#DDoSадно
Од 4-ти јули па се до денеска, IT.mk, како и други македонски популарни сајтови и системи (засега јавно се произнесоа од KlikniJadi.mk) се соочуваат со DDoS напади. Со цел појаснување на овој сајбер напад на пошироката јавност, како и споделување на нашето искуство со митигација на DDoS нападот – го започнуваме овој серијал од текстови насловен #DDoSадно.Од 4-ти јули, со пауза од неколку дена кога најверојатно напаѓачот пронаоѓаше нов ботнет сервис бидејќи иницијалниот беше оневозможен, IT.mk покрај други македонски сајтови е таргет на DDoS напади. Нападите во овој период кон IT.mk кумулативно стигнаа до скоро 1 милијарда барања, со варирање на индивидуалните напади од 2.500 до 12.000 барања во секунда. Нападите се одвиваат во интервали во текот на целиот ден – меѓутоа не и преку ноќта и започнуваат исклучиво после 08.00 часот наутро. :)
Планираните текстови во серијалот #DDoSадно по првичниот за запознавање со DDoS и текстот за категоризација и типови на DDoS напади, беа детална анатомија на DDoS-от врз IT.mk во периодот од 4-ти јули до 9-ти јули, како и споделување на искуствата, проблемите и грешките со кои се соочивме за време на митигацијата. Но, бидејќи во моментот се преземаат одредени чекори во истрагата во соработка со домашни и странски стручни лица и институции, вклучително и два национални CIRT тимови, од нас беше побарано да ги одложиме планираните текстови во кои ќе откриеме јавно повеќе детали (детали за ботнетот, инволвирани провајдери и сл.) дури трае моменталната фаза на истрагата.
Од таа причина, меѓувремено одлучивме да споделиме една едукативна приказна од 2018-та година која би требало да послужи и како порака до тие што трошат ресурси и време за извршување на DDoS напади (да, веќе има повеќе индикации дека напаѓачот е од локално поднебје) дека оневозможување на нормална работа на компјутерски системи и сервери и нивно попречување е кривично дело, а сериозноста на кривичното дело е паралелна со обемот на штета што нападите ја причинуваат. Кај нас, тоа е регулирано со член 251 од Кривичниот законик.
Член 251 од КЗ
Член 251(1) Тој што неовластено ќе избрише, измени, оштети, прикрие или на друг начин ќе направи неупотреблив компјутерски податок или програма или уред за одржување на информатичкиот систем или ќе го оневозможи или отежне користењето на компјутерски систем, податокот или програмата или на компјутерска комуникација, ќе се казни со парична казна или со затвор до три години.
(2) Со казната од став 1 ќе се казни и тој што неовластено ќе навлезе во туѓ компјутер или систем со намера за искористување на неговите податоци или програми заради прибавување противправна имотна или друга корист за себе или за друг или предизвикување имотна или друга штета или заради пренесување на компјутерските податоци што не му се наменети и до кои неовластено дошол на неповикано лице.
(3) Со казната од ставот (1) на овој член ќе се казни тој што неовластено ќе пресретне, со употреба на технички средства, пренос на компјутерски податоци кој нема јавен карактер до, од и внатре во одреден компјутерски систем, вклучувајќи и електромагнетни емисии од компјутерски систем кој поддржува такви компјутерски податоци.
(4) Тој што делата од ставовите (1), (2) и (3) на овој член ќе ги стори спрема компјутерски систем, податоци или програми што се заштитени со посебни мерки на заштита или се користат во работењето на државни органи, јавни претпријатија или јавни установи или во меѓународни комуникации, или како член на група создадена за вршење такви дела, ќе се казни со затвор од една до пет години.
(5) Ако со делото од ставовите (1), (2) и (3) на овој член е прибавена поголема имотна корист или е предизвикана поголема штета, сторителот ќе се казни со затвор од шест месеци до пет години.
(6) Ако со делото од став 3 е прибавена поголема имотна корист или е предизвикана поголема штета, сторителот ќе се казни со затвор од една до десет години.
(7) Тој што неовластено изработува, набавува, продава, држи или прави достапни на друг посебни направи, средства, компјутерска лозинка, код за пристап и сличен податок со кој целината или дел од компјутерскиот
систем се оспособува за пристап, компјутерски програми или компјутерски податоци наменети или погодни за извршување на делата од ставовите (1), (2) и (3) на овој член, ќе се казни со парична казна или со затвор до една
година.
(8) Обидот за делото од ставовите 1 и 2 е казнив.
(9) Ако делото од овој член го стори правно лице, ќе се казни со парична казна.
(10) Посебните направи, средства. компјутерски програми или
податоци наменети за извршување на делото ќе се одземат
Како тинејџери од Србија и Хрватска завршија зад решетки овозможувајќи DDoS напади
Приказната за тинејџерите кои овозможувале извршување на DDoS напади кулминира во 2018-та година, кога на вратата на двајцата српски државјани од Прокуљпе и Рума, М.Ј. тогаш 19-годишен , и Д.В. тогаш 21-годишен, ќе чукне српската полиција која акцијата ја извршува во соработка со полициските оддели за борба против високотехнолошки криминал на Холандија, Велика Британија, Хрватска, Канада, САД (ФБИ), Германија, Шпанија, Хонг Конг, Шкотска, Италија и Австралија.
Двајцата тинејџери се обвинети дека продавале услуга која била злоупотребувана за DDoS-ирање на разни сајтови ширум светот. Истата била достапна на доменот WebStresser.org и прикриена како алатка за стрес-тестирање на ресурси.
На сајтот, сервисот бил претставен како еден од најдобрите и најсигурни DDoS алатки на пазарот со кои секој ќе може да го истестира својот сајт за DDoS напад – секако намерно игнорирајќи и не преземајќи никаква одговорност ниту додавање на контролни механизми за една таква алатка да не биде злоупотребувана од страна на корисници.
Третирајќи го бизнисот како легитимен бизнис, тинејџерите од Србија, предводени од колега-тинејџер од Хрватска како администратор и уште двајца неименувани помошници, си ја рекламирале услугата како легитимна и ја препродавале по јавно достапни цени. Па дури користеле и канали како Facebook и YouTube за промоција. Во истиот ден во Хрватска, на 19-годишниот К.Р. во Запрешиќ на врата му се појавила тамошната полиција а набрзо ќе се востанови дека всушност хрватот е основачот на сервисот.
Достапните пакети започнувале од 19 US долари за 1 месец до 102 долари, како и супер планови од 999 кои биле достапни само за премиум корисници на сајтот а наплатата се извршувала во крипто или преку Paypal.
Комплетно игнорантскиот однос, секако намерен, спрема криминалот кој го овозможуваат успеал да ги направи до толку популарни, што нивниот сервис WebStresser.org станал една од најпопуларните алатки за извршување на DDoS напади во периодот 2017-2018 година.
Само во 2018-та година нивниот сервис имал повеќе од 136.000 регистрирани корисници, кои пак таргетирале и DDoS-ирале над 4 милиони домени ширум светот користејќи ги услугите на WebStresser.
Меѓутоа, на darkweb почетоците на Webstresser датираат уште од 2015-та година, каде алатката се продава токму како алатка за извршување на малциозни DDoS напади. Самиот Webstresser, имал и white-label решение преку кое услугите се препродавале и преку други сајтови, а во инфраструктурата која ја користeле за овозможување на нападите не се бирале средства туку се одело на мегаломанско искористување на што е можно повеќе провајдери, ботнети и уреди заразени со малициозни софтвери.
Сите три лица се осудени на повеќегодишни затворски казни, а сајтот и услугите се конфискувани од страна на владините организации кои ја предводеа акцијата.
Алатките за тестирање не се нелегални
Алатките за стрес тестирање на веб сервиси не се нелегални. Таканаречените stresser или booter решенија се валидни алатки за QA и стрес-тестирање на софтвер, веб апликации и сервер инфраструктура. На пример, за времето на пишување на овој текст изгуглавме клучен термин “web stresser” и самиот Google, покрај органските резултати кои ни ги понуди, прикажа и реклами во кои ваквите алатки се рекламираат – а оние што.
Ако посетите еден од сајтовите кои ги рекламираат услугите, ќе го најдете скоро истиот шаблон како на сајтот на WebStresser.org и многуте слични, каде што покрај ветување дека услугата е анонимна, ќе имате и достапен ценовник. Еве еден таков пример:
Според горенаведениот ценовник, за $150 долари/месечно може да добиете пристап до алатката која ќе ви овозможи да извршувате напади тестови во јачина од 80-160 Gbps со времетраење од 7.200 секунди.*
На ова треба да се гледа аналогно како на пиштол. Продажба и поседување на пиштол не е нелегална работа, се дур не направите нешто нелегално со нив. Ист е случајот и со алаткиве – ако истите ги користите за свои потреби и тестирање на апликации во свој домен и инфраструктура, нема да имате проблем. Проблемот настанува кога истите ќе ги злоупотребите за да наштетите и причините штета на други или да оневозможите сервиси.
Прогон и на корисниците на WebStresser.org
Во денешно време, прилично е наивно да се смета дека еден VPN, прокси па дури и Tor ќе ви овозможат комплетна анонимност на централизиран интернет.
Во приказната од 2018 година на WebStresser.org, по апсење на сопствениците на сервисот, полициската акција именувана PowerOff ќе стави зад решетки и стотици други корисници на сервисот.
Секако дека на темава има и понови приказни за слични полициски акции во кои се изгасени сервисите и уапсени актерите, меѓутоа сметаме дека баш оваа приказна е таа која е доста поучна и треба да послужи за лекција, плус е некако блиска геолокациски – особено на оние кои со користење на ваков тип на алатки не малтретираат нас и многу други сајтови веќе 2 недели, безгрижно верувајќи во анонимност на интернет:
п.с. DDoSадно ти е?
*Корекција направена на 03.08.2022 во 17.48 часот – погрешна интерпретација за јачината на нападот, всушност станува збор за времетраење.
