DDOS - miért nincs állami fellépés ellene

Nincs rá kapacitás. Egy jó méretes DDoS sok tízezer forrásból jöhet. Ráadásul az egyik, amit egy DDoS támadás le tud ültetni elég hamar, az a logging.

Hogy értesítenék? És ha tudnák is értesíteni őket, szerinted értenének belőle bármit is? Tudná egy átlagfelhasználó, hogy hogyan kell eltávolítani hatékonyan a gépéről a malware-t ami DDOS-ol?
Arra meg bőven van példa, hogy a szolgáltatót értesítik, aki ideiglenesen letiltja az egész fertőzött szegmenst.

A Magyar Telekom évekkel korábban már csinált ilyen. Egy külső partnertől kapott lista alapján kereste meg a lakossági előfizetőket azzal, hogy gyanús forgalom jön a végpontjukról.

Hogy mennyire bírták ezt a szélmalomharcot arról már nem jutott el hozzám infó.

Reszben off, de vicces gondolatkiserlet lenne Indiat egy hetre lekapcsolni a nemzetkozi halozatokrol, hogy csak magukban forgalmazhassanak, orszagbol kifele ne. Kivancsi lennek, hany problema oldodna meg magatol, meg hany AI service menne downtime-ba. :)

Rossz ötlet. A végén kitalálják, hogy a VoIP, p2p bármilyen forgalom az DDoS, tehát tiltsa a szolgáltatód. Ekkor az addigi internet előfizetésed egy hírolvasó, médiafogyasztó szolgáltatássá silányul.

A múltkor kaptunk egy weboldalra támadást. DDOS -nak mondanám, de nem igazán volt mit tiltani rajta, kb 5-8000 magyar ip cim, mindegyik kb 3-5 másodpercenként keresett valamit az oldalon, amit persze nem tudtunk cachelni.
Az oldal elérhetetlen, ha felhivom marika nénit, hogy 15 lap letöltést generált akkor meg mihez kezdesz vele... ennyi a böngészőből össze hoznak.

A megoldás az lett, hogyha egy bizonyos user agentel jöttek, akkor a kód felvette tüzfalba, és akkor már ott eldobódott a csomag. Vagy egy napig ömlött a forgalom, lassan cserélődtek az ip cimek. Utánna eltünt.

Ez sajnos nem ilyen egyszerű.

1. Nincs senkinek teljes ember = IP cím összerendelése. Az államnak sincs.

2. Az IP címek rendszeresen cserélődnek (ezért nincs is értelme az 1. pontnak).

3. Tegyük fel, hogy minden ember és cég kapna fix publikus IP címeket / tartományt, ami csak kizárólag hozzá tartozik, senki máshoz. Marhaság, de mégis tegyük fel, hogy ezt megcsinálják.
3.1. IPv4-ből nincs elég, IPv6 kell.
3.2. Ha én a munkahelyemről netezek, akkor az én saját IP címem vagy a cég IP címe látszódjon?
3.3. Technikailag a routingot hogy oldanád meg? Pl: 1 ilyen IP cím a mobiltelefonomé, 1 ilyen az otthoni routeremé, 1 ilyen az IP kamerámé stb.

4. Ha be lehetne azonosítani bárki által egy embert az IP címe alapján, akkor azonnal eltűnne a neten az anonimitás. Az lenne csak az igazi 1984! Az emberek 99,99%-nak csak neten nagy az arca.

5. Manyi néni Wifi routere (amit az internet szolgáltatótól vett) EOL/EOS lesz. A routert feltörik, DDOS-olnak rajta. Manyi néni kap értesítést az államtól. Tegyük fel, hogy Manyi néni meg is érti a problémát. Mit tegyen? Dobja ki a routert? Tegyen másik fw-t a routerre, ha lehet? Vegye vissza a szolgáltató és ingyen cserélje azt le? A végén még kiderülne, hogy az IT terméktámogatás a béka feneke alatt van - és ebben Hajbazernek igazat adok. Perpillanat kiszámíthatatlan egy consumer IT termék életciklusa. Az IoT eszközök körüli kuplerájról már nem is beszélve.

6. Töröljük el a korlátlan lakossági netet és legyen forgalom alapú díjazású. Miben segítene ez érdemben?

7. Az egész IT úgy lyukas, ahogy van. Túl fiatal, kidolgozatlan. A DDOS csak egy nem egyedüli tünete ennek - mondjuk az építőiparhoz viszonyítva, ahol volt párezer évünk működő és stabil megoldások kitalálására.

8. A legnagyobb visszatartó erő talán a büntetés lehetne. Pontosabban a lebukástól való félelem, amit büntetés követne. Mivel az elkövetőket nem kapják el, így nem is büntetik őket.

9. IT biztonság tudatosság a béka feneke alatt van. Ez mondjuk az autók biztonsági övének használatára is igaz bizonyos körökben.

Ami talán érdemben segíthetne - bár van köztük vad ötlet:
- Minden netképes termékre legyen kötelező EOL / EOS, amit már a vásárlás pillanatában ismernie kellene mindenkinek.
- Hibajavítás - különösen CVE-kre - 1-2 héten belül telepítésre kerüljön automatikusan az összes érintett termékre. (garantált parasztlázadás)
- EOL / EOS státuszú termékeket be kell gyűjteni / bedarálni / tilos netre kötni. (ez is tuti felháborítana sokakat, okkal)
- Ahonnan DDOS jön, őket lehessen kizárni az internet eléréséből. (tuti felháborodást okozna ez is)

Az első lépés ez, hogy monitorozzuk a felhasználókat, a következő meg az, hogy nézzük, hogy milyen weboldalakat nézegetnek, melyik felekezethez tartoznak, de nem a választások befolyásolása miatt, meg manipuláció miatt, hanem a terrorizmus megfékezése miatt. De közben meg a védekező Izraelt basszuk le, mert meg mert ölni néhány tenoristát, akik rakétázták őket.

A jelenlegi politikai irányvonalat tekintve inkább ne legyen DDOS naplózás, max kirívó esetben az ISP vegye le róluk a netet.

Laikusként nem értem, hogy miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket, akiknek a készüléke részt vesz DDOS támadásban? Evvel jelentősen lehetne csökkenteni a fertőzött/fertőzhető gépek számát.

Van erre logikus válasz?

Igen. Hogy nem lehetne ezzel jelentősen csökkenteni. :)

Csinálnak egyébként ilyesmit, én például többször futottam kört a digivel, mert valami partnerük jelezte, hogy DDoS támadást észleltek tőlem (értsd, kaptak egy levelet az abuse@-ra valami automatától), és csináljak valamit. Talán még azzal is jöttek, hogy különben korlátozhatnak. Az egyikben három darab random udp packetre panaszkodtak, a másikban már nem tudom mi a pöcsre, ezeknél megbeszéltük, hogy értem én, értem, de ugye ha a 300Mbites uplinkemen aznap összesen nem ment fel nem tudom, 1-2 giga adat, akkor lehet, hogy mégse dosolok, természetesen a háztartásban levő összes windowson (0) van vírusírtó, meg frissülnek automatán, szóval szórakoztassunk mást.

Illetve egyszer volt valami, mikor az xbox csinált valami packet stormot, tényleg félig hanyatt baszta a mikrotiket, az valóban nem lehetetlen, hogy kilátszott (bár csodálkoznék, ha az ő eszközükön túlra tette volna), kikapcsoltam valami érdektelennek tűnő featuret (nem tudom, local sharing, vagy valami hasonló faszság), azóta béke van.

Az összes ilyen bérelt infrán meg foglalkoznak ezzel, már csak saját hatáskörben is, mert valójában nekik érdekük. (Hacsak nem a spammer tanya az üzleti modell).

Hun-CERT szerintem pont valami hasonlot csinal.

Ah, jut eszembe... de ezen felsírtam, trollkodik az AI :D "Valóban léteznek olyan szakértők, mint Lippi"

Erős bennem a gyanú, hogy ezt már felnyalta keresővel, és abból szűrte le a javaslatokat.

De... lehet ezt még fokozni...

Összegzem az elhangzottakat, hogy lásd a problémát:

• Alapvetően a DDoS-sal az a baj, hogy nagyon sok, többtízezer IP címről érkeznek a támadások, és általában a mai DDoS-ok sok esetben feltört gépekről érkeznek, és nem valaki tulajdonol ennyi (virtuális) gépet.
• Az IP -> Customer összerendelés nem érhető el egy központi adatbázisban - ennek főleg biztonsági okai vannak, illetve nyilván üzleti titoknak is minősül az ügyféllista. Még ha a zónából ki is tudod szedni, ki az ISP, az ISP-től kell előszedni az infót. Ez nem automatizálható, mert minden ISP rendszere más, és másképpen tárolja az adatokat. Lehetne erre egy kötelezően implementálandó interfész, de ez egyben sérülékenység is, plusz megint véleményes, hogy ügyfelek magánadatait adja ki bárki az államnak csak úgy.
• Jelen szabályozás szerint is csak írásos, hiteles hatósági felszólításra kötelesek a cégek személyes adatokat megosztani az állammal, mert ezek érzékeny adatnak minősülnek, kiadásuk jelenleg büncselekmény abban a formában, amihez az állam általi értesítéshez szükség lenne. Alapvetően át kellene alakítani mind az állam, mind a szolgáltatók adatkezelésének szabályozását ehhez
• Az "állam" mint olyan, nem tud értesíteni senkit. Az "állam" nem egy darab dolog, hanem sok minisztérium és állami vagy szerződött cég összessége. Az ilyen értesítéshez le kellene szerződni egy céggel, aki a leveleket ténylegesen kiküldi. Mármint, ha nem úgy gondoltad, hogy maga Orbán Viktor személyesen írjon mindenkinek levelet.
• Több ezer/tízezer levél menne ki, ezt eleve idő, mire bármi kiküldi, ráadásul a szolgáltatók védelmei miatt eleve csak rate limitelve lehetne a leveleket kiküldeni -> késnének a levelek
• Tegyük fel, kimegy a levél, megérkezik a címzetthez. Optimális esetben még nem is kerül spambe. Vagy elolvassa, vagy nem. Egy emailt könnyű nyom nélkül törölni.
• Egy email nem minősül hivatalos felszólításnak, azt jelenleg papírlevélben kell kézbesíteni. A Magyar Posta kicsit megreccsenne, ha hetente kellene többtízezer levelet kézbesítenie random (és az csak naív feltételezés, hogy heti csak 1 DDoS van és nem sokkal-sokkal több).
• Menjünk tovább, tegyük fel hogy az az email hivatalos iratnak minősül, tegyük fel, hogy elolvassa a címzett. Kis cégeknél mondjuk viszonylag gyorsan lehet dolgokat csinálni eszközökkel, nagyobb cégeknél, pláne ha valami core cuccot hekkeltek meg, még ha "gyorsan" lépnek, az is hetekbe kerülhet. Egy feltört core router lecserélése sokmindennek a függvénye, pénz, raktárkészlet, stb...
• Eleve is nagy kérdés, hogy mekkora határidőt adjál erre államként. Ez tényleg nagyon sok mindennek a függvénye lehet, hogy mennyi idő lecserélni valamit. Egy cégnél nem úgy működik a beszerzés - jó esetben - hogy kiveszünk a házipénztárból 150-500 ezer forintot, és akkor a sarki közértben veszünk valami komolyabb routert. Árajánlat bekérés, szállítás, stb. Mindenhol hetek is lehetnek az átfutás. Ha gépről van szó, a hibakeresés is időt vehet igénybe, főleg egy esetleg erre nem eléggé felkészült üzemeltetőcsapatnak. Csapkodhatod te az ostort államként a fejük felett, de előbb nem tudják megszerelni a rendszert
• Azt már nem is emlegetem fel, ha valami beszállítói cuccban van a sérülékenység, és be kell kérni a javítást.

És ez most csak az, ami olyan negyed óra alatt eszembe jutott ebben a témában. Nagyon nem egyszerű egy ilyent implementálni, végrehajtani, főleg államként minderre apparátust építeni, technológiát, jogi rendszert, stb. És valójában nem tenne semmit sem jobbá a dolog. Többmilliárd gép van az interneten, tegyük fel, hogy itthon bevezetnek egy ilyen értesítő rendszert. Sok sikert ahhoz, hogy a világ összes országában bevezettesd. Merthogy simán lehet, hogy egy itthoni hackker Taivani gépekkel DDoS-ol, vagy Észak-Koreaival. Borzasztóan naív bárki, aki úgy gondolja, hogy ezt így meg lehet oldani.

Jelenleg a legjobb megközelítés az oktatás, az érzékenyítés lenne, illetve a sérülékeny eszközök/szoftverek minél hamarabbi listázása. Állami oldalon amibe egyáltalán be lehetne szállni, az az etikus hackerek támogatása, a forgalomban levő hálózati eszközök firmware-inek validálása, certifikálása. Ez is baromi nagy téma, de ennek legalább van egy eleje és egy kezelhető komplexitású folyamata, aminek talán mérhető impactja lenne a hálózati biztonságra. Persze ez nem fog segíteni azokon a vérpistike üzemeltetőkön, akik letiltják még a Windows Update-t is, mert majd ők azt jobban tudják, és ott vannak a hálózati eszközök, 3 évnyi frissítés teljes hiánya mellett.

Ajánlom figyelmedbe az alábbiakat, hogy vizuálisan is lásd, hogy másodpercenként mennyi DOS / DDOS / AV / SPAM / egyéb hálózati esemény történik a nagyvilágban:

- https://cybermap.kaspersky.com/

- https://horizon.netscout.com/

- https://threatmap.checkpoint.com/

- https://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&tim…

- https://threatmap.fortiguard.com/

- https://threatmap.bitdefender.com/

- https://radar.cloudflare.com/

Ezek az adatok többnyire az adott gyártók termékeiből jönnek (SIEM / EDR) és az XDR-ből feldolgozott adatokat jelenítik meg valahogyan weben. Szóval ebben nem lesz benne Manyi néni otthoni nete és eszközei, mint célállomás - csak mint forrás.

Olyan DDOS mint a Covid idején történt, amikor is péntektől lehet letölteni a kijárási korlátozáshoz kapcsolódó munkáltatói igazolást? És hihetetlen dolog történt pénteken, összeomlott a rendszer 2.5 millóan próbálták meg reggel 8:00 órakkor letölteni:)