През последните дни доста големи социални сайтове в Интернет пострадаха от DDoS атаки. Twitter беше тежко задръстен, и на моменти дори сринат. Facebook – също. Пострадаха и WordPress.org и LiveJournal. Силна атака е била проведена срещу Google (по-конкретно YouTube), но безуспешно. (Нямам представа от колко машини е суперклъстерът им; чувал съм, че наближава 100 000 – подобно чудовище е в състояние да глътне като на шега атака от всички ботмрежи на света едновременно. Не се учудвам, че са си счупили зъбите с него.)
Такива атаки не са рядкост, но обикновено се провеждат срещу по-малки сайтове, с искане за откуп. Вършат се чрез ресурсите на дадена ботмрежа (за който не знае – това са голям брой лични или служебни компютри из целия свят, заразени с вирус, който позволява на автора на вируса да ги управлява като овчар стадо). Провеждането им срещу сайтове измежду най-големите в Интернет не е типично, и възбуди интереса ми. Как, по дяволите, изнудвачът смята да си получи парите от толкова големи компании? Без в комплект с тях да дойдат цяла армия хора на ЦРУ?…
И какви ресурси са били обединени, за да бъде сринат Facebook или Twitter? Имали са даже нахалството да се пробват срещу YouTube, и то с всичка сила – всеки в бранша знае какъв порядък ресурси стоят зад него, и мрежови, и експертни, и финансови, и политически. Кой държи и командва такива ресурси? Кой се чувства в безопасност от възможния отговор?… На мен ми е известен точно един отговор – руското правителство, чрез контрола си върху руските криминални групи, които управляват повечето ботмрежи в Интернет. Но от кой зор?!
Отговорът беше прост. Атаката е координирала общо шест различни ботмрежи, контролирани от различни, все руски криминални центрове. Има само едно нещо на света, което може да накара шест престъпни групировки, конкуриращи се безмилостно, да действат заедно. И то не е изнудване на някой наистина голям, като Google – толкова големите имат предостатъчно пари както за политическо лобиране в правителства, така и за наемни убийци. Дребните риби са къде-къде по-лесна и хранителна жертва… Когато групировките са руски, такава координация е нареждане от правителствено ниво.
Смая ме обаче насочеността на атаката. Не е била срещу Facebook, Twitter или YouTube като цяло – а срещу персоналните акаунти в тях на един точно определен човек. Известен е в мрежата като Cyxymu, и е известен грузински блогър, който отразява в записи, снимки и филми войната между Русия и Грузия.
Cyxymu не е безпристрастен, нито претендира да е – както може да се очаква, е про-грузински настроен. В същото време обаче, дейността му онлайн предава чудесно реалната картина на нещата. Коментари, т.е. политическо отношение, и факти при него са рязко разделени, и усилията му да покаже политическото си отношение в коментари са направо скромни пред тези да покаже фактите каквито са, без никакво изопачаване. Неща, които те карат да се възмутиш от руснаците, стоят редом с неща, които те карат да се възмутиш от грузинците. Многозначителни факти, които говорят много лошо и за двете страни, са дадени без никакви следи от “вчесване”… Изобщо, онлайн дейността на Cyxymu създава впечатление за изключителна достоверност на показаното.
Биха ли се обединили шест престъпни групировки, за да смачкат един, да речем, антируски блогър? Руският национализъм е известен, но е типичен за обикновения руснак. Бих се изумил, ако се намери дори една руска престъпна групировка, която да би заделила толкова време и мощност на ботмрежата си за подобна цел. Шест, координирани? Не и на този свят.
Тогава остава другият въпрос. Толкова ли е страшен един грузински блогър за руското правителство, че да ангажира така юнашки едно от най-силните си оръжия в киберсвета? Вярно е, че Русия напоследък абсолютно безцеремонно доказва на кой ли не, че ще наложи със сила да бъде приемана като империя и свръхсила. Вярно е и че Cyxymu е едно от най-достоверните и силни обвинения срещу Русия в Грузия. Но ако не беше тази атака, той щеше да е хиляди пъти по-малко известен, отколкото досега. А като минимум акаунтът му в YouTube надали ще бъде свален или изведен от строя, и отсега нататък въздействието му ще бъде хиляди пъти повече.
Тогава?
Не зная точните подробности, а те са важни. Може би Русия се готви за нова война срещу Грузия, и това е било предупреждение към големите сайтове да не дават глас на Грузия, било нещо съвсем друго, пак свързано с нея. Може би е форма на демонстрация на сила към САЩ, било по повод Грузия, било по друг повод, или без повод (макар че ще е доста глупава демонстрация – Гугъл буквално не усетиха атаката, а в САЩ вероятно има поне 1000 пъти повече Интернет ресурси от техните, и е лесно значителен процент от тях да бъдат мобилизирани – американците също могат да са националисти). Може да е нещо съвсем различно, което дори не предполагам в момента.
Едно е сигурно – иде буря. Може би ще се развихри само на тайно междуправителствено ниво, и ще остане напълно скрита за обикновените хора. А може би ще стане публична, под някакъв вид – било нова война в Грузия, било откъсване на руския интернет от световния, било нещо друго, което не ми хрумва. Но листата вече шумят по онзи характерен начин, който, веднъж преживян, не се забравя лесно.
Да, глупаво е да пишеш: “Бъдете предупредени, не знам срещу какво, и готови, не знам за какво”. Но шумът на листата е твърде силен – може би докато успея да видя какво се задава, то вече ще се е стоварило. Предпочитам да ми се смеят, отколкото да съм мълчал.
Хм. На Теория на конспирацията ми прилича малко, но да видим. Дано не си прав.
Според мен е доста, доста по-лесно да го открият и очистят този Cyxymu, отколкото да организират световна атака срещу Twitter / Facebook заради това.
“It started when hundreds of thousands of spam emails supposedly from me were sent all over the world suggesting for people to visit one of my blogs. So thousands of people visited it causing it to freeze, and they [LiveJournal] had to block it again. Then the same thing happened with Facebook and Twitter.”
Max Kelly, Facebook’s chief security officer, confirmed yesterday that the attack that disrupted the Twitter site and caused problems for Facebook and LiveJournal was aimed at Cyxymu. “It was a simultaneous attack across a number of properties targeting him to keep his voice from being heard,” he said.
А от къде е информацията, че са били точно шест ботмрежите, и че са били управляване баш от “руски криминални центрове” ?
Мисля, че коментиращите преди мен забравят, че Григор освен блестящ коментатор и “елитен блогър” е и посател фантаст 😛
писател-фантаст, де..
@Дончо: Cyxymu така или иначе не изглежда като да е забележима опасност за руската кауза. Допреди атаката беше световно неизвестен, както впрочем и грузинската кауза като цяло… По-скоро бих предположил, че това е предупреждение срещу големите сайтове да не дават глас на грузинската кауза по принцип. Нещо като “ако не го правите, това ще ви спести много излишни милиони разход”. Това обаче би имало смисъл, ако се очаква внезапно грузинската кауза – и то не тази на правителството, а тази на обикновените хора – да стане хиляди пъти по-популярна и гласовита. Познай какво точно би могло да я направи такава…
@skoklyo: Това наистина е било началото. Струва ми се твърде невероятно обаче такава спам-кампания да е качила посещаемостта на акаунта на Cyxymu дори с 10% – кой в днешно време клика на линкове в спам?! А от дори хилядократно качване на посещаемостта на един акаунт до сриване на Facebook или Twitter има още бая порядъци… Също, източниците на атаката – IP-та, за които има актуални данни за принадлежност към определена ботмрежа, и характерът й – многократни еднообразни заявки, типични не за разглеждане на сайт от реални хора, а за DDoS атака от бот – недвусмислено доказват нещата… Най-сетне, произходът на спама, “рекламиращ” Cyxymu, е проследен до поне една (не знам дали не и до повече) от ботмрежите, реализирали и атаката срещу него. Тоест, спамът е бил диверсионно мероприятие, с което атаката да бъде прикрита политически (технически всеки грамотен админ би разпознал нещата веднага).
(Разбира се, би могло да се предположи и “активно мероприятие” на Грузия с цел да натопи Русия. Саакашвили е напълно способен на подобна дивотия. Проблемът тук е, че Грузия би могла най-много да си плати на собствениците на една-две мрежи да й свършат работа, с пълния риск после да разкажат. И с пълна гаранция между тях няма да има нито една руска: противното би означавало “овчарите” й до час-два да цъфнат в специалните стаи за разпити на ФСБ. Шест мрежи, всичките руски… малко неща на този свят са по-невероятни от този вариант.)
@dagoburd: Специалистите по Интернет сигурност непрекъснато следят всички големи и повечето по-малки ботмрежи, и имат доста актуални записи кои IP-та спадат към някоя от тях, и кои не. По тази информация може да се установи кои и колко ботмрежи се включват в атаките. Пак същите специалисти знаят и кой управлява тези ботмрежи, горе-долу както всеки що-годе приличен криминалист знае кои са големите играчи в наркотрафика в страната му, ако и да няма данни да ги арестува (или не може, защото правителството ги покровителства, понеже работят за него, както е в Русия и в Китай).
@Сашо: Радвам се, че “елитен блогър” е в кавички. Мисля обаче, че пак в тях е мястото и на “блестящ коментатор” – а уви, засега май и на “писател-фантаст”… А лошото е, че доколкото знам, атаката срещу Facebook и Twitter продължава дори в момента. Така че това ще да е един много особен вид фантастика – пишат я, след като се е случила…
Въобще не са фантастики това. Първо, в днешно време C&C сървърите за управление на ботнетите са еволюирали доста. Примерно има един такъв софтуер за менажиране на инфектирани хостове, наречен Zeus. Въпросният е набор от няколко PHP скрипта и binaries, които си комуникират с заразените машинки. С малко повече късмет можете да си го откриете (твърде вероятно ще откриете троянизирана версия, но това няма голямо значение). Разгледайте му уеб интерфейса – ботнета може да се сегментира, да се създават акаунти, които имат контрол само върху част от ботнета и т.н. Това отдавна е станало бизнес, BaaS един вид (botnet as a service)
После, доколкото съм запознат, да си наемеш част от ботнет с 1000 хоста струва няколко десетки долара, това са нищо пари. За няколко десетки хиляди долара ще имаш ужасно много машини на разположение за една хубава и мощна DDoS атака, дори срещу такива high-profile цели като twitter. И цялата тарапана не е голяма – предполагам само трябва да ходиш да се пазариш из хахорските форуми. Не се налага да пишеш неоткриваем от антивирусите malware, да заразяваш с него машини, да пишеш C&C сървъри за управление на ботнетите и т.н, просто си пазариш наготово.
Така че дори не се налага злото джудже Путин да плаща масрафа. Достатъчно е някаква групичка зли руски националисти да съберат пари и да сътворят злата конспирация. При което, целта им надали е била да сриват цялата услуга. По-скоро според мен са разчитали на това, че от Twitter просто ще спрат атакувания акаунт, вместо да отнесат DDoS атаката в продължение на дни.
Хич не са добре в днешно време нещата :о
Информация от NEWS.BG -от 30.07.2009г-/цитат/-“Миналата седмица руският представител в НАТО Дмитрий Рогозин посочи опасността от продължаващите оръжейни доставки и военна помощ за Грузия от други страни.
Той подчерта, че Русия няма да се колебае да въведе санкции срещу чуждестранни фирми, които продължават да доставят военна екипировка на Грузия.”
(тоест -предполагам , че в началото на август-до 7 -ми ,някакви мерки са взети)
————————————————-
цитат от Григор:”Проблемът тук е, че Грузия би могла най-много да си плати на собствениците на една-две мрежи да й свършат работа, с пълния риск после да разкажат.”.. —-Да, обаче тези ,гореспоменати оръжейни фирми могат да “помогнат”. Те не са случайни фирми за плод-зеленчук…
Както ,също така едва ли е случайно съвпадението на началото на интернет- атаката (7-ми авг.16ч 45мин бълг.време -17.45груз)с атаката на Грузия през 2008г. –7срещу 8 авг. -в малките часове, като заповедта за завземане на позиции за атака от груз.армия е издадена горе -долу в същия час. Т.е, съвпада точно с годишнината от конфликта.
Пак конспирации ще каже някой, ама не вЕрвам на случайности и това е….:-)
@gat3way, Кръстю: Описанията ви звучат много смислено и достоверно, но страдат от дребен проблем.
Силно оцветената политически атака не е просто нещо. Представете си го като сделка с наемни убийци за живота на някой. Цената би била една за случаен гражданин, и съвсем друга за известен политик, дори ако ходи без охрана. А ако е напълно вероятно убийството да предизвика международно напрежение на най-високо ниво, дори най-елитните наемници не биха посмели да поемат поръчката – би означавало по следите им да тръгне де що сериозна тайна служба има по света, и да ги остави само след като три пъти подред се е уверила, че са мъртви… При положение, че атаката им изпортва така зле Русия, въпросните кримки до час от началото й вече щяха да са във ФСБ, на разпит “с широко прилагане на средства”. А атаката продължава вече няколко дни. Не си представям това да стане не просто без позволението, а без заповедта на най-високи чинове от “службите”. Което пък означава правителството.
О, да ,разбира се. Това са само предположения …Просто този, Cyxymu — не виждам какво толкова му е “провинението”. Той, както казваш, макар и пристрастен, е доста обективен и не виждам с какво е вбесил мечката…Докато това дрънкане на оръжия под носа им е доста дразнещо. Не мога да разбера, Саакашвили …нито е Кастро, нито Грузия е Куба..Кой му е внушил, че НАТО не може без него?! САЩ си имат Турция, направиха си държава Косово, направиха си и една огромна база там, могат да се облегнат и на нас…
Хрумна ми нещо : 5 дни миналата година продължи офанзивата…Да видим колко дни ще продължи атаката….Днес е третия ден, май 🙂
Ами възможно е и наистина държавната машина да си го е поръчала. В Русия оперират разни големи лоши кибер-злодеи 🙂 които са си цяла мафия, откъдето и да ги погледнеш. Всякакви зли неща като почнеш от фишинг, минеш през детски порнографии, разработване на малуер, менажиране на ботнети и т.н са им част от бизнеса. Също и служат като платформа за други по-дребни бандюги, като им продават готови решения и bulletproof hosting (такъв дето като си качат фишинг глупостите, не им ги махат въпреки официалните оплаквания). Разни компании занимащи се с ИТ сигурност, както и западни правителства натискат руснаците да вземат мерки, обаче мерки не се вземат. Защо? Ами когато естонците капичнаха онези съветски паметници, много лош DDoS помете повечето им ISP-та, новинарски и правителствени сайтове, както и системи за електронно банкиране. Когато стана тарапаната с Грузия, същата работа. Може би тези кибер-бандюги правят услуги за правителството, в замяна на което не ги тормозят. В крайна сметка, според много хора, най-големите мутри в Русия са онези, които я управляват. Същото като в България впрочем.
@gat3way: В Русия към момента всички форми на власт – правителство, парламент, съд, едър бизнес, църква, едра престъпност, каквото се сетиш – са под контрола на тайните служби. Путин е просто един успял и с по-малко залитания по момиченца Берия. Съответните длъжности, формални или не, където и да е, вървят със съответен чин в службите. Твърди се, че последният им избор на патриарх се забавил точно затова – имало някакво забавяне в процедурата на службите по произвеждане от полковник в генерал… В България е обратното – престъпността управлява службите. Май е добре да драсна един запис, който да зачеква темата.
Иначе, това, че киберкримките в Русия работят с правителството и са под негова протекция, го има още от пет-шест години насам. Това е причината всички ботмрежи в Интернет да се контролират от руснаци и китайци – в тези две държави киберпрестъпникът има протекция от правителствено ниво, и затова е реално недосегаем за следователите от Запада, където основно върши золумите си. В Русия нещата са организирани простичко – водиш се към тайните служби. Каквото събереш като пари, си е за теб (поне повечето). Каквото събереш като информация, си е за службите. И, естествено, каквото те наредят, се изпълнява безусловно. Иначе минаваш през едни специални стаи за разпит, от които доста малко хора излизат, а още по-малко излизат и още са себе си…
Еба си мамата! Нищо не разбрах от техническите обяснения, но разбрах, че Русия отново се превръща в “империя на злото”. А колко надежди имахме…
@Симеон В.: Аз нямах особени надежди, но ме е страх, че в момента Русия е много повече “империя на злото”, отколкото например по соц-време. Социализмът имаше огромни недостатъци, но и някои предимства, ако и малки на фона на недостатъците. Сегашната система в Русия на практика обединява най-лошото от сталинско-бериевския тоталитаризъм и капитализма…
Принципно се отклоняваме от основната тема, но по въпроса за “империята на злото”:
Лично аз мисля, че е хубаво да има алтернатива/или най-малкото противовес на САЩ (в стил администрацията на Буш). Хубаво е основно за България, не толкова за Англия или Полша, примерно. Защото докато една силна Русия е кошмар за разните там британци, за една България това може би е много добро нещо. Пример – отношенията с Турция (един ключов партньор на Щатите, за когото те са готови да си затворят очичиките примерно за редовните акции по изтребването на кюрдите). А и исторически България никога не се е разбирала с Англия (която винаги е подкрепяла Гърция), предшественичката на днешната Американска империя. Бе примерите са много.
И макар че определено не съм русофил (по-скоро бих се определил като голям почитател на американската култура като цяло / изключвайки разните там неоконове и Бушисти), абсолютната власт на една суперсила и еднополюсният свят не са ми по вкуса. Още повече имайки предвид, че републиканците в САЩ определено вървят към фашистко управление (дано да се лъжа), а изборите в СА на Щ са всеки 4 години.
Не е ли иронично – една “империя на злото” (щото Русия си е нещо такова) да се явява шанс за добруването на редица народи, предвид един разумен външнополитически баланс. Напомня ми на ситуацията от края на 19ти/началото на 20ти век – преследвайки свои егоистични интереси, Русия практически прави държавата България (Руско-Турската война 1877-78). И губи контрол над нея в резултат на външната политика на българските държавници и основно поради наличието на “противовес”/”баланс” от страна на другите “Велики сили”, които всъщност дълбоко в себе си предпочитат България да е или турско или гръцко владение.
Естествено, тук говоря за “алтернатива”, “противовес”, “балансиращ фактор” от чисто патриотична, българска външнополитическа гледна точка. За голямо мое съжаление, обаче, повечето ни политици на отговорни постове от 1945 до сега просто си продават (или подаряват, в зависимост от манталитета) гъза я на САЩ (Костов ’99, Паси 2003 – съюза на уилингите срещу Ирак), я на Русия (БСП/БКП откак съществува).