Ataki DDoS na polskie strony rządowe

Data publikacji: 23/01/2012, przemek

Od sobotniego wieczoru jesteśmy świadkami serii incydentów nazwanych przez media „wojną Anonimowych z Polską”. Niestety, niewiele jest jasnych i merytorycznych informacji o tym, co tak naprawdę dzieje się z rządowymi serwisami. W obliczu pojawiających się w prasie informacji typu „internetowa część polskiej administracji przestała właściwie istnieć” brak ten wydaje się dość odczuwalny. Postanowiliśmy więc rzucić trochę światła na najistotniejsze naszym zdaniem rzeczy.

Zacznijmy od tego, co widać gołym okiem. Po ogłoszeniu przez Polskę woli podpisania układu ACTA strony wielu serwisów, przede wszystkim w domenie .gov.pl, przestały wyświetlać zawartość. Zazwyczaj próba załadowania strony kończyła się komunikatem o niedostępności. W krańcowych przypadkach zawartość znacząco różniła się od oczekiwanej. Oba fakty nie są oczywiście bez związku, o czym dalej.

Podstawową kwestią, która często pojawiała się w pytaniach od mediów i która sprawiła sporo zamieszania przez różne niefortunne wypowiedzi jest to, czy w ogóle mamy do czynienia z atakiem. Odpowiedź jest prosta – tak, mamy do czynienia z serią ataków i nie ma większego sensu zaprzeczanie temu oczywistemu faktowi ani zwalanie winy za niedostępność na wzmożone zainteresowanie serwisem. Tym bardziej, że ataki DDoS (bo o nie przede wszystkim chodzi) nie są czymś, przed czym łatwo jest się zabezpieczyć. Nie są przy tym także niczym szczególnie wyrafinowanym, przez co łatwo jest przyłączyć się do nich mniej lub bardziej przypadkowym osobom i łatwo wskazywać kolejne cele.

Na czym polega atak DDoS? Nazwa pochodzi z angielskiego Distributed Denial of Service, co oznacza „rozproszoną blokadę usługi”. Ataki przeprowadzone w ostatnim czasie na serwery administracji polegają na wysyłaniu wielu zapytań do serwerów WWW, z bardzo dużą częstością. Serwery, przystosowane do obsługi znacznie mniejszego ruchu, zachowują się jak wąskie drzwi, przez które usiłuje jednocześnie wejść tłum osób zainteresowanych wyprzedażą w supermarkecie – trzeszczą, czasem pękają, a przy tym nie przepuszczają nawet tych, którzy przyszli tylko po chleb i wędlinę. Aby ochronić się przed takim atakiem, konieczna jest inwestycja w odpowiednią infrastrukturę, sprzęt i łącza. To bardzo wysokie koszty i przed ich poniesieniem należałoby rozważyć, czy dostępność strony podczas sporadycznych ataków DDoS jest wartością wystarczającą dla ich uzasadnienia. Na co dzień rozwiązania te byłyby bezużyteczne. Wobec tego, należy z rezerwą podchodzić do głosów podnoszących w wątpliwość stan zabezpieczenia serwisów administracji skoro „tak łatwo je wyłączyć”. Ostatecznie, w przypadku DDoS wszystko jest kwestią zmobilizowania dostatecznie dużych zasobów, a więc dostatecznie dużego tłumu gotowego do „szturmowania drzwi”.

To prowadzi nas do kolejnego źródła nieporozumień – Kto tak naprawdę dokonuje ataków? Kim są słynni Anonimowi? O przypisaniu ostatnich ataków tej właśnie grupie decyduje fakt, że akcja koordynowana jest przez jej „oficjalne media” – twitter, fanpage w portalu Facebook (ponad 7300 fanów w chwili pisania tych słów!) czy wreszcie serwer IRC. W tych „mediach” zapowiedziano ataki jako formę sprzeciwu dla działań rządu. W nich także zainteresowani mogą pobrać odpowiednie oprogramowanie do ataku, dowiedzieć się jak je skonfigurować oraz jak zadbać o swoją anonimowość (z wykorzystaniem usług VPN). Wreszcie, dowiadują się o tym, jakie cele zostały aktualnie wyznaczone przez koordynatorów. Wszystkie te informacje są otwarte i dostępne dla każdego. Kto więc po nie sięga i dlaczego to robi? Czy są to ludzie faktycznie walczący o idee? Z naszych obserwacji wynika, że spora część uczestników bierze udział w akcji „STOP ACTA” głównie po to, aby zrobić zamieszanie. Nie mają wielkiego pojęcia o merytorycznych aspektach ACTA, co dobitnie widać w niektórych stwierdzeniach oraz niechęci do jakiejkolwiek dyskusji. Często decydujący dla wzięcia udziału wydaje się sam fakt, że atak jest łatwy do przeprowadzenia a jednocześnie efektowny i szeroko komentowany w mediach. Stałymi elementami napędowymi dla ataku są cytowania i komentarze do informacji medialnych, które wywołują żywy entuzjazm uczestników. Nie ma przy tym specjalnego znaczenia, na ile dany „cel” ma związek z głównym protestem. Oprócz stron z domeny gov.pl ataki kierowane były m.in. na prywatną stronę Waldemara Pawlaka czy… strony sieci Tesco, a wśród propozycji pojawiały się także media, banki czy PKP. W niedzielę kilka krótkich ataków dosięgnęło także serwisu CERT Polska, który przez atakujących został pomylony z CERTem rządowym. Trudno nawiasem mówiąc znaleźć sensowną argumentację za jakimkolwiek związkiem tego ostatniego z ACTA.

Poziom zaawansowania technicznego osób biorących udział w ataku także jest dość zróżnicowany. Spora część z nich nie ma zielonego pojęcia o tym, co to jest VPN, ani nawet jak działa program, który pobierają i uruchamiają. Wystarczy prosta zależność między akcją (klik!) i skutkiem (strona nie działa, media mówią). Bardziej zaawansowani technicznie Anonimowi potrafią się ukryć. Nierzadko dysponują także własnymi botnetami, które skutecznie mogą wzmocnić siłę ataku. Warto zwrócić uwagę, że odpowiedzialność za ataki poniosą najpewniej przede wszystkim osoby z pierwszej grupy, które dały się namówić do wzięcia udziału w „zadymie”.

Oprócz ataków DDoS, do poniedziałkowego popołudnia doszło do co najmniej dwóch przypadków podmiany zawartości strony (tzw. defacement). Te przypadki są poważniejsze, gdyż, w odróżnieniu od ataków DDoS, ofiary mogły ich uniknąć. Gdyby potwierdziła się informacja (pochodząca póki co wyłącznie od samych sprawców), że w jednym z serwisów dostępu do systemu zarządzania treścią broniła kombinacja „admin/admin1”, byłby to przypadek mocno dający do myślenia.

Na koniec należy podkreślić dwie rzeczy. Po pierwsze, niezależnie od motywacji, ataki opisywane powyżej przypominają raczej przejście przez miasto z butelkami benzyny i tłuczenie po drodze przypadkowych wystaw (przypadek Tesco) niż obywatelski protest. Nie są ani zgodne z prawem ani szczególnie ambitne. Z pewnością natomiast łatwiejsze w przeprowadzeniu niż legalne formy protestu o podobnym wydźwięku medialnym. Ale czy motywacją do wyboru formy powinno być lenistwo? Po drugie, strony WWW są z założenia zasobami umieszczanymi w części publicznej, a więc narażonymi na atak. Jednocześnie, nie są one (zazwyczaj) krytyczne ze względu na funkcjonowanie instytucji. Mają raczej stanowić jej wizytówkę czy źródło informacji o niej. Unieruchomienie witryny nie jest więc równoznaczne z wyłączeniem instytucji ani tym bardziej „unicestwieniem administracji”. Choć wiąże się zwykle z całkiem wymiernymi stratami (choćby tylko łącza czy czasu pracy administratorów), poważne efekty dotyczą przede wszystkim strefy PR. I o to chyba sprawcom chodzi.