Wydarzenia ostatniej nocy pokazują, że mieliśmy do czynienia z – prawdopodobnie mimowolnie wywołanym – atakiem DDoS o podłożu socjotechnicznym.
Jak to się stało
Witryna Sejmu została wyłączona przez administratorów z do tej pory nieznanych przyczyn (włamania podobno nie było a krążący po internecie zrzut ekranu ma co najmniej dwa lata i może być fałszywką). Ogłoszenie tego jako skutek ataku Anonymous spowodowało, że akcja przyciągnęła uwagę opinii publicznej. Podawanie adresów kolejnych atakowanych serwerów rządowych powodowało przekierowanie na nie ogromnej ilości ruchu ciekawskich internautów, którzy pragnęli sami zweryfikować, czy Anonymous już spowodowali niedostępność usługi. I podczas gdy w szczytowych momentach akcji kilkuset użytkowników obecnych na kanale #poland faktycznie DDoSowało wskazaną stronę, do ich wysiłków dokładało się kilkadziesiąt, jeśli nie kilkaset tysięcy „kibiców” – z całkiem dobrym efektem.
DDoS po polsku
Aby taka akcja była możliwa, niezbędne było zaangażowanie mediów, które podgrzewały atmosferę. Większość popularnych serwisów informacyjynch stanęła na wysokości zadania, informując o kolejnych „sukcesach” Anonymous. Każda wzmianka powodowała tylko kolejne fale ciekawskich, wzmacniając osiągany efekt. Przypomina to trochę popularnego swojego czasu „albańskiego wirusa”.
Drogi Odbiorco!
Jestem albańskim wirusem komputerowym, ale z uwagi na słabe zaawansowanie informatyczne mojego kraju nie mogę Ci nic zrobić.
Proszę, skasuj sobie jakiś plik i prześlij mnie dalej.
Wykresy ruchu internetowego ATMANa czy PLIXa nie pokazują skoku obciążenia łączy. Sugeruje to, iż do „wyłączenia” witryn rządowych nie był potrzebny szczególnie duży wysiłek. Szczególnie wskazuje też na to fakt, że strona Ministerstwa Kultury i Dziedzictwa Narodowego w pewnym momencie przestała odpowiadać ze względu na… przekroczenie limitu transferu! Bez wątpienia wiązało się to również z opublikowaniem na tym właśnie serwerze dokumentacji związanej z ACTA. Można było temu zaradzić – już wcześniej, gdy publikowano tzw. „Raport Macierewicza” dotyczący WSI, dokument znalazł się na serwerze firmy GTS (www.raport.it.pl, obecnie nieaktywny), by zapewnić jego lepszą dostępność.
Jak mimowolnie dołączyć do ataku?
Jak doniósł blog Symanteca, już w trakcie #OpMegaupload można było zostać prawie nieświadomym narzędziem w rękach Anoymous. Wystarczyło jedno kliknięcie w link publikowany na Twitterze, by zacząć atakować wybrany przez autorów linka cel. Wcześniejsze akcje wymagały instalacji LOIC (narzędzia DDoS opracowanego dla Anoymous), tym razem jednak projekt poszedł krok dalej – samo wejście na wskazaną w linkach witrynę powodowało rozpoczęcie ataku serwisu www.justice.gov.
Polscy Anoymous na razie są bardziej kulturalni – pod adresem http://anonymous.ougame.c0.pl można najpierw wybrać cel ataku (w puli do wyboru jest więcej serwisów medialnych niż rządowych…).
Co dalej?
Anonymous próbują osiągnąć większy sukces – czyli włamanie na serwer rządowy. W USA udało się to z Biblioteką Kongresu USA, w Polsce na razie przypisali sobie włamanie do serwisu Platforma.org, do którego doszło 10 dni wcześniej.
Ataki DDoS nadal trwają, od ok. godziny 14 celem jest serwis www.cert.gov.pl – tak jakby atak na witrynę zespołu ds reakcji na incydenty miał jakkolwiek wpłynąć na pracę samego zespołu. Wszystkim zainteresowanym materiałami z witryn rządowych pozostaje tylko czekać aż zainteresowanie mediów osłabnie a młodzież w poniedziałek uda się na zajęcia szkolne.