypršel certifikát :D Než jsem se vrátil za čtvrt hodiny z pobočky, už to lehlo...

Oni problém "vyřešili" odříznutím některých sítí, takže např. přes O2 ADSL to jede, nicméně přes jiného ISP (viz aktuální IP ve výpisu komentářů) nikoliv.

route:          188.75.0.0/19
descr:          LANCRONIX LTD
descr:          Moscow, Russia
descr:          http://www.lancronix.ru
descr:          aggregate prefix
origin:         AS48209
mnt-by:         LNX-MNT
source:         RIPE # Filtered

Ne, v Rusku se fakt nenacházím, nicméně oni zařízli celé 188.75

mozna uz by to mel zacit resit nekdo v NIXu, nebot to opet prichazi ze site RETN

RETN - to máte odkud, je to oficiální důvěryhodná informace?

Polem působnosti týmu CSIRT.CZ je celá Česká republika, tzn. všichni uživatelé a všechny sítě provozované v České republice se nachází ve sféře vlivu CSIRT.CZ.

Zajimava myslenka, treba na tom neco bude :)

tak to by me teda take zajimalo

Kazdy, kdo ma pristup do intranetu nixu se muze podivat, kolik packetu/s prichazi z jejich site.

RETN to samozrejme mohlo jen nekde nabrat, ale patrani by se asi melo ubirat timhle smerem, pripadne pokud to prichazi z tranzitu, tak vypatrat odkad to +- prichazi.

.. a to si většina (nejen eshopů) stahuje aktuální kurzy právě z webu ČNB

A jak vám ropovod vynáší? Že bych do BTC taky zainvestoval? :-)
http://en.wikipedia.org/wiki/Baku–Tbilisi–Ceyhan_pipeline

To není ropovod, to je Bhůtánská koruna :D (zainteresovaní vědí)

Uz jedu nejake weby bank, ted jen, jestli to banky spravily, nebo sli kluci na obed a pak to pusti znovu :-)

Raifka zda se aspon pri primym pristupu na web rozhrani (https://klient2.rb.cz/ebts/version_02/cz/banka3.html) jede, mainpage je takova polomrtva - neco malo se nacte, ale spis nic nez vic.

Jop, CSAS uz jede. Otazkou je, jestli se s tim poprali IT machri z CS nebo se na to rusaci uz vyflakli a sli na burek.

vy víte kdo co přesně zařizl?

No tak vězte, že Bhútán se píše s "u s čárkou" a ne kroužkem.

To ale zkus vysvětlit ne mně, ale RB a dalším bankám, kam se prostě z 188.75.132.0/24 nedostanu. :-)))

šikula, ale dostupnost je opravdu potřeba určovat z vícero lokalit.

já bych psal ú všude a ten hloupý kroužek zrušil.

NBU pozadal o zaslani dat a informacich o utocich. By me zajimalo, jake moznosti v tomto smeru ma NBU nebo CSIRT? Jak nam muze pomoci NBU nebo CSIRT?

A ty si myslis, ze z banky vede drat ke kazdemu obchodnikovi? Pochopitelne to (skoro) vsechno jde pres VPNku pres Internet...

Spíš to zahltí firewally které jsou mezi internetem a vnitřní sítí - propustnost firewallu se obvykle počítá jako počet zpracovatelných paketů za vteřinu, takže dnes je obvykle mnohem jednodušší přetížit firewall než běžně dostupné tlusté linky (např. 10 Gbps).

to jedine, ale vzhledem k povaze a cilu utoku se mi to moc nezda.
navic terminal asi nenavazuje vpn spojeni pro kazdou platbu, ne?

tim,ze 'posilam hodne paketu na koncove servery' se ale testuje prave odolnost tech serveru a nikoliv siti jako takovych - a to se prave ted IMO deje :]

ono to je jedno, protože o Bhútán vůbec nejde (ale aspoň sem chytřejší, díky :D)

stačí změnit hesla z nbusr na něco složitějšího a pak ještě prověřit všechny systémy :P

Co je to "doménový server"? V češtině se používá spojení "jmenný server", když se mluví o DNS. Doménový server by použil někdo z oblasti microsoftích sítí jako termín pro DC (doménový řadič). Chce to jenom nepoužívat pseudo fundovaný popis.

Celkem by me zajimalo, jestli jde vyhradit na firewallu pasmo dle regionu, ze utoky vetsinou prichazeji z IP mimo CR. Napr, ze 89% by bylo vyhrazeno pro IP v CR, 10% z EU, 1% zbytek, tak by se zahltilo akorat prislusne pasmo

A jak poznate, odkud to prislo?

DNS server Vam vratil mozna tak treba ServFail zpravu

<irony>Ano, což je obrovský rozdíl proti ERR_NAME_RESO­LUTION_FAILED, že </irony>

možná jste to zatím nezaregistroval, ale tady se řešil i problém zfalšovaných zdrojových IP adres..

IP spoofing vam neco rika?

Jenze i netranzitni ISP se muze stat tranzitnim - spousta z nich ma ruzny dohody mezi sebou, kvuli ruznycm vypadkum ... ze docasne prevezmou provoz ...

BTW: A vzhledem k tomu, ze pres jiste 80% routeru projde src/dst v privatnim rozsahu ...

Ale jiste ze neni od veci mit nastavana nejaka pravidla, jenze na druhou stranu i jednoducha pravidla = je na to potreba nejaky nenulovy vykon HW.

Pro zajimavost, na gw o ktery se staram neproleze do netu privatni adresa, jenze zaroven vim, ze sem spis naprosto extremni vyjimka. Staci chvili poslouchat na siti libovolnyho ISP a nejen ze mu tam tecou privatni adresy od klientu, ale ISP je klido odroutuje dal.

Jak pak po nekom chcete aby resil filtrovani korektnich adres, kdyz neni schopen odfiltrovat ani ty nekorektni?

možná nesestřelíš, ale lehce způsobíš, že každému ukousne lokální databáze v cukuletu pár GB navíc. velkou nevýhodou tohoto systému je jeho antianonymita..

Stát může např donutit poskytnout ISP který zde podniká data k útoku, to asi moc navíc stát nebude - naprosto nechápu proč není nejaké centrální 24/7/365 pracoviště které by toto zajištovalo pro stát.

Jde o kompetenci, teoreticky to může být síť SZ/Soudců na telefonu - nehledě na to že stačí aby to byla gentlemanská dohoda. Když někdo někomu vyhrožuje vraždou také si obvykle UZČ nehraje na byrokraty a prostě se to řeší po telefonu operativně na základě příkazu kterej to pokryje v časovém období.

Ne..

Wut? Zajímalo by mě, jak konkrétně to uděláte. Pokud máte problém s velikostí blockchainu, použijete lightweight klienta/pruning.

Antianonymita? Spíše pseudonymita. A přece DEA nemá zatím šanci došlápnout si na silkroad. :-)

My si nerozumime, clenove nixu MUSI mit nejakej tranzit. Tj pokud se dohodnou ze k vlastni ochrane budou vedet ze NIXem to netece mohou mit spolecne silu dotlacit upstream providery "patrat" dal nebo filtrovat.

Nejde o to spolecne jde o to ze jednou podrzi ten toho a podruhe nekdo jine. Z globalniho hlediska je NIX unikat (ve smyslu technickeho reseni jiste ze je rada narodnich IXu tedy spolecne s padesatkou dalsich) kdy se da rici ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny" a to skarede zahranici bude mit smulu.

Uz vidim jak nekde v USA nekdo filtruje nejak "neamericky" provoz. Ad korporace - ano o tom to je, jaky kdo nakoupi box tak mu to jede, zel bohu nasi klienti byvaji tercem takovychto utoku 10x do roka a i kdyz se ISP box drape v nose ten cilovej system treba 6hodin nejede (nastesti existuje scenar obrany rozdrobenim provozu mezi desitky IP a tam se pak filtruje jak vztekle).

Cesi ovsem nejsou zvykli platit, 99procentum se nevyplati to platit predem. Pro to by to mel nabizet bud isp v nejake hodinove sazbe nebo prave stat tak ze by ten provoz poslal na sebe a "sdilene" to filtroval. Stat nemusi byt stat, muze to byt zrovna cz.nic z prebytku nebo nix se zajmu (sdilena infrastruktura musi byt levnejsi nez nesdilena) zrovna u nixu by to davalo smysl "clenove sobe" proste by se vypropagoval cil utoku nejakou sdilenou linkou s radou filtrovacich boxu a na provoz by se skladali. Vim ze je to utopie protoze rada nejvetsich (komercnich) ISP v CR by nikdy nepriznala tento druh problemu prestoze jim to casto pekne zatapi.

Pri 64bajtovych packetech? :-)

Depeering nefiltrujici site je z hlediska kontroly provozu horsi, nez peering s ni. Proc? Protoze transit jim nekdo urcite proda, presneji proda jim ho uplne kazdy, protoze si rekne "kdyz ne ja, proda jim ho treba ... " (jmeno si dopln, napada mne asi pet jmen operatoru s udesnou povesti) a protoze cash is king. Ovsem v transitu onen legitimni provoz od podvrzeneho nerozeznas vubec, narozdil od peeringu. A pak uz je to filtrovani u sebe jen technicky problem, na PNI o neco mensi, v IXP o neco vetsi (hodila by se kombinace L2+L3 podminek v jednom ACL pravidle).

aha. tak nevím, asi jsem nějak přecitlivělý.. irituje mě ta představa, že útočník zamítá přístup ke službě, což může dělat leda poslytovatel té služby. útočník leda tak blokuje, sabotuje, ..

"Jak česká tak slovenská ČSOB mají podle SME své stránky na různých serverech v Belgii, kde sídlí jejich mateřská společnost KBC Group."

haha slovenske sme nedokaze zjistit kde lezi IP adresa :-) V Belgii ne

Ja mel ovsem za to, ze jste jednak hovoril o nejlevnejsim PC a krome toho jste tam chtel jeste mit nejaka filtrovaci pravidla (kazde fw pravidlo predstavuje nekolik set instrukci CPU per packet).

Vami dodany odkaz naopak naznacuje, kde zhruba konci routovaci moznosti PC architektury pri pouziti velmi vykonneho hardware.

To tedy nemuzete.

to mají v geopi databízi tedy pěkné boty..

Samozrejme, a ceho dosahnete? Tak akorat toho, ze se vam vsechny packety, ktere vam prijdou a budou podminku dane destinace splnovat, budou sypat na Null. To fakt chcete? Ja mel za to, ze tady diskutujeme o tom, jak efektivne resit DDoS ze spoofovanych adres. Pokud zanullroutujete vsechny packety na danou konkretni adresu, tak to nemusite vubec resit, protoze tim zajistite nedostupnost dane sluzby jeste o neco efektivneji, nez autor onoho DDoSu zamyslel :-)

Doporucuji vzit na vedomi, ze kazdy zaznam v routovaci tabulce take znamena nekolik set instrukci CPU per packet.

Ja si to studovat nemusim, ja to az prilis dobre vim. Take az prilis dobre vim, jaky problem muze znamenat zapnute uRPF na upstream portech, pokud mate vic nez jeden upstream a jak uzasne se takovy problem hleda.
Druhy problem je, ze uRPF mozna mate zapnute vy, ale uz nemate jistotu, ze jej maji zapnute ostatni (spis naopak mate jistotu, ze nemaji, kdyz chodi DDoS utoky z spoofovanych adres).

Proto tahle debata dale ztraci jakykoli vyznam. Pokud v ni chcete pokracovat, zkuste si to nejprve v labu odsimulovat, s tim, ze nemate moznost ovlivnit ani chovani utocnika, ani chovani ostatnich siti.

A obcas se najde nekdo, kdo to tam zapnute ma, zejmena pokud routuje na linuxu, ktery to zapina by default a ifconfig mu to neukaze. No a tak ja priste nekoho takoveho poslu za vami, vy mu to urcite moc hezky vysvetlite :-)

anebo se tady právě někdo zhrzený snaží očernit svoji úspěšnou konkurenci a s útokem to nemá pranic společného?

Jsem si toho vedom, ale dle medii pomohlo odstrizeni pristupu z cizich IP, tj z cech toho slo minimum

A kdo to plati teď kdo platí oknonet a všechny věci okolo? Jste naivka a netušíte co stát má a jak neefektivně to dělá - v tom by jedno NOC nehrálo roli. Když teď někdo podá TO (ideálně it oddělení např idnes.cz aby mělo krytá záda pojištění, šéfové, pr, veřejné mínění) tak to taky platíte vy. V trestních věcech bohužel pachatelé neplatí škodu vzniklou státu - to že stát vynucuje právo si platíte v daní.

jaký šmírování? teď tu povinnost dávno má jde o to zrychlit ten proces vypátrání bez byrokracie teď vás taky donutí a ještě k tomu policie potřebuje např souhlas SZ nebo soudce. kdo to platí? vy.

přesně tak, už se nemůžu dočkat, až nějaký jouda z PČR bude beztrestně šmírovat "velké ryby". Takové kauzy tady byly i navzdory té byrokracii, bez ní to bude opravdu lahoda.

TO muze podat kdokoli, ale nevim proc byc mel nekolika vyvolenym platit jejich infrastrukturu. Zatahne mi stat optiku az do bytu a 10Gbit pripojku? Ja se taky citim byt ohrozen DOSy ...

beru zpět. něco na tom bude. je zajímavé, že trustica má zeregistrovánu doménu nckb.cz .. ale trustica jsou zřejmě odborníci na slovo vzatí: http://img849.imageshack.us/img849/5668/trusticanckbweb.png

toto je taky zajímavé a profesionální :) http://lists.trustica.cz/cgi-bin/mailman/listinfo/kokot

vážený příteli na telefonu, podal jste tedy příslušný podnět, anebo jsou opravdu nějak propojeni a nemá to tedy smysl?

zaznel tu dotaz kdo to plati - tak tady minimalne drzitele domen, vubec by mi nevadilo kdyby to cz.nic za uplatu poskytoval komercne

Bezpečnostní tým z CZ.NIC už prý také připravil efektivní nástroj, který může jiným správcům sítí a serverů pomoci s otestováním odolnosti jejich infrastruktury.

„Tento nástroj dokáže vygenerovat zátěž stejného typu a intenzity, jaké dosahovaly aktuální útoky. Je nainstalován na velice výkonné farmě serverů, které umožňují vyvinout dostatečně silný datový tok. V současné době ho používáme pro testování vlastní infrastruktury a následně ho nabídneme i externím zájemcům,“ uvedlo sdružení v tiskové zprávě.

nedostanu se na účet u RB, mBank v pohodě a FIO trochu drhne, jojo, vše po internetu..... není nad hotovost :-)

Mě tedy trasa končí na 194.228.190.166 a DNS mi tvrdí, že mojebanka.cz je na 194.228.113.32.
Co na to říkají pánové z csirt.cz?

(kolegové jsou naštvaní, že se nemůžou dostat ke svým výplatám a já se jim směji – peníze mám totiž částečně v cash / částečně v BTC, dobře vám tak :P)

CSIRT hlida pouze statni spravu, komercni resi, jen pokud je o to pozadan. Takze opet vyda jen prohlaseni, ze vse sledoval, ale pokud jej nekdo nepozada o pomoc, tak aktivneni nic nedela. Ale kdo vi, treba zitra uz bude mit prilezitost :-)

A když ho požádají o pomoc, tak jim řeknou, že se jedná o složitý obtížně řešitelný problém. :-)

Taky mi to přijde uhlazený a systematicky policejní postup... nedivil bych se, kdyby v tom měly prsty naše tajné služby a jen testují stabilitu sítí.

Lemro lina - tvoje 188.75.132.x je rozhodne mimo 188.75.0.0/19...

Network: 188.75.0.0/19
HostMin: 188.75.0.1
HostMax: 188.75.31.254

tak k cemu jinemu csirt je, nez aby se nastavalo tohle: http://byznys.lidovky.cz/cesko-zaziva-elektronickou-invazi-padaji-banky-urady-i-zpravodajske-weby-1rn-/firmy-trhy.aspx?c=A130306_104142_firmy-trhy_mev ? poucte me o realite.

NBÚ nám pomůže tak leda do hrobu.

Když se podívám odkud chodí nejvíce SPAMu, což jsou také botnety, tak je to Brazilie, Mexiko, Peru, Argentina, Španělsko, Indie, Turecko, Kazachstán, ...

a Česko nikde. Má zajet čistit Windowsy do Jižní Ameriky?

NBU žádá po postižených data, aby je mohl patřičně zaevidovat a založit.

A proc bych ja ze svych dani mel platit infrastrukturu komercnim subjektum? Me je zcela uprdele ze nejede seznam, ides, banky .... je to jen hloupej web a je treba presne tak k tomu pristupovat. Na netu nema co delat nejaka provozne kriticka infrastruktura.

Stejne tak bych moh po statu chtit, aby znasobil kapacitu trebas magistraly, videl bych to na vybourani vsech prekazek az k Vltave, co kdyby se nekdo rozhod demonstrovat ... ze ... aspon to bude kudy objet.

Ochrana firem je v zájmu státu.

Kam stát se svými zkorumpovanými zakázkami rypák strčí, tam sto let tráva neroste. Běžte s tím do háje.

Jedná se o útoky permoníků

Podle IP rozsahu

taky vám ten název "distributed _denial_ of service" přijde trochu přihlouplý?

Další důvod, proč mu fandit.

Stát může např donutit poskytnout ISP který zde podniká data k útoku¨

Jo jo jo!!! Větším šmírováním za světlejší zítřky!!!

S nejvetsi pravdepodobnosti k tomu nejen ze bude zneuzita, ale nelze zcela vyloucit ani tu moznost, ze za tim ucelem tato situace byla ucelove vytvorena.

Zavolat do jineho statu? Vzdyt statni instituce ani nema moznost zjistit, odkud dotycna data prichazeji. Mohou se to pokusit zjistit od lokalnich ISP, ale ti to take nevedi, ti jen vedi, kterym portem jim to do jejich site prichazi.

Prosim vas, veci jako 'ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny"' snad radeji ani nevypoustejte z klavesnice. Navrh zakona o kyberneticke bezpecnosti je pripraven k pripominkovani a brzy zamiri do Snemovny. Samozrejme, ze takove DDoSy zadny zakon nevyresi a navic pridela ISP spoustu zbytecne prace (mimochodem, je s podivem, ze se tento problem objevil prave v dobe, kdy je takovy zakon pripraven, clovek by az rekl, ze je to podezrele). Statu cesky Internet nepatri, krome financovani CESNETu se na jeho vzniku ani existenci nikterak nepodilel, spise vzdy vsechno komplikoval a problemy pridelaval.

ISP mimochodem DDoSy zasadni problemy necini, zvlaste tem vetsim. Naopak, takovy DDoS a jeho ucinek na koncovy system je dukazem toho, ze sit dotycneho ISP funguje dostatecne dobre a ma vykonove rezervy, v dobach softwarovych routeru by situace vypadala zcela jinak. ISP proto vadi DDoSy pouze z toho duvodu, ze poskozuji jejich zakazniky a oni chteji mit sve zakazniky v maximalni mozne mire spokojene.

Na blackholing zadnou zazracnou ani drahou infrastrukturu nepotrebujete. Poslat ty dva nebo tri miliony packetu za sekundu do Null zvladne kterykoli lepsi router a dokonce i nektere L3 switche. Rada clenu sdruzeni NIX.CZ takovou sluzbu dokonce svym zakaznikum uz davno poskytuje.

A kdo to bude platit ... aha, ja ze svych dani a budou to desitky miliard (jako kazda kravina, do ktery se stat sere). Uz je za ten napad by bylo treba vas zastrelit.

.. dostali naznačeno, že by si měli zamést před vlastním prahem, a dnes útoky ustaly. zajímavé..

To opravdu netuším. Původní reakce byla na noname (neregistrovaný) ---.rb.cz a jinak je mi Rajfka již několik let ukradená, takovou zlodějnu aby pohledal.

kazdopadne, CNB je taky down. A to uz je statni instituce, tak by meli alibisti z CSIRT zvednou zadky a konecne neco zacit delat :) Ne jenom vydavat prohlaseni, ze ddos je slozite lokalizovat atd. Predpokladam ze CR do toho vklada miliony korun a ze se alespon par skutecnych expertu najde.

Svého miláčka radši projedu něčím jiným. :-P A co se týče toho zbytku, asi bude jednodušší nainstalovat jiný OS.

To prohlášení, že mají postižení dát těmto subjektům údaje o útocích, je normální kravina.

K čemu jim asi tak bude seznam IP adres zavirovaných počítačů?

Cílem snažení by mělo být vybudování dostatečné volné kapacity, kterou by třeba financoval stát a která by zajistila odolnost všech postižených před podobnými útoky.

Tohle přece není možné, abychom byli až takhle zranitelní a nikdo proti tomu nic nedělal!

K tomu aby mohli vopruzovat tech par nestastniku se zavirovanejma kompama.

Tohle bude útok lobby chovatelů poštovních holubů nebo poštovních doručovatelů.

Já bych všechny ty internety a počítače zakázala

;-)

https://docs.google.com/spreadsheet/ccc?key=0AmSVXPgdVdQ1dHUzRldHNG1wVTNpbm9YMnRZN0Q1YkE&usp=sharing#gid=0

ono asi zalezi odkud to sledujete. Csas z netboxu jede uplne normalne.

Tyhle výkřiky mě fakt baví ;) I vaše předpoklady... P.S. A to nejsem z CSIRTu :)

nejste členem csirtu a trápí vás ta bezmoc? i vy můžete pomoci - projet svého miláčka antivirem, antimalwarem, nejlépe nějakým bootovatelným, aktualizovat systém, webový prohlížeč, disablovat java plugin, odinstalovat acrobat reader a dát si jinou pdf čtečku, tedy podniknout kroky k tomu, abych se nestal členem netbotu.

tak NBÚ může např. zjištěným útočníkům nevydat bezpečnostní prověrku

Moc nevěřím tomu, že další na řadě jsou státní instituce a naprosto amatérsky zabezpečené nesmysly typu registr vozidel nebo sociální dávky.

Spíš bych to viděl na eshopy. Až padne mall, aukro, alza, tak se škody začnou počítač v milionech za minutu.

No a? Tento druh utoku zahlti z internetu dostupne servery, ne linku.

Ono je tady ale zásadní otázkou, zda jen někdo nepochopil špatně to, co je citováno i tady v textu jako vyjádření ČS (tedy klasická "novinářská zkratka").

Tam o platebních terminálech nic napsáno nevidím. Je tam řečeno jen to, že nefungovaly "platby kartou u obchodníků". A to může být klidně 3D secure brána pro platby přes Internet, což už by byla trochu jiná písnička.

Ale klidně mohlo dojít k zahlcení linky do ČS, a.s. jako takové a neprocházela ani data z platebních terminálů (ale tady bych tedy čekal jiný, na Internetovém připojení nezávislý, propoj).

Jen abyste se nedivil, zhruba od 12 hodin máme nějaké problémy se systémem základních registrů.

vida, insider. pokud jde o syn útok s falešnou ip, tak toho asi ve web(/proxy) logu moc nebude, co? anebo pozorovali jste tam včera cosi?

což ovšem neznamená že by neměla ČR těžit z unikátnosti centralizace a maximálně spolupracovat.

Podle mě je to regulérní zločin tj mezinárodně kooperovat a koukat ne odkud je SRC adresa ale kudy to skutečně teče a tam to buď filtrovat nebo eskalovat a dál řešit.

Takový řečičky že v nixu být nikdo nemusí a nenutí ho mi přijdou krátkozraké, v čr funguje několik globálních služeb na které jdou tyto DDoS pravidelně a nejde o něčí zisk ale o to že tím ČR ekonomicky tratí. Nejsem krátkozrakej a i když se mi to co se právě děje "hodí" do krámu vidím si dál než na špičku nosu.

Dodavatelů tranzitu není v ČR tak moc aby se nenašlo odkud to teče do jejich sítě. I kdyby to byl fake SRC tak právě flow z ostatních příchozich tras daného operátora naznačí směr odkud to teče. (pokud to není opravdu masivní botnet o milionech počítačů jejichř majitelé ani netuší která bije)

Michale, filtrovani prefixu vubec nic neresi, protoze utocnik si muze podvrhnout libovolnou adresu. Filtrovat se musi bohuzel podle destinace a to pokud mozno co nejdal cili a co nejbliz mistu vzniku utoku.

Podle me firewall kontroluje source IP a s tou umi pracovat, umi ji zaradit do jake geo lokace patri a tim ji muze i zakazat. Problem je, ze chodily source IP ze Svycar, Cech a ostatnich statu Evropy, takze vlastne neni poradne co zakazat....to odkud to jde pozna jen ISP, pac vi odkud mu ten provoz pritece

Bohuzel o bude potreba presvedcit ty ony netranzitni providery, aby neco takoveho cinili. A presvedcujte o necem takovem ruskeho nebo treba nigerijskeho providera, ktery ma nezridka zelezo, ktere o uRPF neslyselo ani v nadraznim rozhlase, kdyz ho vezli do mista urceni.

ISP samo pozna prd, protoze ISP ma 1,2 mozna 3 trubky, ale nevidi nikam dal. A pokud se budeme bavit o DDOSu, tak mu to potece ze vsech tech trubek +- rovnomerne, takze by leda moh odriznout komplet vsechno.

.. co se pak tedy dá nabídnout státním orgánům - nějaké statistiky z balancéru?

Hmm ... to by me zajimalo, ktery RFC rozsiruje IP protokol o poviny atribut AS ... Ja zil vzdycky v tom, ze ASko se dozvim pres BGPcko a tak maximalne vim, kterym smerem posilat ty pakety, ale rozhodne nemuzu vedet, odkud mi pakety prichazeji. Specielne ne kdyz maji podvrzeny src, ze ...

ACL na uplinku k upstreamu zveda na softwarovych boxech (mezi nez se radi treba i Cisco 7200, 7300, 7400 atd. a ktere se nekde stale jeste pouzivaji) zatez CPU, coz pro takove operatory bohuzel muze byt dost dobry duvod je tam nemit.

dle vsech informaci za utokem stoji nova skupina CZert13 a za ni stojici Dominik Pantucek a Michal Medvecky ze spolecnosti Trustica, kteri nasledne nabizeji postizenym institucim zabezpeceni proti temto utokum.

Vkládáte mi ovšem do úst něco co jsem neřekl. Jako Michal hovořím o nouzovém řešetní tj lepší něco než nic. Tj stát si může vynutit u ISP :

1. kontrolu jestli to nejde přes ně (flow sample, nebo pravidlo )

2. zakázat takový provoz

když vám může stát/policie zakázat např jít do svého domu nevidím důvod proč by silově nedokázal vynutit aby jste filtroval nějaký typ provozu.

navíc stát tahá za oba konce, buď se na tom podílíte nebo maříte vyšetření téhož. zákon nezmiňuje žádnou kompenzaci nákladů a vždy když nám soud něco takového nařídí platíme to my.

By mě zajímalo jak chcete blackholovat nějakou globální službu? ČR není usa nemáte přímý peering s dvaceti "tranzity" tj pokud vám to leze vše tranzitem navíc je to spoofle (miliony IP) nezbývá než přístup ala michal tj filtrovat.

S CDN nesouhlasím, nikdy nejste schopen měřit QoS CDNka, dynamicky Vám naskakují stovky instancí.

Navíc z praxe několik našich zákazníků provozující globální službu bývá nejlepší řešení úskokem protože často jde o útok na IP nikoliv na hostname (i když jde proti nějaké konkrétní službě) protože DNS záznam zaspoofujete hůř a nebo potřebujete nějaké centrální místo odkud botnet řídíte průběžně a to Vás může poodkrýt.

Váš idealismus by se hodil na "každý lepší switch" když by jste se stal opravdu trnem a najednou by sem lezlo 20Gbps/4mpps, což např pro Čínu nebude problém (coby kouřová clona pro zakrytí jiného provozu který v tom bordelu nenajdete).

NBÚ může ten útok příště lépe utajit, aby nebylo poškozeno jméno České republiky v zahraničí.

ale nefungovaly platební terminály u obchodníků?
WTF?

Bude zajímavé sledovat, co se stane, až někdo shodí ty aplikace státání správy co nemají na Internetu co dělat ale co tam přesto jsou (politici jim říkají aplikace fungující na bázi Internetu). Zastřelí se příslušný ministr? A nebo aspoň odostiupí?

Jinak k čemu proboha budou těm byrokratům z NBU nějaké údaje? :-)

Kdepak testování stability.

Můj osobní tip je kooperace českých a amerických tajných služeb (proto se použil ruský botnet, aby veřejnost zmátli) a souvislost s nadcházející legislativou (vytvořit strach u velkých hráčů, případně z některých zpřízněných subjektů udělat oběti, aby to nebylo nápadné) a blížícími se volbami.

Volby se blíží, vládě teče do bot, na webu vládní televize diskuzi vypnout umí (a chtějí), ve vládním rozhlase volající posluchače umlčet také umí, v rozhlase i tv si podlézání redaktorů také umí zařídit, ale je tu ten relativně svobodný internet a tam si lidi dělají a říkají co chtějí, no není to fůůůůj?

Ale co s tím? Tak je nějak vystrašme a dostaňme to nějak pod kontrolu.

Taktika by mohla být např. taková, že budou utahovat internetu šrouby a tím zároveň nahrávat úspěchu předpřipravené pirátské strany, strany s lidmi napojenými na vládní kruhy, státní dotace, Sorosovy peníze a dokonce i americký Microsoft, strany která podobně jako Věci veřejné minule bude stahovat opoziční hlasy k sobě (viz. úspěch rovněž hlasitou kauzou předpřipraveného Michálka ve volbách do senátu, kandidujícího právě mj. za piráty)..

Předpřipraveného Michálka proto, že jen blázen by mohl uvěřit historce, že šel ohlašovat půlmiliardový tunel ve prospěch ODS předsedovi ODS.

Já si myslím, že nebudu daleko od pravdy, že nějak takhle to mají vymyšlené a další dny a měsíce mi dají za pravdu.

BTW: Kdo ví, jestli nemají prsty i v tom Frendštátském výbuchu: ignorujíc presumpci neviny již víme, že pachatelem byl internetový diskutér, šílenec, chraňme společnost před internetovými diskutéry?

No, uvidíme. To se ukáže v následujících dnech a měsících, co mají za lubem. Jedno je jisté, nějakým svinstvem se musí pokusit zachránit svá mocenská postavení, jen tak nečinně se nepustí, to je snad jasné, ne?

...vy se smějete kolegům, že se nemohou dostat ke svým výplatám...??? Tak v tom případě jste d.bil...dobře Vám tak...

Ja bych pockal do zitrka a myslim, ze tech dat budou mit dost...:-) A ani jim to nemusime davat mi ...

Ale no tak.

Ochrana firem je v zájmu státu.

Když terorista vyhodí do povětří elektrárnu, tak nám to má být taky fuk, protože je to je majetek komerčního subjektu?

Internet už není žádná hračka pro děti a sám o sobě je "kritická infrastruktura"!

No jo, ale tuhle hlasku Vam DNS NIKDY nevrati, protoze to, co jste napsal, je nejaka interpretovana chyba zrejme knihovny pouzite ve Vasem prohlizeci. DNS server Vam vratil mozna tak treba ServFail zpravu nebo Vam nedojde odpoved zadna...