sobota, 8 sierpnia 2009

Cyberwojna o Gruzję



Mija rok od konfliktu gruzińsko – rosyjskiego, mimo iż powstało wiele opracowań polskojęzycznych na ten temat, chciałbym dorzucić swoich 12 groszy i skupić się na warstwie cyberprzestrzeni. Mimo iż w świecie „realnym” to Gruzja wywołała konflikt, w świecie zerojedynek wygląda to inaczej.

Na długo przed tym jak na Gruzję spadły pierwsze rosyjskie bomby w cyberprzestrzeni bombardowanie trwało na całego już od dłuższego czasu. Mimo iż brak mocnych dowodów, na to że za tymi atakami stoi Rosja i rosyjskie grupy przestępcze, wszystkie poszlaki wskazują właśnie na nie. Fundacja Shadowserver już jakiś czas przed rozpoczęciem działań wojennych zaobserwowała w sieci ataki typu Ddos na gruzińskie serwery. Kulminacja tych działań nastąpiła dopiero po rozpoczęciu konfliktu. Atakowano przede wszystkim serwery rządowe, ale i te nie związane z władzą miały problemy z prawidłowym funkcjonowaniem.
Oto lista atakowanych serwerów:

www.president.gov.ge – strona prezydenta Gruzji
www.mfa.gov.ge -strona Ministerstwa Spraw Zagranicznych (uwaga WOT określił stronę jako niebezpieczną jednak nie miałem z nią kłopotów)
www.saesa.gov.ge – strona Agencji Pomocy Socjalnej i Pracy
www.parliament.gov.ge – strona parlamentu

Jak już wspomniałem brak konkretnych dowodów na to iż za atakiem stoją Rosjanie. Jednakże kilka czynników ataku wskazuje jednoznacznie na nich, a dokładniej grupę o wdzięcznej nazwie Russian Business Network, w obiegu istnieje również FSB Cyber Warriors, która mówi sama za siebie.
20 lipca rozpoczął się pierwszy atak na rządowe strony Gruzji, wśród pakietów zalewających serwery Tbilisi stale powtarzał się słowo „win+love+in+Russia”.
Serwery, które zostały wykorzystane przy ataku zarówno z 20 lipca, jaki i 10 sierpnia były wykorzystywane do tej pory tylko i wyłącznie do przeprowadzenia ataku na Gruzję. Nie wykorzystano ich w innych atakach typu ddos, co nie jest często spotykaną praktyką. Atak z 20 lipca był początkowo koordynowany z serwera zlokalizowanego w Stanach Zjednoczonych, a następnie z serwera z lokalizowanego w Turcji. Tego samego tureckiego serwera użyto w ataku z 10 sierpnia, wspomagały go również serwery zlokalizowane w Rosji.
Co ważne w obydwu przypadkach wykorzystano serwery połączeniowe: 342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), AS9121 TTNet Autonomous System Turk Telekom (Tk) znajdujące się pod kontrolą crackerów z RBN oraz rządu Rosyjskiego. W wyniku działań RBN udało się również przejąć kontrolę na Gruzińskimi serwerami połączeniowymi.
Ostatnią ważną poszlaką wskazującą na Rosjan jest fakt użycia oprogramowania malware, które najczęściej jest stosowane przez rosyjskich cyberprzestępców.
Oprócz grup przestępczych w ataku brali udział zwykli internauci, rosyjskie fora internetowe były pełne instrukcji w jaki sposób atakować serwery w Gruzji, a na stronie StopGeorgia.ru, mogli wybrać cel ataku, lub obejrzeć jego aktualny status.

(materiał ze strony rbnexploit )


Gruzja w cyberprzestrzeni nie walczyła sama. Na pomoc Gruzińskim serwerom ruszyli przede wszystkim Estończycy i Niemcy (nas należy uwzględnić dla przyzwoitości).
Niemieckim specjalistą z Deutsche Telekom AG na jakiś czas udało się zmienić trasę pakietów atakujących gruzińskie serwery, dzięki czemu byli wstanie powstrzymać atak. Stanu tego nie udało się długo utrzymać, gdyż Rosja cały ruch przekierowała własne serwery. (internetowe okno na świat Gruzji poprowadzi jedynie przez Rosję oraz Turcję). Estonia natomiast przeżucia do Tbilisi dwójkę specjalistów, których zadaniem była pomoc w odparciu cyberataku. Strona Polska natomiast udostępniła stronę president.pl, na której MSZ Gruzji mógł zamieszczać obwieszczenia i komunikaty. Gruzja korzystając z Estońskiego doświadczenia (ataki z 2007) przeniosła część stron informacyjnych na serwisy Google.
Na dzień 14.08.2008 Strona prezydenta działa poprawnie. Była ona umieszczona na serwerze (adres ip 208.75.229.98) znajdującym się w Atlancie w Stanach Zjednoczonych, pod opieką TULIP SYSTEMS, INC. Której szefuje urodzona w Gruzji Nino Doijashvili.
Strona Ministerstwa Spraw Zagranicznych zgłasza się na adresie 212.47.222.163, który można zlokalizować w Talinie w Estoni. A trasa pakietów do tych serwerów omija Rosję i Turcję (Najczęściej nawiązuje się połączanie poprzez Niemieckie i Francuskie serwery, następnie Estonię i dalej do USA w przypadku strony prezydenckiej)
Strona Agencji Pomocy Socjalnej i Pracy jest nadal niedostępna choć sam serwer (62.168.168.9) był uruchomiony i zgłaszał swoją obecność. Z adresu sieciowego wynika, iż znajdował się on na
Al. Rustaveli – głównej ulicy w Tbilisi.
Rosjanie zaprzeczają, że stoją za atakami na serwery Gruzińskie. Zaznaczając, że wraz z atakiem Gruzinów rozpoczął się atak w cyberprzestrzeni. Serwis Cnews.ru informowała o atakach, które miały być przeprowadzone 5.08 i 8.08. Ofiarą ataku typu ddos padły strony:

osinform.ru
cominf.org
osradio.ru

Natomiast 11.08 celem ataku miały paść strony:

lenta.ru,
mk.ru
izvestia.ru

Według rosyjskich analityków w ataku na strony informacyjne Rosji brało udział około 20tys komputerów. A za ataki na strony zarówno Gruzińskie, jak i Rosyjskie odpowiedzialni są crackerzy Ukraińscy. Na potwierdzenie tej tezy jeden z rządowych ekspertów powiedział „u jednych Ukraińców dały o sobie znać rosyjskie korzenie, a u innych pobudki prozachodnie i pro-gruzińskie”. Rosyjska strona do dziś nie przedstawiła, żadnych danych dotyczących ataków. Zachodnie ośrodki badawcze nie zarejestrowały większych ruchów wymierzonych w wyżej wymienione serwisy.

W anglojęzycznym internecie jest sporo dobrze opracowanych materiałów na ten temat, z których pozwoliłem sobie skorzystać:
Shadowserver - dane na temat ataku
rbnexploit - kapitalny blog poświęcony działalności cyberprzestępców między innymi RBN

sobota, 1 sierpnia 2009

Internet w Rosji - mikrofotografia sytuacji

Pomimo trudnej sytuacji ekonomicznej w Federacji Rosyjskiej internet ma się bardzo dobrze
i odnotowuje kolejne wzrosty. Według danych opublikowanych przez FOM, w pierwszym półroczu 2009 r. 40 milionów rosyjskich internautów za dostęp do internetu zapłaciło łącznie 1.1 mld dolarów, dla porównania łączna kwota za rok 2008 wyniosła niewiele ponad 1 mld dol. 16% całej kwoty uzyskanej w 2009 roku przypada na Moskwę. Średnia opłata za miesięczny dostęp do internetu wynosi 500 rub. (ok. 50 zł). Tak duży wzrost wydatków na internet jest wynikiem stałego rozrastania się, infrastruktury teleinformatycznej, co pozwala na podłączanie nowych użytkowników.



Obecnie 69% użytkowników korzysta z internetu szerokopasmowego, jak można było się spodziewać, jest on najbardziej rozpowszechniony w dużych miastach takich jak Moskwa gdzie stanowi 88% wszystkich podłączeń i Petersburg – 90%. Ogólnie rzecz biorąc, Rosjanie najchętniej łączą się z internetem poprzez różnego rodzaju „sieci osiedlowe”(Ethernet) stanowią one 41%, ADSL - 28%, sieci komórkowe - 15% , aż 11% internautów łączy się z internetem za pomocą modemów telefonicznych. Dla porównania poniżej została zaprezentowana statystyka z 2005 r.


Dane z roku pochodzą z sondy przeprowadzonej przez portal Rambler.ru internauci odpowiadali na pytanie „w jaki sposób łączysz się z siecią internet”

Rozkład rozpowszechnienia internetu w FR, również nie jest zaskakujący. Można się pokusić o stwierdzenie, że im dalej na wschód tym gorzej - w pewnym sensie jest to niestety prawdą. Wschód Rosji cierpi na brak ludności, która stale emigruje do części europejskiej, gdzie stopa życiowa jest o wiele wyższa. Stanowi to duży problem dla państwa, gdyż tereny te są powoli, acz systematycznie zasiedlane przez imigrantów z Chin.



Zaprezentowane powyżej cyfry nie odbiegają znacząco od ilości szkół podłączonych do internetu w ramach państwowego programu.



Runet ma się dobrze, stale przybywa mu nowych użytkowników. Analitycy są zgodni co do tego, że kryzys nie powinien spowodować znacznego spowolnieni tempa wzrostu ilości internautów. Oczywiście nie wszystkie statystyki wyglądają dobrze. Dostęp do internetu posiada 44% społeczeństwa, z czego 19 – 23% poza domem. W związku z tym Federacja Rosyjska nadal odstaje od krajów wysoko rozwiniętych. Rosyjski internet to nadal domena młodych ludzi i tak przedział wiekowy 18 -24 stanowi 29%, przedział 25-34 jest najliczniejszy 31%, w przedziale 35-44 audytorium wynosi 20%, a przedział 45-54 to 15%. Prawdziwy spadek następuje w najstarszej grupie po wyżej 55 roku życia, internauci ci stanowią jedynie 5%. Rosyjski internet to nadal domena ludzi z wyższym wykształceniem - 63% i średnim specjalistycznym - 30%. Pewnym optymizmem napawa równowaga płci wśród internautów 51% mężczyźni 49% kobiety, choć tu należy być ostrożnym i pamiętać, że jest więcej „obywatelek” niż „obywateli” FR.Runet ma się dobrze, stale przybywa mu nowych użytkowników. Analitycy są zgodni co do tego, że kryzys nie powinien spowodować znacznego spowolnieni tempa wzrostu ilości internautów. Oczywiście nie wszystkie statystyki wyglądają dobrze. Dostęp do internetu posiada 44% społeczeństwa, z czego 19 – 23% poza domem. W związku z tym Federacja Rosyjska nadal odstaje od krajów wysoko rozwiniętych. Rosyjski internet to nadal domena młodych ludzi i tak przedział wiekowy 18 -24 stanowi 29%, przedział 25-34 jest najliczniejszy 31%, w przedziale 35-44 audytorium wynosi 20%, a przedział 45-54 to 15%. Prawdziwy spadek następuje w najstarszej grupie po wyżej 55 roku życia, internauci ci stanowią jedynie 5%. Rosyjski internet to nadal domena ludzi z wyższym wykształceniem - 63% i średnim specjalistycznym - 30%. Pewnym optymizmem napawa równowaga płci wśród internautów 51% mężczyźni 49% kobiety, choć tu należy być ostrożnym i pamiętać, że jest więcej „obywatelek” niż „obywateli” FR.
Nowsze posty Starsze posty Strona główna