Po 16-stogodzinnym braku dostępu w ostatnim dniu września obiecaliśmy Wam raport. Sami czekaliśmy na niego dwa miesiące, a znalezienie eksperta od cyberprzestępczości, który mógłby go nam wyjaśnić i pomóc zrozumieć zajęło kolejne 2 miesiące.

Raport opracowała nasza serwerownia – Atman. ATMAN to serwerownia z ogromnym doświadczeniem (tu możesz zerknąć na ich referencje!). Obsługuje gigantyczne firmy, z różnych sektorów, jak mBank, AXAdirect, TVN, ONET, WOŚP, Play, Plus, UPC, Ministerstwo Finansów, czy nasze Krajowe Biuro Wyborcze. Mimo tego, śledztwo w naszej sprawie, dokładna analiza co się stało, zajęło im 2 miesiące.

Poniżej treść raportu (INC0114177 wg sygnatury Atman) zredagowana zgodnie z wytycznymi eksperta od cyberprzestępczości.

„W dniu 30.09 trafił z Państwa infrastruktury do naszej sieci niepożądany ruch TCP na port 443, który został zidentyfikowany jako atak behawioralny B-DOS (TCP-Syn flood) (…) Ruch był przepuszczany przez sieć Atman bez wprowadzania żadnych zmian. (…) w związku z negatywnym wpływem na stabilność infrastruktury obsługującej innych klientów, zmuszeni byliśmy do wycięcia szkodliwego ruchu. (…)”

Ataki DDoS (tu dla Was przekierowanie do pdf z wyjaśnieniem co to i na czym polega), mogą występować w różnym natężeniu. Od „przeciążania” danej strony, po całkowite wyłączenie jej. I mogą spotkać każdego. Strony rządowe, wielkie, mniejsze firmy. Nietrudno znaleźć przykłady. Wywoływanie ogromnego natężenia zapytań nie ma szans na pozostawienie systemu bez zmian. Bo nawet na największe przygotowanie do ruchu, ktoś może zlecić większy atak…

Zapewne w związku z tą informacją, pojawi się w Waszych głowach wiele pytań. Sama zadałam ich w ostatnich tygodniach ogrom.

• Czy można się przed tym skutecznie bronić? Cytując home.pl: „Pamiętaj, że dobrze przygotowany atak DDoS może ominąć nawet najbardziej zaawansowane algorytmy i zabezpieczenia.” link
  
• Po co ktoś robi coś takiego? W który artykuł nie wejdziecie, najczęściej pojawia się info, że do szantażu, lub by niszczyć wizerunek i reputację. Nas nikt nie szantażował.

• Czy policja, prokuratura coś z tym może zrobić? Zgodnie z prawem to jest przestępstwo. Jednak nie jesteśmy sejmem, więc szanse na to, by ktoś się realnie przejął są praktycznie zerowe. Powód jest prosty. Do ataku używane są tysiące komputerów niczemu niewinnych osób, które są sterowane przez hakera. Namierzenie takiego hakera po takie akcji jest praktycznie niewykonalne.
  
• Czy to zawsze robi całkowite wyłączenie? NIE. To atak w celu utrudnienia, lub uniemożliwienia działania systemu. W zależności od stopnia nasilenia.
  
• Jak ktoś może zrobić coś takiego? Technicznie? Historie o „darknecie” nie są bajką. Ataki są zlecane. Emocjonalnie, etycznie? Nie mam pojęcia. Chociaż zadałam to pytanie ostatnio milion razy.

Ważne! DANE BYŁY cały czas bezpieczne. Dlaczego? Atman odciął nas od Internetu, nikt nie mógł mieć dostępu do naszych serwerów w trakcie tego wydarzenia.

To był trudny czas. Czekaliśmy na raport i wyniki śledztwa. Potem przyszedł sezon. A ten… Był Dziwny. Nie umiemy znaleźć na to innego, lepszego słowa. Wystąpiły kwestie, które NIGDY, w żadnym z poprzednich lat działania Zalamo, się nie pojawiły. Jak na przykład prawie 1000 kont widm zarejestrowanych tuż przed sezonem. Kont, które podały maile rejestracyjne, niepowiązane z fotografami i w żaden sposób nie skorzystały z Zalamo. Mogły mieć jednak wpływ na kłopoty z dostarczaniem maili do Was. Z uznawaniem maili z Zalamo jako spam.

Dobra wiadomość jest taka, że udało nam się nawiązać współpracę z ekspertem od cyberprzestępczości, z którym będziemy wdrażać rozwiązania, dzięki którym będziemy lepiej przygotowani na ewentualne ataki w przyszłości. Co nie zmienia stanu rzeczy, że przed wystarczająco dużym DDoS ochronić się nie da.