Byl server eretz.cz opravdu napaden?

Na stránkách eretz.cz se dnes objevila tato zpráva: Vážení čtenáři, zbývá jen málo ze starého roku 5767, ale ti, kterým jsme trnem v oku, si nedají pokoj. Jistě se podivujete, co se to s Eretzem stalo. Je to prosté - mohutný automatizovaný DDoS útok, předcházený vytrvalými pokusy o SQL injection, vyřadil náš web z provozu.Na obnovení funkčnosti webu intenzivně pracujeme a doufáme, že bezprostředně po Roš HaŠana a šabatu najdete Eretz v takové podobě, na jakou jste zvyklí. Omlouváme se vám za tuto nepříjemnost, ale práci na Eretzu se všichni věnujeme pouze ve volném času; nežebráme o tisíce na snadné živobytí (viďte, Vladimíre?).

Tak si to trošku rozeberme.

Aktualizace o několik hodin později: Vyjádření odborníka

Co je útok DDoS?

Distributed denial-of-service attack (někdy také zkráceně DoS) je soustředěný útok stovek, popřípadě tisíců i stovek tisíců počítačů v síti, proti jedné IP adrese. Na povel zvenčí začnou tyto počítače zahlcovat cílený server stovkami a tisíci požadavků o odpověď a to tak rychle, že server nestačí zvládat přísun a odsun paketů a v jednom okamžiku se zahltí a vzdá se. Je to jako kdybyste ucpali trubky k němu. Kdybychom si na místě stroje představili člověka, vyhodil by prostě ruce do výšky a řekl je mi líto, nezvládám. Nebudu odpovídat už nikomu.

Jak se přinutí počítače, aby poslouchaly povel zvenčí?

Musíte se nabourat do každého jednotlivého z nich. Dnes se to dělá většinou hromadným šířením malware prostřednictvím emailů nebo kliknutím na „zaminovanou“ webovou adresu, ale existují i další metody: Otevřený port, nechráněná počítačová sít, špatně nastavený firewall nebo nakažená aplikace tvářící se jako něco úplně jiného. Je řada způsobů, jak se vám může nasoukat do systému prográmek, který si tajně otevře některý port a čeká na tomto portu na povel zvenčí. Dokáže se maskovat, takže jej nemusíte najít snadno. Často také zvládne vyřadit nebo ochromit činnost antivirového programu a firewallu. Kromě toho, že poslouchá na určeném portu, se prográmek chová tiše a nijak se neprojevuje, proto se někdy takto nakaženým počítačům říká zombi.

Vir Storm Worm, který se poprvé vynořil v roce 2001 a jehož účelem byl útok DoS proti Microsoftu, byl původně vyhodnocen jako poměrně neškodný, dnes existuje v 5000 variantách. Jeho klony patří k nejrozšířenějším a jsou patrně odpovědny za většinu dnešních nových zombi.

Počátkem tohoto roku odhadl Vint Cerf (jeden z otců internetu), že může existovat až 150 milionů nakažených počítačů. Firma Symantec je střízlivější. Prvních šest měsíců roku 2006 prý existovalo v síti 4 696 903 aktivních zombi, nyní odhadují jejich počet na 6,7 milionu.

V okamžiku, kdy na port přijde povel, zombi ožije a začne plnit rozkazy zvenčí. Může to být odesílání spamových emailů (95% dnešního spamu přichází k nám touto cestou), mohlo by to být monitorování komunikace uživatele a případné odchytávání hesla (ačkoliv k tomu by potřeboval ještě další software, tzv. keylogger, i když nikde není psáno, že si takový keylogger nemůže nakažený počítač sám stáhnout). A samozřejmě, jednou z hlavních funkcí těchto zombíků je účast na útoku typu DoS.

Točí se v tom velké peníze

Počátkem tohoto roku došlo k distribuovanému útoku DoS na dva ze třinácti nameserverů, které byly v několika minutách zahlceny miliony požadavků. Naštěstí na to byly servery připraveny a útok dokázaly odrazit. Předpokládá se, že tento útok byl něco jako reklama. Předváděčka Důkaz síly pro získání zájmu potencionálního zákazníka. Na trhu botnetů totiž existuje tvrdá konkurence se vším všudy.

Typicky se tzv. botnety, sítě zombi v počtu 50 až 70 tisíc počítačů, pronajímají spamerům za částku asi 5000 dolarů na den. Útočník, který by je chtěl použít k útoku DoS, by patrně musel zaplatit podstatně více. A také by potřeboval větší armádu než těch 50-70 tisíc zombi. Není výjimečné nabízet i armádu 200 tisíc zombi i více. V takovém počtu se už botnety dají použít k ovlivnění ceny akcií na burze.

Mezi tvůrci tohoto malware existuje tvrdá konkurence. Majitelé botnetu často využívají své sítě k útokům na síť botnetu konkurence. Nejen že si navzájem kradou napadené počítače, často se také snaží je vyřadit z činnosti. V říjnu minulého roku skupina ruských hackerů vypustila vir SpamThru, který byl schopen v krátkém čase nakazit 100 tisíc počítačů a tato síť měla kapacitu odeslat miliardu spamu každý den. K ochraně takového cenného kapitálu použili hackeři novou techniku. Vir obsahoval modifikovanou verzi antivirového programu Kaspersky, který měl za úkol zlikvidovat v napadeném počítači viry konkurence a nechat tam pouze jejich.

Lednová verze Storm worm měla dvě funkce. Kromě toho, aby rozesílala spam, měla také instrukce zaútočit na webové stránky konkurence – ruského gangu Warezov.

Takže jak vidíte, získat botnet k útoku DoS není záležitost ani snadná, ani levná. Jak jsem napsal už v rubrice Ve zkratce, musíte mít nejen peníze, řádově desítky tisíc dolarů, ale i vědět, na koho se obrátit. Považuji za obrovsky nepravděpodobné, že si nějaký vzteklý antisemita (nebo skupina) sehnal, najal a zaplatil botnet k takovému útoku. (První nesrovnalost)

Jak se projevuje útok DoS?

Pro pozorovatele zvenčí, to je pro návštěvníka stránek, které jsou pod útokem DoS, se to jeví tak, že se stránka nesmírně pomalu načítá, popřípadě se vůbec nenačte. Může trvat i několik hodin, než dojde ke kleknutí serveru. Celou tu dobu je přístup na server nesmírně pomalý. Prostě čekáte a čekáte a čekáte a nic se neděje. A zde je druhá nesrovnalost s tvrzením eretz.cz. Žádné tyto symptomy útoku jsme nezaznamenali. Stránka se načítala a načítá rychle.

V žádném případě by se napadení neprojevilo změnou obsahu stránky, tak, jak to udělali v eretz.cz. Vnitřní bezpečnost a obsah stránek není útokem DoS postižen. Při útoku DoS bychom stránku eretz.cz vůbec nenačetli a když už by se to podařilo, zůstala by stejná. Takže třetí nesrovnalost.

A co SQL injection, o kterém se na eretz.cz také zmiňuje?

Na to by zřejmě vůbec nepřišli, až by bylo pozdě. SQL injection lze použít ve formulářích, jejichž zpracování není správně ošetřeno a které navazuje na databázi ovládanou SQL. Budeme teď muset zabrousit do trošku odbornějších termínů. Koho to nezajímá, může tento odstavec přeskočit, o nic nepřijde. Typicky příkaz SQL vypadá takto:

SELECT seznam-poli FROM tabulka WHERE pole= ’NECO’

To NECO je třeba emailová adresa nebo heslo. Jestliže místo očekávaného obsahu vložíme například NECO’ OR ’1’=’1, bude výsledný SQL příkaz vypadat po vyhodnocení takto:

SELECT seznam-poli FROM tabulka WHERE pole= ’NECO’ OR ’1’=’1’

Tedy vyber všechno, co splňuje danou podmínku. A protože v podmínce je OR (nebo) přičemž druhá podmínka je vždy platná (1=1), vrátí nám systém všechny věty v dané tabulce. Takto lze zjistit například obsah hesel, pokud nejsou v databázi zašifrována. Ve správně ošetřeném vstupu z formulářů to naštěstí nefunguje.

Pokud nemá správce serveru nastaveno logování všech SQL příkazů, vůbec na tento druh útoků nepřijde. Nijak se totiž neprojeví. A řekněme si rovnou, že logování všech SQL příkazů způsobuje enormní a prudké narůstání logovacích souborů a používá se jen výjimečně, když už má správce silné podezření, že něco není v pořádku.

Takže vzniká otázka, jak se správci eretz.cz dozvěděli, že útoku DoS předcházel pokus o SQL injection.

V kterém případě by došlo ke změně obsahu stránky a přechodu do nouzového režimu, jako jsme to viděli u eretz.cz?

Útočník by nějak musel zjistit přihlašovací údaje administrátora stránky. Pak by mohl změnit její obsah, třeba na něco výsměšného. Mohl by i vymazat řadu souborů na serveru. V tom případě by se opravdu objevila na určitou dobu náhradní, jednoduchá stránka vysvětlující, co se stalo. Původní stránky by bylo třeba obnovit ze zálohy, což může trvat (podle rozsahu škod) i několik hodin. Útok DoS v žádném případě obsah stránek nemění!

Závěr

Přesto, že eretz.cz byl postižen (alespoň to tvrdí), měli čas v krátké zprávě na své stránce znovu bezdůvodně napadnout mou osobu (nežebráme o tisíce na snadné živobytí (viďte, Vladimíre?).) Mně se něco takového stát, budu se v první řadě snažit obnovit funkce a nebudu ztrácet čas urážkami někoho jiného.

Vzniká tady několik závažných otázek. Komu by stálo za to umlčovat eretz.cz? Jaké strašlivé pravdy se tam vyskytují? Pár snímků z Izraele, pár článků o tomtéž. Nic, co by se nedalo přečíst na milionech jiných serverů. Kromě pravidelných útoků a volání po umlčení jiných žádná šokující odhalení, žádný výbušný obsah, prostě nula. Nic. Zero. Nothing.

Také si všimněme, že nikdo, koho oni považují za nepřátele, nikdy a nikde nevolal po jejich umlčení. Nikdo je neudal. Mají právo psát, co chtějí.

Ne my je, ale oni nás se snaží umlčet. To jim vadí, co píšeme, ne naopak. DoS útok na Zvědavce by byl mnohem pravděpodobnější a upřímně řečeno, divím se, že k němu ještě nedošlo. Možná to souvisí s tím, že opravdu není snadné takový útok připravit, jak jsme si v tomto článku ukázali.

Považuji tvrzení o útoku DoS a o SQL injection za účelová a vylhaná. Systém se nechová tak, jak jsme měli možnost vidět. Nemění se obsah stránky (oni ji změnili), stránka je řadu hodin zcela nedostupná nebo se načítá nesmírně pomalu (načítá se zcela normálně a velmi rychle). Navíc, jak jsme si ukázali, zorganizovat útok DoS stojí peníze a musíte vědět, koho v polosvětě hackerů oslovit. Kdyby mi někdo dal za úkol zorganizovat takový útok a dal mi k tomu i peníze, ačkoliv jsem na internetu jako doma a počítače dělám už 35 roků, nevěděl bych, koho oslovit a jak to zorganizovat.

Domnívám se, že eretz.cz potřebuje ukázat, že má nepřátele a jak je důležitý. Jak někomu za to stojí. Jak se někdo bojí jejich pravdy. Tam, kde není nepřítel, je nutno si ho vyrobit. Ne nadarmo má Ostrovského kniha o Mossadu titulek By way of deception, (Thou Shalt Do War). V překladu Formou podvodu vedeme válku.

Prý jde o parafrázi motta Mossadu בתחבולות תעשה לך מלחמה , což znamená For by wise counsel thou shalt make thy war: and in multitude of counsellors there is safety.

Formou podvodu... Je dobré si to občas připomenout.

Aktualizace o několik hodin později: Vyjádření odborníka

Zdravim srdecne Vladimire.

Dal jsem si praci a trocha patral. eretz.cz hostuje u firmy Ignum, ktera spravuje pres 12 000 webu. Eretz bezi na standartne sdilenem HW v racku jeste s nekolika weby dalsimi. Takze lze predpokladat, ze DDoS utok by polozil budto cely hosting nebo skoro nikoho. Pokud jsou spravne informace na strankach hostingove sluzby, pouzivaji sitovy hardware CISCO a s nim i "dynamic server balance". Takze pripadny DDoS je pravdepodobny asi stejne jako naraz meteoritu do budovy hostingu...

Uspesnost DDoS a pocet potrebnych compu je zavisly na tom, jak je server spravovan a kolik webu hostuje. Na hosting u Ignumu bych tipoval tak 20-30 tisic zombie, pak by se polozil Ignum kompletne a znacne problemy by mel i cesky NIX. Na jeho grafech provozu ale zadnou spicku v trafficu smerem na Ignum nevidet. Takze teorie o DDoS zase pada...

At se na to divam z kterekoli strany, vidim za tim umysl. Pokud by slo o DDoS, tak to pravdepodobne "chyti" sitova infrastruktura Ignum, nebo se server polozi na nekolik malo minut nez zasahne watchdog. Pokud by slo o hack, tak jednou ze sluzeb hostingu u Ignum je obnova ze zaloh do 1 hodiny.

Takze muj nazor je, ze cely "utok na eretz.cz" je jen vymyslem a podrazem majitelu webu. Zustava zamysleni nad tim, proc ?

Zdroje

• Is your computer a criminal?
• Virus gang warfare spills onto the Net
• Who's behind criminal bot networks?
• http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1030284,00.html
• http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci557336,00.html