Palvelunestohyökkäykset

OldSkool

Kapteeni
Lahjoittaja
#1
Aloitetaanpas sitten tällainen tråådi. TomTomin pienen kannustuksen avittamana...

Tänne voitais koota uutisia siitä miten maanpuolustuksellisen tason palvelunestohyökkäyksiä ilmenee maailmalla ja mitä niistä ilmenee.
Foorumin luonteen tuntien veikkaan etä mielenkiintoinen keskustelu lähtee kuitenkin 5000 piirua kumpaakin suuntaan, joten laitoin aiheen nimen hyvin yleiseksi eli Palvelunestohyökkäykset.

Sähköisessä internet-maailmassahan palvelunestohyökkäys on suunnilleen sama kuin perinteisen sotatoimen "vihollisen lamauttaminen", jolla estetään edes tilapäisesti toimijan tekemiset.
 

OldSkool

Kapteeni
Lahjoittaja
#2
Tällä foorumilla on jossain aiemmin käsitelty ainakin Georgian ja Viron palvelunestohyökkäyksiä, pitää kaivaa linkit esille. Ken on innokas niin saa toki laittaa niistä tiivistelmää tänne !

Aina niin avulias wikipedia määrittelee http://fi.wikipedia.org/wiki/Palvelunestohy%C3%B6kk%C3%A4ys että
Palvelunestohyökkäys (Denial of Service, DoS) tarkoittaa tietyn verkkopalvelun lamauttamista niin, että palvelu ei ole käytettävissä. Muista hyökkäystyypeistä poiketen tavoitteena ei ole järjestelmään tunkeutuminen, vaan sen toiminnan häiritseminen. Julkisessa Internetissä saatetaan vaikkapa häiritä WWW-palvelun toimintaa niin paljon, etteivät asiakkaat pääse sille, tai lähettää niin suuri määrä sähköposteja yrityksen sähköpostipalvelimelle, että levytila loppuu, eikä palvelin kykene enää ottamaan postia vastaan.

Palvelunestohyökkäys tunnetaan myös nimillä palvelunkieltohyökkäys, häirintähyökkäys tai lamautushyökkäys. Useista lähteistä tapahtuvaa samanaikaista hyökkäystä tiettyä järjestelmää kohtaan kutsutaan nimellä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS).
 

baikal

Ylipäällikkö
Mod
Lahjoittaja
#3
Näin yleisesti ottaen on aihe, joka saattaa aiheuttaa harmaita hiuksia, vatsahaavoja ja kammiovärinöitä missä putiikissa tahansa. Nykyiset järjestelmät ovat jees, ne ovat tehokkaita ja valovoimaisia. Mutta kun katkaisijaa kääntää niin pimeys on totaalinen. Muutaman vuorokauden viive pahassa kohtaa voi ratkaista isonkin pelin.

Ollee taistelulaji, jossa aivonystyröitä hierotaan maailmalla oikein urakalla, onko jopa kehittyvin aselaji?
 

koponen

Kenraali
Lahjoittaja
ELSO 2.0
#4
Hyviä caseja on tullut kun heppujen kanssa on lisätty "paha poika -hattu päässä" -sessioiden valikoimaan alaotsikko "taloudellisten tappioiden ja kansalaistyytymättömyyden aiheuttaminen Internetiin liitettyihin tietojärjestelmiin vaikuttamalla".

Tsekatkaa huviksenne omilla työpaikoillanne miten on järjestetty vaihtoehtoinen toimintatapa kun on haettu tuottavuutta (tms.) sähköistämällä prosesseja.
 

ctg

Ylipäällikkö
#5
OldSkool kirjoitti:
Tällä foorumilla on jossain aiemmin käsitelty ainakin Georgian ja Viron palvelunestohyökkäyksiä, pitää kaivaa linkit esille. Ken on innokas niin saa toki laittaa niistä tiivistelmää tänne !
Siinä kun suomentelin sitä Georgian dokumenttia, niin tuli mainittua noita verkkosodankäynnin oppeja, missä venäläiset tiimit pistivät dDoSsia kehiin ihan urakalla kun vastapuoli nurisi naapurin asioista. Mitä tapahtui Georgian sodan aikana on hieman muistin varassa, mutta jos oikein muistan niin samalla kun Venäläisten ilmavoimat tuhosivat solmukohtia, niin samaiset "hakkeri" tiimi pistivät dDoSsilla valtiovallan sivustoja pimeiksi.

Mitä tulee Suomeen, niin jos muistini toimii oikein niin me aloitimme jo 90-luvun puolella perustamaan Suomeen omaa "red"-teemiä. Millaisia työkaluja heillä on käytössä on aivan oma kysymyksensä, mutta uskoisin että ihan perus Denial-of-Serviceen ei luoteta vaan pyritään myös ottamaan haltuun noita naapurin reittimiä ja tärkeitä servereitä. Silloinhan me emme ainoastaan estä naapuria käyttämästä noita vehkeitä, vaan me voimme hyödyntää niitä omiin tarkoituksiin, kuten DoSsin alkuperään (buffer overload) kuuluu.

Jos aikaa riittää niin voidaan jemmata trojalaisia ja muita kivoja kilkeitä, mitä esim löytyy FSecuren varastoista varmaan ihan kympillä. Kysymys kuuluukin että kun harmaa vaihe alkaa, niin annetaanko meidän jamppojen tallata katuja ihan miten vaan, vai tuleeko spollit hakemaan ne suoraan kalliosuojaan?
 

OldSkool

Kapteeni
Lahjoittaja
#6
ctg kirjoitti:
Kysymys kuuluukin että kun harmaa vaihe alkaa, niin annetaanko meidän jamppojen tallata katuja ihan miten vaan, vai tuleeko spollit hakemaan ne suoraan kalliosuojaan?
Harmaassa vaiheessa on useampi eri sävy ... vaaleammasta tummaan. En ryhtynyt kaivamaan julkisista lähteistä niidennimiä, sisältöjä tai arvailemaan keinovalikoimia, mutta uskon ja toivon että jampoille tulee kutsu. ja tuskin facebookin välityksellä :p
 

OldSkool

Kapteeni
Lahjoittaja
#7
ctg kirjoitti:
OldSkool kirjoitti:
Tällä foorumilla on jossain aiemmin käsitelty ainakin Georgian ja Viron palvelunestohyökkäyksiä, pitää kaivaa linkit esille. Ken on innokas niin saa toki laittaa niistä tiivistelmää tänne !
Siinä kun suomentelin sitä Georgian dokumenttia, niin tuli mainittua noita verkkosodankäynnin oppeja, missä venäläiset tiimit pistivät dDoSsia kehiin ihan urakalla kun vastapuoli nurisi naapurin asioista. Mitä tapahtui Georgian sodan aikana on hieman muistin varassa, mutta jos oikein muistan niin samalla kun Venäläisten ilmavoimat tuhosivat solmukohtia, niin samaiset "hakkeri" tiimi pistivät dDoSsilla valtiovallan sivustoja pimeiksi.
No niin, kaivelin tässä vähän 2008 Georgian palvelunestohyökkäyksestä kirjoitettua, ohessa:

http://www.popularmechanics.com/technology/gadgets/4277603 kirjoittaa että
Russian troops invaded Georgia's South Ossetia on Friday, but Russian attacks on Georgia’s major Web sites and overall Internet access began a day earlier. <snip>

Official Georgian domains are currently so unreliable that the country is now using a Google-run Blogspot Web site to host information from the Georgia Ministry of Foreign Affairs.

<snip>
The first development of the cyberwar (which is really one-sided), between Russia and Georgia was on the 20th of July when we started to notice some hack attempts on the Web site of the president [Mikheil Saakashvili] of Georgia. They were coming from known cybercriminal servers inside Russia. That hack seemed to be a test because the sites went back online after a few hours and the attacks stopped.

Then, as of last Thursday, came a full-blown attack which can only be described as a cybersiege on the whole of Georgia's Internet space. It's basically being controlled now by a group of five all-Russian servers and one Turkish server, which is under some sort of direction from Russian cyberspace.

<snip>
Basically the RBN started as a very crude hacking group, hiring out expensive Web hosting to hide different users, particularly for the use of malware, cybercriminal usage, even child pornography. In the middle of last year, May 2007, we saw the first signs of them being hired [for international attacks] or being used by Russian government groups to actually start to take down Estonian government Web sites, which is pretty well reported. Although those [sites] came back online, what you have seen more recently is the attack on Lithuania's Internet infrastructure, by the same groups and same methods as the RBN used. It just happened to be at the same time as the president [Valdas Adamkus] of Lithuania's visit to Washington, D.C.

It seems to be a pattern: When Russia's neighbors start talking to NATO and get involved with the European community, or work to get better relations with the U.S., they start to come under attack. The attacks are ways of stifling the government's information activities. From Thursday, the day before the Russian troops invaded, you had the full-blown cybersiege in place. Basically no Georgian Web sites were available and a great amount of traffic was stopped. If you actually use the trace routes and see these servers in action, they were simply blockading all routes in and out of Georgia.

How does one fight a war like this? Can you do it from within Georgia? Or once those servers are shut down, is it something that has to be done from outside?
Two things. The smaller neighbors of Russia should watch out who controls their next stage of Internet servers, the actual pipelines. Unfortunately for Georgia, they had an agreement where the main switch for most of Georgia's Internet is through Moscow. Very logically, it's submarine fiber roots; you can read about [it] on the CIA Web site, which actually shows the limitations of Georgia, the near-reliance on physical routing through Russia. Georgia gets taken offline fairly easily because Russia is simply blocking all traffic coming in and out. Estonia learned last year; Lithuania is learning now, as even Ukraine is starting to learn, and a few others—they have to start looking for alternative rooting for the Internet for their countries or else they're going to end up in the same situation as Georgia.

<snip>
Besides counterattacking, is there any way to defend yourself?
One way is not to rely too much on purely directed, solely physical pipelines, as has unfortunately proved a problem for Georgia. It also proves a problem for most of Eastern Europe. Hopefully one of the lessons learned is that these countries start to look at wider Internet services. Governments will start to look at making sure that certain countries don't have a monopoly of control over these pipelines.

Another way is to ensure that you have multiple name servers, which would also have helped Georgia. Let's say their sites were mirrored on U.S. servers, maybe Western Europe, maybe even Asia. This parallel, this mirroring of Web sites helps because even if one server is attacked, at least the other servers could come into action.
josta siis vapaasti suomennettuna, että palvelunestohyökkäys alkoi vuorokautta ennen kuin fyysinen hyökkäys. Ja ennen tuota totaalista palvelunestohyökkäystä näytti olleen koe, jolla testattiin että päästiin vaikuttamaan oikeisiin palvelimiin ja sivustoihin. Palvelunestohyökkäys puri erittäin kattavasti kahdesta syystä, nimipalvelimia tai sivustojen peilauspalvelimia ei ollut rinnalla, ja internet-yhteydet ulkomaille kulkivat liikaa yhtä reittiä, jonka kautta vaikuttamalla on helpompi hallita pääsyä.