09.11.2015 | 23:10

Adam Haertle

Seria ataków DDoS na usługi pocztowe – sześć nowych ofiar

Poczta Protonmail, której problemy z dostępnością opisywaliśmy kilka dni temu, nie jest jedyną ofiarą ostatnich ataków DDoS. Lista poszkodowanych rośnie z każdym dniem i obejmuje już co najmniej sześciu innych dostawców.

Protonmail, usługa bezpiecznej poczty, był pierwszy na liście celów atakujących. Wkrótce dołączyły do niej także Hushmail, Zoho, Runbox, VFEmail, Fastmail oraz Neomailbox. Wygląda na to, że dzieci z botnetem znalazły wdzięczny cel ataków. Do problemów przyłożył się też Protonmail, który raz zapłacił okup.

DDoS – proste ataki, trudna obrona

Specyfiką ataków DDoS jest duża asymetria między łatwością ataku a trudnością obrony. Skuteczne ataki prowadzić może każdy średnio utalentowany nastolatek, któremu uda się zbudować przeciętny botnet, z kolei obrona przed takim atakiem może wymagać sporych nakładów oraz umiejętności. Tego problemu doświadczają właśnie liczni dostawcy usług bezpiecznej poczty.

Grupa zwana Armada Collective zaczęła swoje popisy już kilka tygodni temu, próbując wymuszać okup na różnych szwajcarskich firmach. Kolejną ich ofiarą stała się platforma bezpiecznej poczty Protonmail a w ciągu ostatnich dni dołączyło do niej pięć innych firm. Ich strony pojawiają się i znikają wraz z postępami atakujących lub obrońców.

Swojego czasu dość popularny Hushmail miał problemy 5 i 6 października – obecnie jest dostępny po wprowadzeniu dodatkowych mechanizmów zabezpieczających.  4 i 5 października atakowany był serwis Runbox, który jednak poradził sobie ze wzmożonym ruchem. W nieco większe problemy wpadł serwis Zoho, który powoli wraca do życia choć nadal część usług jest niedostępna. Gorzej z atakami radzą sobie także VFEmail

oraz Neomailbox

Problemy w ostatnich dniach odczuwał także FastMail.

Problemy FastMail

Problemy FastMail

Co ciekawe, kilka dni wcześnie działanie zawiesiła bardzo popularna wśród przestępców usługa safe-mail.net, choć te wydarzenia nie wydają się być powiązane.

Zmiana na rynku czy codzienność?

Dla serwisów pocztowych taka seria ataków DDoS może być nowością, lecz inni usługodawcy dobrze znają ten problem. Do tej pory częściej ofiarami ataków padały witryny związane z grami online czy też usługami finansowymi. Wygląda na to, że przestępcy znaleźli sobie wdzięczne ofiary – serwisy o mniejszym doświadczeniu i skali działania, jednak nadal świadczące ważne usługi, których dostępność jest kluczowym elementem oferty. Sprzedawcy usług anty-DDoS zacierają ręce i czekają na telefony od nowych klientów, nastolatki ze swoich piwnic wybierają kolejne cele ataków a administratorzy serwerów zastanawiają się, czy chowając się za Cloudflare dalej będą mogli nazywać swoją pocztę dbającą o prywatność użytkowników. Okazuje się, że prywatność nie tylko ma swoją cenę, ale także cena ta może być zaskakująco wysoka. Rozwiązaniem tego problemu może być zbiórka publiczna – Protonmail uzbierał w 4 dni 50 tysięcy dolarów na fundusz obronny.

Powrót

Komentarze

  • 2015.11.09 23:53 ntskj

    safe-mail.net też ostatnio padło.

    Odpowiedz
    • 2015.11.09 23:54 Adam

      Przecież jest w artykule.

      Odpowiedz
    • 2015.11.10 07:45 jarkol

      Myślę,że nie padło ;)

      Odpowiedz
  • 2015.11.10 00:09 s

    Zastanawia mnie ta awaria safe-mail.net.
    Parę miesięcy temu mieli podobne problemy i informowali o awarii oraz migracji kont na nową infrastrukturę.
    Teraz informują o tym, że migracja dalej trwa, a awaria dotyczy kont które nie zostały przeniesione. Tymczasem na stronie nikt się nie może zalogować.
    Dla mnie to ściema. Tymbardziej, że informują o tym, że konta łamiące regulamin zostaną usunięte. Czyli coś jest na rzeczy.
    Poza tym safe-mail wbrew obiegowej opinii wcale nie jest taki bezpieczny.

    Odpowiedz
  • 2015.11.10 00:27 anon+

    „Wygląda na to, że dzieci z botnetem znalazły wdzięczny cel ataków”

    Oczywiście dzieci, ktore dysponują siłą ataku 500 Gb/s. Atak rozciągnięty w czasie na 3 dni, ktory uziemił również całkowicie dostawcę infrastruktury dla ProtonMail. Trochę to naiwne myślenie…

    Odpowiedz
    • 2015.11.10 06:03 Adam

      Czytałęś artykuły o Protonmail? Wyraźnie w nim mowa, że inny podmiot mógł przejąć ataki po tym jak oryginalna grupa dostała okup. No i patrz Lizard Squad vs Xbox Live/Playstation.

      Odpowiedz
      • 2015.11.10 06:24 anon+

        Ale to nie ta skala. Tutaj jest mowa o ataku kilkukrotnie potężniejszym. Gdyby gimbusy chciały wynająć takiego DDoSa, musiałyby wyłożyć kilkadziesiąt tys. zielonych. A gdyby chcieli stworzyć samemu botnet do takiego ataku, musieliby na to poświęć kilka lat. I nie mogliby być przez ten czas niepokojeni, nie pisząc już o całkowitym rozbiciu.

        Odpowiedz
        • 2015.11.10 06:29 Adam

          Nie ta skala? O ile pamiętam Jaszczurki wyciągały >300Mbps z samych domowych ruterów z domyślnymi hasłami.

          Odpowiedz
          • 2015.11.10 06:57 anon+

            Chyba 300 Gb/s :)
            „Jeśli wierzyć prezentowanym statystykom, do tej pory przeprowadzono już ponad 70 ataków z wykorzystaniem testowego botnetu o mocy około 600 Gb/s. Lizard Squad obiecuje docelowo uruchomienie ataków o mocy nawet 5 Tb/s.”

            http://www.dobreprogramy.pl/Ataki-na-Sony-i-Microsoft-byly-reklama.-Jaszczury-ruszaja-z-DDoSem-jako-platna-usluga,News,60058.html

            Nie zmienia to faktu, że nadal taka moc jest ewenementem i gimbaza raczej często takimi DDoSami nie kosi. Dlatego tą wzmiankę o dzieciach można było sobie spokojnie darować.

            Zwłaszcza, że po atakach na PSN i XBox Live czujność służb też jest znacznie bardziej wyostrzona na takie zjawiska. Nie piszę tu o prawdziwych zakapiorach, którzy bez problemu budują podobne botnety. Ale to już nie jest gimnazjalna zabawa, ale poważne źródło dochodu.

          • 2015.11.10 07:31 Adam

            Słuszna uwaga, chodziło o 300Gbps

        • 2015.11.10 11:00 Monter

          Ja też mam wrażenie, że po dzieciach przyszedł ktoś większy mający więcej do zyskania, no i większe możliwości. Może nawet służby specjalne pewnych państw? Mieliby w tym interes przecież, bo do bezpiecznej poczty nie mają się jak dobrać.

          Odpowiedz
          • 2015.11.10 13:27 anon+

            Ten pierwszy atak od AC nie wydaje się atakiem dzieci. Za dużą powierzchnię działania sobie obrała i wygląda bardziej na jakąś zasłonę dymną od tego, jakie były prawdziwe intencje ataku. Mnie to wygląda tak, że niskimi kosztami robią mały atak, chcą okup i jak sprawa staje się głośna, inni się przyłączają. A kasa z szantażu leci do pierwszych mimo tego, że praktycznie nic nie zrobili i żadnych kosztów nie ponieśli.

        • 2015.11.10 11:45 as

          Reflected DNS DDoS amplification moze? Nie trzeba duzego botnetu, wystarczy skan podatnych serwerow dns, shodan.io i gotowe.

          Odpowiedz
          • 2015.11.10 13:20 anon+

            Gdyby to było takie proste, codziennie mielibyśmy ataki DDoS rzędu kilkuset Gb/s. A tak na szczęście nie jest. Poza tym ataki na DNS są trudniejsze do przeprowadzenia od tych, gdzie mamy do dyspozycji botnet i łatwiej wyciąć taki ruch.

  • 2015.11.10 01:09 gimbuz

    Jakiż to nastolatek jest w stanie „zorganizować” ruch o intensywności 100 Gbps?

    Odpowiedz
    • 2015.11.10 06:02 Adam

      Szybko zapominacie o Lizard Squad. „Jaki nastolatek może wyłączyć serwery sieci Playstation albo Xbox Live?”

      Odpowiedz
  • 2015.11.10 09:12 raf

    A może to pomysł Protonmaila żeby zrobić upozorować ddosy i zrobić zbiórkę?

    Odpowiedz
  • 2015.11.10 15:27 niewazne

    CloudFlare, Prolexic-Akamai, Staminus… mamy tego sporo na rynku. Jesli jakies dziecko pobierajac LOIC/HOIC jest w stanie Was polozyc, to jest mi przykro. :)

    Odpowiedz
  • 2015.11.10 16:54 Paweł Nyczaj

    Żadna służba się nie przyzna, ale wykoszenie z rynku kilku dostawców bezpiecznych maili i utrata przez ludzi zaufania do nich jest służbą na rękę. Tak więc po typowych cyberszantażystach mogły przyjść służby z krajów znacznie potężniejszych, niż Szwajcaria zainteresowanych inwigilacją ludzi. niestety także walka z cyberterroryzmem wymaga poświęcenia prywatności i większego zaangażowania różnych służb. Z dwojga złego lepiej być permanentnie inwigilowanym, niż być narażonym na coraz to nowe wirusy, obecnie głównie kradnące i szyfrujące dane. Walka z tym zagrożeniem odsunie na dalszy plan prywatność i tym samym dostawcy bezpiecznych maili będą zmuszeni postawić swe serwisy za CloudFlare za cenę zmniejszenia prywatności. innego wyjścia nie ma.

    Odpowiedz
    • 2015.11.11 08:12 Ninja

      „niestety także walka z cyberterroryzmem wymaga poświęcenia prywatności”

      Ile ataków terrorystycznych i na jaką skalę zdarzało się 40 lat temu? A ile dzisiaj? Nie lubię statystyk, ale te sobie sprawdź. Wyciągnij z tego wnioski co daje monitoring społeczeństwa, z perspektywy terroryzmu.
      Zostałeś zmanipulowany i zastraszony przez znacznie inteligentniejszych i socjopatycznych ludzi od Ciebie, w myślenie, że na świecie zapanuje chaos jeśli ktoś nie będzie patrzył ludziom na ręce. Rozumiesz, że z punktu widzenia tego podejścia wszyscy jesteśmy podejrzani? Pasuje Ci mentalność niewolnika? Mi nie. Nie jestem przestępcą, ani terrorystą, ani podejrzanym, nie godzę się aby ktoś mnie obserwował 24 godziny na dobę, nawet jeśli pasywnie.

      „Z dwojga złego lepiej być permanentnie inwigilowanym”

      Grrrrrrrrrrrr. Wyjdź, ofiaro.

      Odpowiedz
      • 2015.11.11 12:20 misi333k

        ale to przecież o to chodzi, wmówić ciemnemu ludowi że wszczepienie implantu który pozwoli go monitorować jest dla jego bezpieczeństwa, to samo z piractwem, wmówiono ludziom że piractwo to zło(co to w ogóle jest piractwo, przypomina mi się z jakiegoś filmu, sytuacja w której zamykano ludzi za chęć popełnienia przestępstwa, nie za samo jego popełnienie to już jest paradoks), po 11 września zmieniło się tylko tyle, że usa już nie kryje się ze swoją wszechobecną inwigilacją oczywiście w imię „walki z terroryzmem” mnie to wydaję się bardzo zbliżone do świętej wojny pewnej religii, a jeśli przeanalizować wszystkie dane to okaże się, iż potępiani i krytykowani wszędzie islamiści robią to samo co Wielki Brat, inne metody, nie ten rozmach, ale zasada ta sama, bo moje jest ważniejsze niż twoje, a wiadomo jak skończyła się ostatnia interwencja usa na bliskim wschodzie i w afryce, mamy problem, my nie amerykanie, miliony uchodźców idą do nas nie do nich, ja bym zaproponował wysłać ich wszystkich do źródła które wywołało problem czyli do Wujka Sama, największe cwaniactwo usa to organizowanie wojen z dala od domu, od swojego podwórka, była tam tylko jedna poważna wojna, może czas pokazać wujkowi samowi, że wojna na własnym podwórku jest najbardziej bolesna, to chciał zrobić Bin Laden, po części mu się udało, ale moim skromnym zdaniem trzeba wielu powtórek aby usa się nauczyło że należy trzymać się swojego podwórka a nie wszystkich w koło, i nie namawiam tu do zmasowanych ataków na usa, ale do używania mózgu analizy wszystkiego, a i oczywiście do wniosków, twierdzenie że nie mam nic do ukrycia jest złe, każdy ma i każdy z dostępem do tych danych może je wykorzystać przeciwko tobie, bo dowie się że masz astmę, uczulenie na orzeszki czy inny problem, i jeśli zajmujesz się jakimś poważnym zadaniem, to będzie można wywrzeć na tobie podjęcie takiej a nie innej decyzji, ktoś z dostępem do takich danych może zmusić cię do konkretnych zachowań, wykorzystując twoje tajemnice przeciw tobie, jeśli dalej twierdzisz że nie masz nic do ukrycia, udostępnij publicznie wszystkie swoje dane, poczynając od długości członka skończywszy na wszystkich chorobach przebytych i genezie chorób rodowych, a zaraz znajdzie sięktoś kto zamieni twoje życie w koszmar.

        Odpowiedz
  • 2015.11.12 08:25 zoho

    ZOHO od wtorku już stoi za Cloudflarem .

    Odpowiedz
  • 2015.11.16 16:17 Marek

    Nie wiedziałem, że nastolatki pracują w NSA i GHCQ ;-)

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Seria ataków DDoS na usługi pocztowe – sześć nowych ofiar

Komentarze