Magla oko DDoS napada na Pescanik

Da ne bude zabune, posto se povecao broj spin doktora koji 'objasnjavaju' kako je DDoS izazvao neki neodgovorni klinac iz ... Belgije, evo par cinjenica. Sve sto sledi moze da se proveri. Internet tehnologija nije kvantna mehanika niti magija. Kontra-argumenti tipa "ima stvari za koje niko ne zna" su prodavanje magle - ne postoji dokaz nepostojanja, to je obicna retoricka zamka.

Sta je DDoS? To je Distributed Denial of Service napad. Uprosceno govoreci, odredjen broj spoljnjih racunara pocne da maliciozno koristi resurse racunara-mete, tako da isti vise ne moze da opsluzuje obicne korisnike. Odnos nije 1:1, odnosno jedan napadac moze da zauzme resursa koliko i hiljade obicnih korisnika. Odprilike kao kad u radnju nagrne masa ljudi koji ne kupuju nista, a zbog njih ne mogu da udju pravi kupci. Ako zatvorite vrata, zaustavili ste i prave kupce. E, DDoS je nesto slicno, samo sto ovi uljezi jos i prde.

Sa nekoliko nezavisnih izvora su stigle sledece dve informacije koje se ticu DDoS-a na Pescanik:

- radilo se o par desetina IP adresa sa kojih su dolazili paketi. Ne stotina ili hiljada.

- vecina adresa su AS koji pripadaju SBB-u i Telekomu, tj. nalaze se fizicki u Srbiji, a neke su u Rusiji i Hrvatskoj. Nema adresa iz drugih drzava.

Sta je IP adresa? To je jedinstven broj koji je vezan za racunar trenutno aktivan na Internetu. Korisnicki racunari nekad menjaju IP adresu, ali ne suvise cesto. U proseku na ADSL linijama 1-2 puta dnevno. Skoro nikad cesce od jednom u sat. Nekad zadrzavaju istu adresu danima. Provider vodi log koji povezuje vreme, IP adresu i broj linije - to jest ulicnu adresu. Provider zna ulicnu adresu sa koje je neki racunar u nekom momentu bio povezan. IP adresu posetilaca beleze u svojim logovima i skoro svi web sajtovi, ukljucujuci i Pescanik. Ukrstanjem logova provajdera i web sajta moze da se dodje do ulicne adrese posetioca, ili napadaca.

Da li IP adresa moze da se falsifikuje (spoofing)? Na primer, da racunar A kao svoju povratnu adresu stavi adresu racunara B. Moze, ali danas je ogromna vecina routera kod providera podesena da ne propusta pakete sa laziranom polaznom adresom, bas zato da bi se na ovaj nacin izbegla odgovornost. Kada bi spoofing funkcionisao, nikome ne bi trebali botnet-i (vidi dole.)

Naravno, postoje metode gde posetilac/napadac koristi posrednike pri poseti/napadu.

Jedna vrsta posrednika su proxy serveri ili anonymizeri. To su racunari ili mreze racunara (na primer Tor) na poznatom mestu, koje prakticno bilo ko moze da koristi kao posrednike. Osnovna svrha im je ocuvanje slobode govora, zastita anonimnosti, i ponekad sakrivanje od policije. Ovi posrednici se koriste za normalan pristup mrezi. Zasto se ne koriste za napade? Intezitet saobracaja i vrsta podataka kod napada su znacajno razliciti nego kod obicne posete. Anonymizeri su se u prvo vreme koristili za napade, sto je vrlo brzo dovelo do zabrane bilo kakvog saobracaja sa anonymizera, posle cega su se operatori anonymizera potrudili da onemoguce DDoS kroz svoje sisteme. U novije vreme nije primecen ni jedan napad kroz proxyje.

Druga vrsta posrednika su racunari preoteti od korisnika koji toga cak nisu ni svesni, a mreze takvih racunara se zovu botnets (roBOT +NETwork.) Botnets su mreze masina (zombija) na kojima se zapatio virus koji slusa komande iz centra i imaju sposobnost da u skladu sa tim komandama rade razne stvari na internetu - salju spam, ometaju druge sajtove itd. Sam virus se prenosi na razne nacine - mailom, download-om zarazenih programa, i sirenje virusa nikad nije geografski ograniceno. Slanje komande botnetu se radi tako sto se komanda stavi na ocekivano mesto, a zombi je pokupi ako je ziv i u mogucnosti. Onaj koji salje komande nema pojma koji su zombiji trenutno aktivni, i geografska distribucija ucesnika svake botnet akcije je prilicno slucajna. Ne postoji do sada opisana botnet mreza koja organizuje geografski definisane zombije.

Botnet mreze obicno prave jedni i iznajmljuju ih drugima (operatorima). Pravljenje botnet mreza je visokokvalifikovana delatnost i trenutno predstavlja state of the art u software engineering-u. Medjutim ne postoji dokumentovana mogucnost da se iznajme zombiji samo iz jedne geografske oblasti.

Korisnike (iznajmljivace) botnet mreza je relativno skupo pronaci - zahteva dosta vremena i resursa, pa se to radi samo kada je velika steta u pitanju (sumnjam da ce iko i pomisliti da ih juri za stetu manju od $5-10M.)

Sada se postavlja pitanje: da li je DDoS napadace na Pescanik moguce pronaci? Raspolozive cinjenice ukazuju da se ne radi o botnet-ima, niti nekim misterioznim proxy-jima, vec o par desetina racunara na koje je rucno postavljen softver za napad (inace pristupacan svakome) od strane jednog ili vise povezanih pojedinaca. Zasto? Pa zato sto je napad dosao sa malog broja racunara pretezno lociranih u Srbiji. U slucaju botnet napada IP adrese bi dolazile iz celog sveta. Na internetu mozete pronaci mape botneta i cak mape "otisaka" konkretnih napada. Nikad ne dolaze sa male teritorije (na kojoj se u ovom slucaju nalazi i meta.)

Ovaj konkretan napad na Pescanik po svoj prilici nije uopste bio sofisticiran, vec prilicno primitivan, i ukazuje da se vinovnici smatraju nedodirdljivima. Mozda su nedordiljivi, ali to nije iz tehnickih razloga.

Drugim recima: oni koji poturaju price o botnetima ili LAZU ili ne znaju o cemu pricaju. Ovde se radi o grupi saradnika koji su rucno na svoje masine, i mozda masine svojih prijatelja, stavili DDoS klijente. Policija moze tacno danas da sazna ko su ti ljudi.

354-ta emisija Pescanika je inace na Archive-u, u ovom mp3 file-u.