Český CSIRT vydal odporúčanie proti útokom Anonymous

DSL.sk, 2.2.2012

Český tím na riešenie počítačových incidentov CSIRT.CZ, Computer Security Incident Response Team, vydal v stredu odporúčanie pre majiteľov a prevádzkovateľov webových serverov, ktoré sú terčom útokov českých a slovenských aktivistov hlásiacich sa k skupine Anonymous.

CSIRT.CZ v odporúčaní zhŕňa len verejne známe fakty o DDoS útokoch Anonymous a odporúča niektoré štandardné nástroje na boj proti takýmto typom útokov.

Anonymous pri útokoch na slovenské a české stránky v rámci aktuálnej aktivity vyvolanej vypnutím Megauploadu, presadzovaním amerických zákonov SOPA a PIPA, procesom prístupu k dohode ACTA a kauzou Gorila využívali s výnimkou vodného parku Tatralandia a českej politickej strany ODS, ktorým hackli stránky, DDoS útoky preťažujúce webové servery.

Využívajú k tomu nástroje HOIC a LOIC pre preťaženie webových serverov veľkým množstvom HTTP požiadaviek a nástroj Slowloris naopak udržiavajúci veľa otvorených spojení čo najdlhšie, blokujúci kapacitu webového servera. Doteraz útočili súčasne desiatky až stovky aktivistov.

CSIRT.CZ odporúča proti Slowloris útoku proti serveru Apache mod_antiloris alebo mod_noloris, proti ostatným útokom na unixových platformách modul TARPIT pre firewall iptables respektíve moduly limit a hashlimit. Ďalším z odporúčaní je podľa možnosti použiť odolnejší webový server, napríklad nginx.

Hoci útoky boli zatiaľ najmä typu DDoS, CSIRT.CZ odporúča weby skontrolovať aj na XSS a SQL injection zraniteľnosti, zmeniť heslá k databázam a odstrániť na webe dostupné a už nepotrebné skripty.

"Zatím se akcí Anonymous neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream," upozorňuje CSIRT.

Svoj bezpečnostný tím CSIRT.SK má od leta 2010 aj Slovensko, od začiatku tohto roka mal byť podľa avizovaných informácií v plnej prevádzke. CSIRT.SK tento rok ale publikoval na webe jedinú správu, o záťahu FBI proti skupine za škodlivým kódom DNSChanger.


Najnovšie články:



Diskusia:

Bohužial Od: matkooo | Pridané: 2.2.2012 12:01 celkom pochybujem, že sa tým bude niekto zo štátnej správy zaoberať... A ak áno, spravia zase výberové konanie a nejaká "expertná spoločnosť" s 2 hodinovou históriou zarobí milion eur, že zachránila svet. Odpovedať Známka: 10.0 Hodnotiť:

Re: Bohužial Od: 52-ka | Pridané: 2.2.2012 13:54 Tak máš šancu, neváhaj! Odpovedať Známka: -6.5 Hodnotiť:

Re: Bohužial Od reg.: - maX - | Pridané: 2.2.2012 14:11 jedine ak je rodinnym prislusnikom niekoho vo vlade Odpovedať Známka: 8.5 Hodnotiť:

Re: Bohužial Od: pokrytec | Pridané: 2.2.2012 14:18 sancu nema, ani on ja ani ty. sance budu rozdane tesne po incidente.. Odpovedať Známka: 8.3 Hodnotiť:

Re: Bohužial Od: afdgasdv | Pridané: 2.2.2012 22:37 sklamem Ta, robim v takej "expernej spolocnosti" a mozem Ti povedat, ze opatrenia na vela vladnych weboch su uz nasadene. Utok na UV, to bola fraska, lamy co si pustali loic si mysleli, ze nieco zhodili, pricom len zhodili seba od toho webu. Tiez Ti mozem povedat, ze utok na UV stale prebieha a ako vidis vsetko funguje :) Odpovedať Známka: 1.1 Hodnotiť:

dawdawda Od: wdadaw | Pridané: 2.2.2012 12:05 da sa vobec DDoS utok pouzivat za hackersky utok jak sa tym media furt oahanaju ? k nijakym datam sa nedostali a ze im server zdochol je skor problem technicky to je ako keby zatykali ludi ze prisli na vypredaj a prepadol by sa pod radou eskalator :DD organizator by mal byt na to pripraveny Odpovedať Známka: 9.8 Hodnotiť:

Re: dawdawda Od: zxcv | Pridané: 2.2.2012 12:46 +1 Odpovedať Známka: 8.5 Hodnotiť:

Re: dawdawda Od: ubx | Pridané: 2.2.2012 12:50 Ono dakedy staci len na dakam zavesit, ze o 16:00 sundame ten a ten web. vsetci sa na to vtedy pozrite. a nemusis ani pohnut prstom. :-) Odpovedať Známka: 9.6 Hodnotiť:

Re: dawdawda Od: ivan+ | Pridané: 2.2.2012 18:29 DDoS nie je o tom, že tisíce užívateľov chce používať službu. DDoS je o úmyselnom zneprístupnení služby. Čiže ak v čase výpredaja zorganizuješ na eskalátore "Kto neskáče ten je k...t, hop, hop, hop!" tak to bude DDoS. Odpovedať Známka: 8.4 Hodnotiť:

Re: dawdawda Od: ivan+ | Pridané: 2.2.2012 18:31 DDoS nie je o tom, že tisíce užívateľov chce používať službu. DDoS je o úmyselnom zneprístupnení služby. Čiže ak v čase výpredaja zorganizuješ na eskalátore "Kto neskáče ten je k...t, hop, hop, hop!" tak to bude DDoS. Odpovedať Známka: -2.5 Hodnotiť:

csirt Od: zul | Pridané: 2.2.2012 12:14 presne tak Odpovedať Známka: 8.3 Hodnotiť:

Zaujimalo by ma, Od: iso | Pridané: 2.2.2012 12:32 kto financuje CSIRT a jeho slovenskeho kolegu. Lebo za taketo odporucania by som nedal ani cent, slowloris a mutacie su zname uz aspon XX mesiacov. No a ked je hrozba, logicky sa treba branit. Hned, nie o rok - dva. Odpovedať Známka: 7.5 Hodnotiť:

Re: Zaujimalo by ma, Od: sky007 | Pridané: 2.2.2012 12:42 "kto financuje CSIRT a jeho slovenskeho kolegu." na ich stranke je napisane powered by cz.nic Odpovedať Známka: -5.0 Hodnotiť:

Re: Zaujimalo by ma, Od: iso | Pridané: 2.2.2012 13:42 to je ako ked mas na kompe Intel inside Odpovedať Známka: 9.2 Hodnotiť:

Re: Zaujimalo by ma, Od: sdljks | Pridané: 2.2.2012 17:19 ..o.c.o.t. outside Odpovedať Známka: 2.0 Hodnotiť:

Re: Zaujimalo by ma, Od: ivan+ | Pridané: 2.2.2012 18:36 Slovenský CSIRT patrí pod Datacentrum Ministerstva financií. Majú to na webe ... Odpovedať Známka: 10.0 Hodnotiť:

Re: Zaujimalo by ma, Od: ubx | Pridané: 2.2.2012 12:49 tiez som to pozeral. hmmm... tiez som cumel. ale asi sa po nich dake vyjadrenie chcelo. ale ako nahovarat roota, aby len tak predradil webserver, ktory nema ochytany, zrusil conntrack (kvoli tarpitu), no neviem. tie limity su k veci, ale to by tam malo visiet (kedze DoS nie je novinka) uz nejaky ten rok. Odpovedať Známka: 6.7 Hodnotiť:

Re: Zaujimalo by ma, Od reg.: Marki555 | Pridané: 2.2.2012 16:45 Slovensky CSIRT financuje zrejme nas Slovensky stat. Zatial co som videl, tak rozposielaju automaticke emaily majitelom hacknutych webov. Nepredpokladam ze by tie weby skenovali sami, zrejme len prehladavaju databazu googlu/mcafee a podla IP rozposlu tie maily. Ale aj tak super vec, niektori majitelia casto aj par mesiacov netusia ze to maju hacknute kym im nejaky navstevnik neda vediet ze im firefox ohlasil ze dana stranka je skodliva... Odpovedať Známka: 10.0 Hodnotiť:

eský CSIRT Od reg.: tomibojko | Pridané: 2.2.2012 12:46 možno mi to len niekde ušlo, ale ešte som sa nedočítal nikde aký masívny ten ddos utok vlastne je? lebo by som sa nečudoval, že pri kvalitách niektorých štátnych a samosprávnych stránkach možno nejde ani o ddos útok ale len sa 100 uživateľov chcelo prihlásiť naraz Odpovedať Známka: 8.3 Hodnotiť:

nezda sa mi to Od: Pap1er | Pridané: 2.2.2012 13:13 podľa toho čo som sa dočítal na internete Anonymous NEpoužívajú LOIC.... Odpovedať Známka: -3.3 Hodnotiť:

Re: nezda sa mi to Od reg.: Redakcia DSL.sk | Pridané: 2.2.2012 13:22 V inštrukciách pre ľudí, ktorí sa chcú zapojiť, dávajú návod na používanie všetkých troch nástrojov, aj LOIC. Odpovedať Známka: 5.0 Hodnotiť:

Re: nezda sa mi to Od: chápem písaný text | Pridané: 2.2.2012 14:22 to však značí že LOIC vedia používať, nie že ho používajú. Odpovedať Známka: 8.2 Hodnotiť:

Re: nezda sa mi to Od: netload | Pridané: 2.2.2012 14:23 Ale najnovšie nedoporučujú používať LOIC ale HOIC. Anonymouse to písal všade a to že ponúkajú návod na LOIC je staré. Potom všade písali že nemajú použivať LOIC ale HOIC. Odpovedať Známka: 10.0 Hodnotiť:

win vs lin Od: agaegrfaqweg | Pridané: 2.2.2012 14:24 lebo statna sprava pouziva unixove servery, hej? Odpovedať Známka: 3.3 Hodnotiť:

Re: win vs lin Od reg.: viperman | Pridané: 3.2.2012 11:07 aj Odpovedať Hodnotiť:

fdasgdfsh Od: gsdfsdffdgdsgahhjhgj | Pridané: 2.2.2012 17:32 CSIRT.CZ odporúča proti Slowloris útoku proti serveru Apache mod_antiloris alebo mod_noloris - tá veta aj dáva zmysel... Odpovedať Známka: -1.4 Hodnotiť:

Re: fdasgdfsh Od: smils | Pridané: 2.2.2012 21:17 no predstav si ze dava. pouzijes mod_antiloris alebo mod_noloris na serveri apache proti utoku slowlorisom.. Odpovedať Známka: 6.7 Hodnotiť:

A co mod klitoris-•rys Od: Grygar | Pridané: 2.2.2012 21:31 Mod_klitoris na angina_pectoris....? Odpovedať Známka: 7.3 Hodnotiť:

Prispievajte do diskusií ako prihlásený užívateľ. Od: dfgdfgfd | Pridané: 3.2.2012 1:34 Mne sa paci ze existuju veci ako LOIC HOIC, lebo aspon sa moze slusny obcan dostat k nastrojom ktore dokazu vyradit webstranku z prevadzky, nieco ako reverzny srajk. Presne ako co sa deje teraz. Odpovedať Známka: -2.0 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: gtgt | Pridané: 3.2.2012 7:51 lenze, vzdy ked sa taketo nastroje masovo rozsiria, rozsiria sa aj opatrenia proti nim Odpovedať Známka: 10.0 Hodnotiť:

a toto je čia prácička? Od: brusik | Pridané: 3.2.2012 23:33 http://sas.sk/ Odpovedať Hodnotiť:

Pridať komentár