Przesłałem pytania dot. ataku na MKiDN do rzecznika prasowego ABW

W związku ze swoją dość emocjonalną reakcją na wieść o atakach na infrastrukturę MKiDN (por. Zainteresowanie ludzi, a "atak" (puszczają mi nerwy)), jak tylko się trochę uspokoiłem i zacząłem oddychać normalnie, zwróciłem się do rzecznika prasowego ABW z uprzejmą prośbą o potwierdzenie, zaprzeczenie, względnie skomentowanie informacji podawanych przez PAP za rzecznikiem MKiDN, a dotyczących ataku na tą infrastrukturę. Jeśli uzyskam odpowiedź - opublikuję ją w serwisie.

Pytania, które przesłałem ABW, dotyczyły następującego fragmentu komunikatu:

W związku z trwającym od wczoraj atakiem DDoS na łącza internetowe MKiDN, dostęp do strony internetowej ministerstwa oraz obsługa poczty elektronicznej jest bardzo utrudniona. Obciążenie łącza wynosi obecnie 99,9 proc., a firewall odrzucił od wczoraj od godz. 20, ze względu na atak, ponad 25 milionów połączeń. Ilość połączeń przyjętych wynosi około 4 tys.

Pytania zaś zadałem następujące:

  • Czy doszło do "ataku DDoS"?
  • Jeśli tak, to jaki był charakter takiego ataku na "łącza internetowe MKiDN"?
  • W jaki sposób utrudnienia "obsługi poczty elektronicznej" wiążą się z takim atakiem?
  • Jaka jest przepustowość łącza MKiDN (jeśli nie jest to informacja objęta tajemnicą)?
  • Jak należy rozumieć "połączenia", o których mowa w tym komunikacie?
  • Czy chodzi o zapytania serwera o pliki, czy wywołania elementów baz danych?
  • Czy możliwe jest, że Ministerstwo Kultury i Dziedzictwa Narodowego uznało za "atak" dużą liczbę sesji przeglądarek www, za pomocą których użytkownicy internetu, zaraz po opublikowaniu pierwszych (zapowiedzianych dzień wcześniej przez Pana Premiera w czasie debaty w KPRM) dokumentów w sprawie ACTA, chcieli się z nimi zapoznać, a "połączenia", o których mowa to zapytania o pliki składające się na strony MKiDN, które za każdym razem muszą być przesłane użytkownikom internetu z serwera MKiDN, a także zapytania o udostępnione pliki PDF?
  • Czy brak dostępności serwisu internetowego MKiDN może mieć związek z brakiem optymalizacji tego serwisu ze względu na wykorzystywane zasoby (np. wcześniej MKiDN opublikowało dokument PDF, który "ważył" 25 MB; strony MKiDN zostały przygotowane w ten sposób, że liczba odwołań do serwera bazodanowego oraz serwera webowego jest znaczna)?

Zapytany wcześniej o komentarz CERT.gov.pl wskazał mi rzecznika prasowego ABW jako właściwego adresata takich pytań.

Po chwili początkowego wzburzenia zacząłem, mam nadzieję, działać bardziej racjonalnie. Muszę przeprosić czytelników, co niniejszym czynie, za swój brak profesjonalizmu, którym popisałem się formułując poprzednią notatkę. Działałem pod wpływem emocji i wbrew zasadom, którym sam staram się hołdować (por. Dotrzeć do źródła). Nie usprawiedliwia mnie fakt, że komunikat PAP został po prostu "przeklejony" przez niektóre media bez poszukiwania odpowiedzi na ew. wątpliwości. Podtrzymuje swoje komentarze dotyczące sposobu, w jaki zrobiona jest strona MKiDN, ale przecież nie mając dostępu do logów serwera nie mogę formułować stanowczych tez dotyczących prawdziwych powodów braku dostępności serwisu. Jest mi niezwykle przykro z tego powodu, że nie mam zaufania do urzędników MKiDN. Dlatego postanowiłem spytać tych, którzy są odpowiedzialni za ochronę infrastruktury krytycznej w państwie.

Niezależnie od chęci wyjaśnienia tej sprawy w serwisie - chcę również wykorzystać uzyskane informacje w ramach swoich działań w Radzie Informatyzacji przy Ministrze Administracji i Cyfryzacji.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Ja i tak Cię podziwiam za

Ja i tak Cię podziwiam za opanowanie i tą żmudną robotę. Czapki z głów.

Informacje należy sprawdzać przed publikacją

VaGla's picture

Informacje należy sprawdzać przed publikacją. Nie można publikować w stanie wzburzenia. Jeśli ABW potwierdzi atak, to będę musiał wysłać do ministra Zdrojewskiego oraz do rzecznika Macieja Babczyńskiego perfumowane przeprosiny. Nawet jeśli strony ministerialne są takie, jakie są.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Od wieczoru we wtorek sieć

Od wieczoru we wtorek sieć w MKiDN nie działała. Praktycznie nic z zewnątrz i na zewnątrz nie przechodziło. Gdyby padła tylko strona Pana zarzuty miałyby przynajmniej jakąś podstawę. Zablokowanie praktycznie całej komunikacji MKiDN-internet nie może wynikać z "dużego zainteresowania", prawda?

Kilka godzin była wydana oficjalna informacja - był komunikat prasowy MKiDN, który sam Pan przytoczył.
Rozumiem Pana uraz do MKiDN, ale zakładanie że rzecznik resortu nie wie co mówi bo Pan nie lubi instytucji, jest przesadą. Rozumiem że do ABW takiej urazy Pan nie ma.

Pana poprzedni artykuł jest już w sieci dość powszechnie linkowany i cytowany. Ciekaw jestem czy ewentualne sprostowanie będzie równie atrakcyjne.

Ciężko pracował Pan nad stworzeniem dobrej marki swojej stronie, szkoda że niepotrzebnym i emocjonalnym wpisem Pan jej zaszkodził.

pozdrawiam

"Od wieczoru we wtorek sieć

"Od wieczoru we wtorek sieć w MKiDN nie działała. Praktycznie nic z zewnątrz i na zewnątrz nie przechodziło. Gdyby padła tylko strona Pana zarzuty miałyby przynajmniej jakąś podstawę. Zablokowanie praktycznie całej komunikacji MKiDN-internet nie może wynikać z "dużego zainteresowania", prawda?"

Jeżeli całe wyjście do sieci internet MK stoi na tym samym łączu co ich serwer hostujący strony www mk.gov.pl i mkidn.gov.pl i na te strony idzie wzmożony ruch, który przekracza możliwości ich łącza, to chyba nie jest to dziwne, że nic w MK nie działa. To, że wyłączą serwer, to nic nie zmieni. Musieliby skierować domeny mk.gov.pl i mkidn.gov.pl w zupełnie inne miejsce.

Będzie, jak przypuszczam

VaGla's picture

Będzie atrakcyjne, jak przypuszczam, ponieważ - jak zadeklarowałem wyżej, w przypadku potwierdzenia ataku przez ABW wyślę przeprosiny do ministra i do rzecznika. Zrobię to w taki sposób, by to było zauważone. I zrobię to, chociaż w całej sytuacji wielu uznałoby, że nie powinienem. Ja jednak - co napisałem wyżej, w komentowanym tu tekście, zachowałem się nieprofesjonalnie. I potrafię przyznać się do błędu, przeprosić uczciwie (czytelników przeprosiłem, i zrobiłem to bez czekania na czyjekolwiek szturchnięcie; i przy tekście pierwotnym bez szturchnięcia umieściłem link do powyższego wraz z informacją o przeprosinach czytelników).

Oczywiście oczekiwałbym również przeprosin od ministra za to, że nie publikuje w BIP informacji publicznych, chociaż - jak przykładowo czytam w instrukcji z 27 listopada 2009 r. (PDF):

Delegacja będzie mogła także poinformować, iż w przypadku złożenia wniosku o udostępnienie informacji ws. negocjacji ACTA, w trybie polskiej ustawy o dostępie do informacji publicznej (co jest prawdopodobne z uwagi na narastające zainteresowanie tematem). Rząd RP będzie miał bardzo ograniczoną możliwość odmowy udostępnienia dokumentów nie opatrzonych klauzulą RESTREINT, zawierających stanowisko Polski i UE w tych negocjacjach

Takie dokumenty powinny bez wniosku być publikowane w BIP, zwłaszcza, że zarejestrowano "narastające zainteresowanie tematem".

Wniosek, który pisałem osobiście (chociaż w imieniu ISOC Polska), został złożony 24 listopada 2009 roku, zatem ktoś, kto pisał powyższe, przytoczone tu zdania, prowadził pewną grę: raz - ignorując wniosek bezpośrednio skierowany do MKiDN, dwa, przygotowując w MKiDN odpowiedź za KPRM. Podpowiadał również, w jaki sposób można próbować informacje ukryć (nota bene będę zabiegał o to, by rozporządzenie unijne zostało poddane ocenie zgodności konstytucyjnej). A potem również wtedy, gdy nie chciał udostępnić innych dokumentów, co - jak widać - jednak jest możliwe, bo część już udostępniono (mam nadzieję, że co do innych informacji publicznych potwierdzi tezy wniosków sąd). Taka osoba właśnie naraziła również premiera na pewne straty polityczne. Ale to odrębny temat.

Też żałuję swoich emocji. Całe szczęście nie okazuje ich zbyt często.

Natomiast brak zaufania do MKiDN (nie zaś nielubienie instytucji, albo nielubienie kogokolwiek osobiście, bo coś takiego nie występuje) bierze się z tego, w jaki sposób ministerstwo działało w sprawie ACTA do tej pory. Jak uważam - przeciwko obywatelom. Sprawa zresztą nie jest jeszcze zakończona.

--
[VaGla] Vigilant Android Generated for Logical Assassination

zerknąłem w dokumenty

Jawi się z nich nie tylko gra na "czas" z tymi nadmiernie zainteresowanymi tematem ale również brak kompetencji ekspertów w kwestii ochrony IP np. obszarze "cyfryzacji" - brak głosu naszych negocjatorów. Z dokumentów wynika właściwie, że nasi urzędnicy pełnili rolę petenta tzn. zero inicjatywy i przyjmowanie raczej bierne stanowiska "wtłaczanego" przez innych (jeśli nawet coś tam pomrukiwaliśmy to ostatecznie oddaliśmy pole).
Te negocjacje to po prostu smutny obraz niekompetencji i wizji jak powinna wyglądać ochrona polskiego interesu w tej sprawie ale może jest więcej dokumentów...i się mylę i przeproszę...

Petycje do PE.

A czy zlozyles lub zamierzasz zlozyc petycje do PE w sprawie ACTA:
http://www.wykop.pl/link/1028483/petycje-i-skargi-do-parlamentu-europejskiego/

Jak to atak, to współdziałamy z terrorystami ;)

Jeżeli to rzeczywiście jest atak, to będziemy wszyscy siedzieć cela w celę ;) Sam próbowałem się dostać na stronę ministerstwa, strona leży i nawet nie kwiczy. Nie jest więc wykluczone, że stałem się właśnie jednym ze sprawców DDoS i za jakiś czas ABW do mnie zapuka. Nie cieszcie się - do was wszystkich też ;)

Blocked because of IPS attack

A mnie się teraz wyświetla:

Blocked because of IPS attack

An attack was detected, originating from your system. Please contact the system administrator.

Ciekawy algorytm tam mają. Ciekawe czy takim samym się posługują przy ocenie, czy to atak DDOS czy duże zainteresowanie.

Swoją drogą, nie ma dnia, żeby przez "wykop efekt" nie padła jakaś strona. Ale MKiDN może paść tylko pod DDOSem...

Chyba się udało...

Również wyświetlał mi się ten komunikat, ale wreszcie udało mi się wejść na stronę (nie szukałem przy tym informacji o ACTA...). Po krótkim researchu okazało się, że ten komunikat na stronie MKiDN nie pojawił się po raz pierwszy...

To chyba można prosto wytłumaczyć

Moim zdaniem sprawa jest prosta do wytłumaczenia. Mają tam pewnie jakiś bardziej zaawansowany router z funkcją "DoS defense". Zazwyczaj jest tam sporo rożnych opcji związanych z różnymi atakami tego typu. Kiedy administrator się zorientował, że prowadzony jest atak prawdopodobnie załączył wszystkie opcje. Niestety często się zdarza, że niektóre z nich nie działają prawidłowo i router robi się zbyt czuły na ataki. Wtedy zwykły ruch zaczyna być też traktowany jako atak.

Ale

VaGla's picture

Można sobie też wyobrazić, że wiedząc, że będą dokumenty opublikowane w określonym czasie, wiedząc, że będzie spore zainteresowanie ludzi, ktoś mógł chcieć jednak zDDoSować MKiDN, np. w celu wywołania niezadowolenie społecznego z faktu niedostępności informacji, które wszyscy chcieli poznać, a tym samym rozbujać nastroje społeczne. Czy to bardzo nieprawdopodobne?

Po prostu nie wiemy, co się stało, a raczej na temat tego co się stało mamy tylko oświadczenie rzecznika prasowego MKiDN.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Wnioski

Prawdy pewnie się nie dowiemy, ale ...

Możemy zebrać fakty i spróbować wyciągnąć wnioski.

Pierwsze ataki były wykonywane przez Anonimowych i jakichś amatorów z Polski. Zdaje się, że amatorzy wpadli, a Anonimowi przyznali się tylko do tego co sami robili. Przy okazji trzeba chyba dodać, że nie wszystkie strony Anonimowi powalili, chyba tylko te gorzej przygotowane.

Premier na tzw "konsultacjach społecznych" obiecał upublicznić dotychczas tajne dokumenty. Chciał w ten sposób chyba ująć wszystkich swoja szczerością.

Pod koniec następnego dnia pojawiło się kilka dokumentów na stronie Ministerstwa Kultury (przez chwilę je przeglądałem), potem nastąpił atak i wszystko padło. Atak trwał dosyć długo, teraz strona jest już dostępna, ale tych dokumentów jest obecnie trochę więcej (tak mi się zdaje).

Wiemy też, że Ministerstwo Kultury ma całkiem szybkie łącza (podsieć klasy C) i sądząc po komunikatach mają też zaawansowany router zdolny odeprzeć proste ataki.

No i teraz pytanie co się mogło stać?

Moim zdaniem nie zapchały łącza pliki PDF. Trochę się na tym znam, intuicja i doświadczenie każe mi raczej odrzucić tą możliwość (choć minister Zdrojewski naprawdę straszy na tym zdjęciu).

Ministerstwo mogło symulować atak na swoje łącza aby zyskać na czasie. Ale oni już te pliki częściowo umieścili - to bez sensu (ja je przeglądałem przez chwilę bez problemów). Zresztą przyznanie się do kolejnego padu strony www to dla nich kolejna kompromitacja.

Kolejna wersja - aby zdenerwować ludzi atak przeprowadzili Anonimowi. Ale oni podobno nic nie wspominają o tym ataku (zazwyczaj się do swoich ataków jednak przyznają, a na pewno do sukcesów). Zresztą pewnie sami byli ciekawi co tam jest w dokumentach. Można chyba powiedzieć, że ich atak był by tu trochę bezsensowny, no i tym razem skala ataku była jakby wielokrotnie większa niż na początku.

Czyli nie wiadomo nic?

Zapominamy, że jest jeszcze jedna strona która ma jakiś interes. Polska negocjowała z "kimś" ACTA. To tamta strona chciała wszystko zachować tajne, a w tym wypadku może też chcieli zyskać na czasie. Dodatkowo ujawnienie tych dokumentów było im nie na rękę, a atak odciągnął uwagę od samych dokumentów. Przy okazji nasz rząd może teraz twierdzić, że oni zawsze chcieli być szczerzy i otwarci, ale ci źli hackerzy ...
A kto to jest ten "ktoś" i czy ten ktoś ma odpowiednie możliwości techniczne? Odpowiedź pewnie wszyscy znają, bo od dawna się o tym trąbi w mediach.

Tak więc ja nieśmiało bym sugerował, że mam uzasadnione podejrzenie, że byli to prawdopodobnie nasi "przyjaciele" zza wielkiej wody.

P.S.
Tak czy inaczej można powiedzieć, że te wszystkie rozgrywki były możliwe, bo nasze rządowe zabezpieczenia są żałosne. Nie chodzi mi tu o pojedynczy przypadek, ale o całokształt. Gdyby więc minister Boni miał choć odrobinę honoru to dawno powinien podać się do dymisji.

Wiemy też, że Ministerstwo

Wiemy też, że Ministerstwo Kultury ma całkiem szybkie łącza (podsieć klasy C) i sądząc po komunikatach mają też zaawansowany router zdolny odeprzeć proste ataki.

Przepraszam ale wypisując takie kocopoły raczej narażasz się tylko na śmieszność swoim kompletnym brakiem znajomości tematu, niestety.

Panowie

VaGla's picture

Panowie, bez argumentacji ad personam proszę.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Ok przepraszam wszystkich,

Ok przepraszam wszystkich, to też przez te emocje. Klasa C adresów publicznych nie ma kompletnie nic wspólnego z szybkością łącz, owszem jest to logiczne - adresy publiczne, własny AS (Autonomous System), duża instytucja więc i duże łącza, ale równie dobrze mogą to zrealizować na łączu(ach) o przepustowości 1 mbps. Sformułowanie "zaawansowany router zdolny odeprzeć proste ataki" też jest średnio trafione, bo głównym zadaniem routera jest routing czyli przekazywanie pakietów między swoimi inerface. Specjalistyczne urządzenia jak firewall, ips etc służą do wykrywania ataków. Owszem routery mogę chronić przed DDOS ale przy pomocy konkretnych projektów jak np BGP blackholing > np http://null0.pl/
Chyba się zrehabilitowałem ;)

Masz rację ja też nie byłem precyzyjny

Chodziło oczywiście o IPS (podejrzewam, że jakiś model firmy CISCO). Zwrot IPS pojawia się zresztą w komunikacie. Teoretycznie masz też rację co do adresów, klasa C nie mówi nic o prędkości łącza. Ale praktycznie jak ktoś ma 256 adresów w puli do wykorzystania (tak naprawdę -3, wspominam bo zaraz mnie ktoś znowu obsmaruje), to łącze 1 Mbps by było raczej nieporozumieniem. Zresztą oni mają też np. własne wpisy w RevDNS. To na pewno nie jest jakieś tanie łącze.

Tak na poważnie, to spodziewałem się raczej krytyki wniosków. Nawet nie przyszło mi do głowy, że ktoś się przyczepi do zupełnie nieistotnych detali. Dlatego nawet nie starałem się być precyzyjny.

Przyczepiłem się bo

Przyczepiłem się bo mieszasz pojęcia i wprowadzasz ludzi w błąd - w sumie dalej to robisz: skoro mają swoje adres IP to i też mają revDNS i łącze znowu nie ma kompletnie tutaj nic do rzeczy.

I znowu leży

To trochę przerażające, że od dwóch dni nie da się stronie zapewnić prawidłowego działania.

Moim zdaniem jest tak ...

Moim zdaniem jest tak:

* Czy doszło do "ataku DDoS"?

Bardzo wiele na to wskazuje

* Jeśli tak, to jaki był charakter takiego ataku na "łącza internetowe MKiDN"?

Prawdopodobnie ktoś skierował botnet do ataku na łącze Ministerstw -ciężko się bronić przed połączeniami z tysięcy komputerów

* W jaki sposób utrudnienia "obsługi poczty elektronicznej" wiążą się z takim atakiem?

Poczta Ministerstwa jest na tym samym łączu internetowym co strona www. Przeciążenie łącza spowodowało problemy z pocztą (smtp i pewnie też pop3 lub imap).

* Jaka jest przepustowość łącza MKiDN (jeśli nie jest to informacja objęta tajemnicą)?

Ktoś o tym wspomniał - chyba 30 Mbps

* Jak należy rozumieć "połączenia", o których mowa w tym komunikacie?
* Czy chodzi o zapytania serwera o pliki, czy wywołania elementów baz danych?

Sądząc po opisie chodzi np. o "nieprawidłowe" połączenia z jakąś usługą na serwerze lub routerze. Takie nieprawidłowe połączenia w dużej ilości zapychają łącze i mogą bardzo obciążyć serwer
W pytaniu jest zresztą subtelny błąd, serwer www nie wymaga bazy danych do pracy. Niektóre dynamiczne serwisy zapisują dane w bazie, ale nie jest to normą. No i internauta czy nawet hacker nie ma dostępu do bazy bezpośrednio, to serwer www się do niej może tylko odwoływać.

* Czy możliwe jest, że Ministerstwo Kultury i Dziedzictwa Narodowego uznało za "atak" dużą liczbę sesji przeglądarek www, za pomocą których użytkownicy internetu, zaraz po opublikowaniu pierwszych (zapowiedzianych dzień wcześniej przez Pana Premiera w czasie debaty w KPRM) dokumentów w sprawie ACTA, chcieli się z nimi zapoznać, a "połączenia", o których mowa to zapytania o pliki składające się na strony MKiDN, które za każdym razem muszą być przesłane użytkownikom internetu z serwera MKiDN, a także zapytania o udostępnione pliki PDF?

Raczej nieprawdopodobne - serwer www co jakiś czas by się pojawiał w sieci. Zresztą w logach routera lub serwera www można zobaczyć zazwyczaj co zapycha łącza

* Czy brak dostępności serwisu internetowego MKiDN może mieć związek z brakiem optymalizacji tego serwisu ze względu na wykorzystywane zasoby (np. wcześniej MKiDN opublikowało dokument PDF, który "ważył" 25 MB; strony MKiDN zostały przygotowane w ten sposób, że liczba odwołań do serwera bazodanowego oraz serwera webowego jest znaczna)?

Bardzo mało prawdopodobne (choć zdjęcie ministra Zdrojewskiego "straszy" tam zupełnie niepotrzebnie). Pobieranie pliku zazwyczaj obciąża łącze, ale raczej nie wpływa to na obciążenie bazy (chyba że ktoś pliki wstawił do bazy - ale to głupota).

Ja bym poczekał z

Ja bym poczekał z odpowiadaniem na pytania jak w końcu pojawi się jakiś techniczny i kompetentny komunikat, bo to co na razie wiemy to prawdopodobnie doniesienia z działu PR. Poza tym to na pewno nie hakerzy atakują jeżeli już.

http://pl.wikipedia.org/wiki/Haker

tracert

tracert www.mkidn.gov.pl

Tracing route to www.mkidn.gov.pl [91.209.141.26]
over a maximum of 30 hops:

3 4 ms 3 ms 3 ms 195.187.255.159
4 5 ms 4 ms 4 ms SuperMedia.plix.pl [195.182.218.9]
5 6 ms 7 ms 7 ms 212.180.187.51
6 5 ms 6 ms 5 ms http1.mk.gov.pl [91.209.141.26]

No łącze jest raczej nieobciążone, serwer raczej też bo by nie odpowiadał na pingi. To raczej wygląda na wyłączenie usługi http, a nie ddos.
Może wszystko łatwiej tłumaczyć mitycznymi ddosami.

Sytuacja

VaGla's picture

Sytuacja dotyczyła dnia wczorajszego wieczorem i dzisiejszego ranka.
--
[VaGla] Vigilant Android Generated for Logical Assassination

pliki w bazie

chyba że ktoś pliki wstawił do bazy - ale to głupota

Zdarzało mi się widzieć niejeden CMS, wykonany na zamówienie przez firmy uwążające się za bardzo profesjonalne, gdzie właśnie pliki były przechowywane w bazie.
Gdy zwracałem im uwagę że jest to skrajnie nieefektywne twierdzili że "tak jest bezpieczniej".

"tak jest bezpieczniej" ... ale mniej efetywnie

Sam sobie odpowiedziałeś. Tak jest może bezpieczniej, ale bardziej obciąża to serwer. A na serwerze od którego wymaga się wydajności jest to niebezpieczne bo serwer szybciej się zamuli.

to zależy jak leży

steelman's picture

Nie jest wcale powiedziane, która metoda przechowywania plików jest lepsza. Nie jest nawet powiedziane, która pozwala na szybsze wysłanie danych "w sieć" (przy tak postawionym pytaniu). Aby możliwa była taka odpowiedź należy doprecyzować o jakiej bazie danych mówimy i o jakim systemie plików, oraz o jakim ich obciążeniu.

IMHO wysłanie "w sieć" statycznych treści (obrazków oraz 25MiB ACTA) nawet przy łączu 100Mbps (to tylko 10MiB/s) nie stanowi dla dzisiejszych komputerów, żadnego problemu bo: a) jest to nieduża prędkość, b) przy dzisiejszych pojemnościach RAM takie ilości (dziesiątki MiB) danych i tak leżą cały czas w buforach.

Moim, jeszcze skromniejszym, zdaniem dużo większy problem niż pobieranie statycznych danych z pamięci masowej, stanowią mechanizmy dynamicznego generowania treści (np. PHP) oraz ewentualnie routery po drodze, wrażliwe bardziej na liczbę przesyłanych w jednostce czasu pakietów (pps) niż na szerokość strumienia danych (mbps).

>steelman<

" b) przy dzisiejszych

" b) przy dzisiejszych pojemnościach RAM takie ilości (dziesiątki MiB) danych i tak leżą cały czas w buforach."

Nie zgodzę się z Tobą. Gdyby tak było, stosowanie jakichkolwiek systemów do cache'owania statycznego contentu (jak np. varnish) mijałoby się z celem.

Routerami bym się nie martwił

Routerami bym się nie martwił, zazwyczaj ich wydajność jest sporo większa od samego łącza. Wydajność PHP też nie ma przy ściąganiu plików większego znaczenia (no chyba, że pliki siedzą w bazie). Do tego celu pewnie nawet łącze 10 Mbps by starczyło. Oczywiście przy założeniu, że nie pojawią się hackerzy zapychający łącze, na nich zawsze trzeba się osobno przygotować. Na pewno też się nie zgodzę, że takie dane siedzą obecnie w RAM. Są odczytywane ciągle z dysku (lub raczej z dysków, bo w takim wypadku zazwyczaj mówimy o macierzy sprzętowej).

Dostęp do bazy danych

Sądząc po opisie chodzi np. o "nieprawidłowe" połączenia z jakąś usługą na serwerze lub routerze. Takie nieprawidłowe połączenia w dużej ilości zapychają łącze i mogą bardzo obciążyć serwer
W pytaniu jest zresztą subtelny błąd, serwer www nie wymaga bazy danych do pracy. Niektóre dynamiczne serwisy zapisują dane w bazie, ale nie jest to normą. No i internauta czy nawet hacker nie ma dostępu do bazy bezpośrednio, to serwer www się do niej może tylko odwoływać.

To zależy od ustawień bazy danych. Każdy serwer może pozwalać na logowanie tylko z lokalnej maszyny (ten sam serwer), z określonej domeny/domen/adresów ip lub skądkolwiek. Ustawienia te można zmieniać na wielu poziomach. Np. można w bazie utworzyć użytkownika z flagą dowolnego hostu (czyli teoretycznie dostęp jest z każdego miejsca w sieci), ale ustawić firewall tak, by odrzucał wszystkie zewnętrzne połączenia na porcie serwera mysql.

Racja

Nie wspomniałem jednak o tym, bo nie przyszło mi do głowy, że ktoś może na serwerze rządowym wymapować port bazy przez firewall w Internecie. Skoro jednak ktoś mógł założyć login i hasło: admin, admin1 to faktycznie mogę się mylić i mógł to być "atak na bazę". Przy czym baza wcale nie musi być MySQL. Może to być PostgreSQL, Oracle itd.

I tak jeszcze do wszystkich

I tak jeszcze do wszystkich tych, którzy bezrefleksyjnie wierzą w DDOS na MK. Zastanówmy się chwilę - kto mógłby go wykonać? Anonymous przecież się nie umawiali a przynajmniej nigdzie nie ma takiej informacji. Czyli zostają właściciele botnetów. Teraz pytanie - kto jest takim filantropem aby przeprowadzić swoim botnetem ataka DDOS na MK? Testowanie botnetu np. DDOS trawa zdecydowanie krócej a i tak przy okazji cel jest jakiś konkretny aby i na tym można zarobić albo coś zyskać. Owszem na pewno znajdą się ludzie, którzy to zrobią tylko tym sposobem wystawiają się na konkretne straty i możliwe konsekwencje. Poza tym teraz kiedy sprawa trochę ucichła i sytuacja się stabilizuje komu może zależeć na DDOS na MK?
Chyba, że jest to DDOS, który jest odpowiedzią na coś zupełnie innego niż ACTA, dokumenty i ogólnie działalność statutowa MK ;)

Atak DDoS już od 50$ -

Atak DDoS już od 50$ - http://www.computerweekly.com/news/1280090242/Kaspersky-reveals-price-list-for-botnet-attacks . Dla osoby, która kontroluje botnet, koszt jest jeszcze mniejszy, bo fizycznie ona nic nie traci.

To są tylko artykuły ile

To są tylko artykuły ile kosztuje wysyłanie spamu, ddos i inne usługi z portfolio właścicieli botnetów. Jednak co innego są cenniki w "niusach" na stronach dotyczących IT a co innego ich realne kupowanie i z nich korzystanie.
Poza tym pomyślmy, wszyscy dążyli do tego aby zobaczyć te dokumenty i zmasowane ataki sprzed kilkunastu dni właśnie temu służyły aby nasz rząd pokazał to co się w sprawie negocjacji z ACTA działo. Więc teraz jak już są dokumenty, to blokujemy stronę aby ich nie można było pobrać? Oczywiście jest możliwe, że ktoś robi na złość, jednak z tych dokumentów wynikają między innymi takie kwiatki o których pisze Vagla i o których napisali np. tutaj:
http://pej.cz/Rzad-celowo-utajnil-negocjacje-w-sprawie-ACTA-Sa-mocne-dowody-a1972
więc może ten atak został specjalnie spreparowany aby zamiast mówić o dokumentach i o tym co w nich jest trąbić znowu o "hakerach" Anonymous itd itp. Kto wie.

Czekając na odpowiedź ABW

VaGla's picture

Czekając na odpowiedź ABW odnotuję, że wcześniej sprawdziłem sobie, że wśród tych wczoraj opublikowanych plików, obok komentowanego już pliku ważącego 25 MB (dokładniej 24,8 MB), który zawiera "Wniosek MKiDN o udzielenie przez Radę Ministrów zgody na podpisanie Umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi między Unią Europejską i jej państwami członkowskimi, Australią, Kanadą, Japonią, Republiką Korei, Meksykańskimi Stanami Zjednoczonymi, Królestwem Marokańskim, Nową Zelandią, Republiką Singapuru, Konfederacją Szwajcarską i Stanami Zjednoczonymi Ameryki, wraz z uzasadnieniem", pojawiły się dwa projekty tego wniosku: jeden z 6 września 2011 r., a drugi z 4 listopada 2011 r. Jeden z tych nowych plików ma 27,8 MB, a drugi 26,8 MB.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Łącze działa w dwóch kierunkach

Do tej pory nikt nie zwrócił uwagi, że "atak" mógł być zainicjowany od wewnątrz. Prosty rachunek pokazuje, że jeden urzędnik ściągający torrent z zapisem poniedziałkowej debaty może kompletnie zatkać łącze ministerstwa na co najmniej 12 minut. Ile osób przez ten czas będzie próbowało na wszelkie sposoby dostać się z zewnątrz na serwer? Ile osób zdecyduje się na uruchomienie wgeta lub innego narzędzia, które będzie próbowało pobrać całą witrynę? Ile osób włączy automatyczne odświeżanie karty w przeglądarce, aby wreszcie doczekać się widoku załadowanej strony?

Ministerstwo pojawia się i znika

Wygląda na to, że admin spróbował na serio zastosować wytyczne MAC i CERT i włączył m.in. logowanie całego ruchu. W ten sposób wywołał skutek, który akurat w tym ministerstwie powinien być dobrze znany:
Im bardziej Puchatek zaglądał do środka, tym bardziej Prosiaczka tam nie było.

ani prosty ani rachunek

steelman's picture

Prosty rachunek pokazuje, że jeden urzędnik ściągający torrent z zapisem poniedziałkowej debaty może kompletnie zatkać łącze ministerstwa na co najmniej 12 minut.

O ile, routery ministerstwa nie są tragicznie źle skonfigurowane to nie może. Primo, urzędnik ściąga a serwer wysyła, nikt nikogo nie zatyka bo wszyscy jadą w przeciwnych kierunkach. Secundo, protokół TCP oraz routery są tak zaprojektowane/skonstruowane aby w miarę równomiernie obdzielać wszystkie połączenia dostępnym pasmem.

To co często obserwuje się w sieciach domowych, czyli absolutne zablokowanie ściągania gdy tylko zaczyna się coś większego wysyłać (np. e-mail ze zdjęciami z imienin cioci) wynika z tzw. bufferbloat-u, który w profesjonalnych instalacjach występuje rzadziej.

>steelman<

Ani skonfigurowane ani profesjonalne

1. Pisałem o torrencie, co oznacza i pobieranie, i wysyłanie - wszystko na jednym łączu 30 Mbit/s. Nałożenie jakichś ograniczeń oznacza, że do zapchania łącza trzeba nie jednego, a kilku urzędników.
2. "Profesjonalizm" ujawniono już wcześniej na przykładzie hasła admina. Nawet jeśli tym razem sprzęt był lepiej skonfigurowany, to nie wiemy, jakim celom ta konfiguracja miała służyć - bezpieczeństwu czy wygodzie urzędników. Można śmiało zakładać to drugie, czyli brak istotnych ograniczeń, bo:
- ograniczenie przeszkadzałyby np. kierownikowi działu przy wysyłaniu czy odbieraniu dokumentów o ujawnionej wielkości 25 MB;
- urzędnik Ministerstwa Kultury musi przecież w ramach obowiązków służbowych oglądać filmy przez internet.

An attack was detected

Teraz, tj. 08:32 09.02.2012 strona mkidn.gov.pl wyświetla informację:
"An attack was detected, originating from your system. Please contact the system administrator."

Atak poprzez wycięcie podsieci

Przypuszczam, że jeżeli system wykryje zwiększoną aktywność z jakiejś podsieci, to wycina ją całą. Np. mając internet w tp, która przydziela mi adresy klasy C (czyli pierwsze trzy numerki są na sieć, ostatni na mój komputer/router podpięty do tp) mogę zostać uznany za potencjalne zagrożenie jeżeli ktoś inny (lub odpowiednia grupa) mający ten sam początek adresu zostanie uznany za atakującego.

Ale cóż sobie o Państwie

Ale cóż sobie o Państwie pomyśli internauta poczęstowany takim komunikatem. Że mu ABW zapuka o szóstej rano? Nie uważasz, że to jednak dość nieprofesjonalne, żeby rządowa strona częstowała takim komunikatem odwiedzających?

MKiDN i ARAKIS

W 2005 roku uruchomiono projekt ARAKIS (http://prawo.vagla.pl/node/4116), zmieniony później na ARAKIS-GOV:
http://www.itwadministracji.pl/numery/pazdziernik-2009/pod-skrzydlami-arakis-a.html
http://www.cert.gov.pl/portal/cer/4/310/System_ARAKISGOV.html

W projekcie biorą udział te urzędy centralne, których dyrektorzy generalni wyrazili na to zgodę. Jeżeli MKiDN wyraziło zgodę na udział w projekcie, to zapewne są jakieś dane statystyczne na temat tego, co sie działo w tych dniach z łączami MKiDN.

To może nie na ten temat ...

... ale też w temacie ACTA.

http://utumno.salon24.pl/388390,usa-naciska-na-rzady-niezaleznych-panstw-w-sprawie-acta

No i to bardzo ciekawa lektura.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>