Kiedy w sierpniu zeszłego roku Anonymous postawili sobie za nowy cel serwery Watykanu, nie wiedzieli jeszcze, że Stolica Apostolska zamiast kropidła i święconej wody wystawi przeciwko nim profesjonalny zespół konsultantów.
Akcja Anonymous przeciwko Watykanowi, odbywająca się pod kryptonimem Operation Pharisee, miała na celu zakłócenie wizyty papieża w Madrycie z okazji Światowego Dnia Młodzieży i zwrócenie uwagi na problem wykorzystywania seksualnego dzieci przez księży. Zapoczątkowana przez członków Anonymous z Ameryki Południowej i Meksyku, szybko przyciągnęła sporą grupę aktywistów. Obiektami ataku zostały zarówno serwery Watykanu, jak i strony Światowego Dnia Młodzieży.
Niedawno dowiedzieliśmy, że akcja nie przyniosła oczekiwanych rezultatów, ponieważ Watykan wynajął ekspertów z firmy Imperva, którzy zadbali o odpowiedni poziom zabezpieczeń w trakcie różnych faz ataku. Dzięki ich raportowi możemy dowiedzieć się, jak przebiegała cała operacja Anonymous. Co prawda w samym raporcie ani razu nie pada nazwa zaatakowanej instytucji, jednak została ona ujawniona przez New York Times.
Polecamy lekturę całego raportu, a poniżej przedstawiamy podsumowanie najważniejszych obserwacji. Atak składał się z trzech faz: rekrutacji i komunikacji, rozpoznania i ataku na aplikacje oraz ataku DDoS. W pierwszej fazie (dni 1-18) wykorzystywane były głównie media społeczne takie jak Twitter, Facebook oraz YouTube. Komunikowano w nich obiekt ataku, cele operacji oraz rekrutowano chętnych do wzięcia udziału. W fazie rozpoznania i ataku na aplikacje (dni 19-22) wzięła udział niewielka, kilkunastoosobowa grupa hakerów o dużych umiejętnościach. Używali oni głównie automatycznych narzędzi skanujących serwery www oraz przeprowadzających masowe próby ataku typu SQL injection [przypis redakcji: co nie do końca świadczy o ich dużych umiejętnościach…]. Gdy te próby się nie powiodły, w dniach 23-25 przeprowadzono ataki DDoS, angażujące większą grupę uczestników. Głównym narzędziem ataków był LOIC. W tej operacji nie korzystano z botnetów, phishingu czy ataków celowanych w konkretnych użytkowników.
Jak informuje raport, w trakcie operacji przeprowadzono ok. 4400 ataków SQL injection, 1400 ataków XSS oraz 1000 ataków typu directory traversal. Zestaw narzędzi niedoszłych włamywaczy był dość standardowy: Acunetix, Havij oraz Nikto. W trakcie prób włamania 15% ruchu pochodziło z sieci TOR, 57% z innych serwerów anonimizujących a 28% źródłowych IP wydawało się nie być zanonimizowanych. W szczytowym momencie ataki DDoS generowały 22 zapytania na sekundę i 125kb/s ruchu.
Biorąc pod uwagę poziom „zaawansowania” ataku (automatyczne narzędzia, znikoma skuteczność czy też mniej niż skromny DDoS) wydaje się dziwne, że Imperva chwali się skuteczną obroną. Wygląda na to, że równie dobrze Watykanu mógł bronić nastoletni informatyk. No ale nastoletni informatyk nie napisałby o tym 17-stronicowego raportu.