ΕΔΥΤΕ Α.Ε Ανακοίνωση: Το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ Α.Ε. – GRNET), σε ανακοίνωσή του αναφέρεται στις επιθέσεις στην Τράπεζα Θεμάτων, παραθέτει το ιστορικό των επιθέσεων και αναφέρει την προστασία που παρέχει η πλατφόρμα της ΑΚΑΜΑΙ* Αναλυτικά στην ανακοίνωση αναφέρεται: «H πλατφόρμα trapeza.iep.edu.gr του Ινστιτούτου Εκπαιδευτικής Πολιτικής (ΙΕΠ) φιλοξενείται σε υποδομές του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ και συνδέεται στο Internet μέσω του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ. Μετά από αίτημα του Ινστιτούτου Εκπαιδευτικής Πολιτικής ΙΕΠ έγιναν ενέργειες για την αντιμετώπιση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (Distributed Denial of Service – DDoS) τις πρωινές ώρες της 29ης και της 30ης Μαΐου 2023.
Ιστορικό: Τη Δευτέρα 29/5, συστήματα με μεγάλη διασπορά σε χώρες όλου του κόσμου δημιουργούσαν με υπερβολικό ρυθμό συνδέσεις προς την πλατφόρμα (TCP SYN flood, περίπου 280.000 δικτυακά πακέτα ανά δευτερόλεπτο) καθώς και μεγάλη άεργη δικτυακή κίνηση (UDP flood) μέχρι 1.8 Gbps. Οι επιθέσεις αυτές αντιμετωπίστηκαν στις 09:20.
Την Τρίτη 30/5 έγινε επίθεση πολλαπλάσιας έντασης με μεγάλη διασπορά προς την υποδομή της πλατφόρμας (TCP SYN flood) με ρυθμό έως και 5 εκ. δικτυακά πακέτα ανά δευτερόλεπτο. Η επίθεση αντιμετωπίστηκε στις 07:32. Έπειτα, ο στόχος της επίθεσης μετατοπίστηκε σε υποδομές του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) αλλά στις 08:09 αντιμετωπίστηκε και αυτή. Στη συνέχεια οι συνεργάτες του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ συνέδραμαν στην επίλυση υπόλοιπων θεμάτων που προέκυψαν λόγω της επίθεσης στην εφαρμογή.
Ως προς την προστασία που παρέχει η ΑΚΑΜΑΙ: Η πλατφόρμα της AKAMAI είναι σχεδιασμένη για να προστατεύει μόνο την εφαρμογή, όχι τη βασική υποδομή, όπως λανθασμένα αναφέρεται σε δημοσιεύματα. Μια επίθεση DDoS μπορεί να πραγματοποιηθεί με διαφορετικούς τρόπους μέσα από τα διάφορα επίπεδα της στοίβας πρωτοκόλλων του διαδικτύου. Η πρόσβαση στην εφαρμογή περνάει αρχικά από το Internet προς το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ, έπειτα προς την υποδομή και τέλος προς την εφαρμογή. Οι επιθέσεις τη Δευτέρα 29/5 ήταν κυρίως εναντίον της εφαρμογής και την Τρίτη 30/5 εναντίον της υποδομής. Όπως αναφέραμε, η πλατφόρμα της AKAMAI δεν προστατεύει στο επίπεδο της υποδομής αλλά στο επίπεδο της εφαρμογής. Για να προστατευθεί η υποδομή έγιναν σχετικές ενέργειες των μηχανικών του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ μετά από αίτημα των διαχειριστών της εφαρμογής.
Αντιμετώπιση δικτυακών επιθέσεων: Οι επιθέσεις σε επίπεδο δικτύου αυξάνονται παγκοσμίως το τελευταίο διάστημα. Ο δικτυακός προορισμός trapeza.iep.edu.gr που δέχθηκε τις επιθέσεις είναι ένας μόνο σε σύνολο εκατοντάδων χιλιάδων πιθανών στόχων που εξυπηρετούνται μέσω του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ. Σε κάθε περίπτωση, όμως, οι συγκεκριμένες επιθέσεις αντιμετωπίστηκαν επιτυχώς και, παρά τις πράγματι δυσάρεστες καθυστερήσεις που σημειώθηκαν, δεν κατάφεραν να εμποδιστεί η λειτουργία της εφαρμογής της Τράπεζας Θεμάτων.
Τεκμηρίωση επίθεσης: Από δημοσίως διαθέσιμα γραφήματα φαίνεται η σταδιακή και ομαλή αύξηση της κίνησης στις 31/5 και 1/6 όπου δεν εντοπίστηκε επίθεση. Η ομαλή κίνηση αυξάνεται σταδιακά μέχρι ένα μέγιστο μέσα στην ημέρα και σταδικά υποχωρεί. Αντιθέτως, τις πρωινές ώρες της 29/5 εντοπίζεται η κακόβουλη κίνηση ως διακριτή κορυφή νωρίτερα της ομαλής κορύφωσης της κίνησης. Στις 30/5 η αύξηση λόγω της κακόβουλης κίνησης ξεπερνάει σαφώς τη συνολική κίνηση του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ προς το Internet. Σημειώνουμε ότι η διάγνωση των επιθέσεων γίνεται μέσω των εργαλείων παρακολούθησης των δικτύων και μέσω των αναφορών των εργαλείων προστασίας και όχι μόνο μέσω δημόσια διαθέσιμων δεδομένων. Τα στοιχεία που έχει το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας ΕΔΥΤΕ σαφώς και είναι διαθέσιμα στην ποινική έρευνα που διενεργείται για την υπόθεση.
Διευκρινίσεις σε σχέση με την νόμιμη δικτυακή κίνηση: Ο ρυθμός 280 χιλ. πακέτων ανά δευτερόλεπτο που αναφέρεται για τη Δευτέρα 29/5 αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δισ. ανά ώρα. Την Τρίτη 30/5 οι αντίστοιχοι ρυθμοί επεξεργασίας δικτυακών πακέτων, όπως φαίνεται ενδεικτικά, από τα γραφήματα είναι 300 εκ. ανά λεπτό ή 18 δισ. ανά ώρα. Οι ρυθμοί αυτοί υπερβαίνουν κατά πολύ τις λογικές απαιτήσεις για τη νόμιμη κίνηση των εμπλεκόμενων εφαρμογών στις επιθέσεις αυτές. Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.
Γενικό σχόλιο: Η άμεση ή έμμεση αμφισβήτηση της αξιοπιστίας όσων υπεύθυνα εργάζονται για τη διάγνωση και αντιμετώπιση τέτοιων κακόβουλων επιθέσεων, αντί για την καταδίκη όσων τις σχεδιάζουν και τις εκτελούν, θεωρούμε ότι είναι αντιπαραγωγική και κινδυνεύουμε να τις ενθαρρύνουμε αντί να τις αποθαρρύνουμε με τον αποπροσανατολισμό της συζήτησης.
* Η Akamai Technologies, Inc. είναι μια αμερικανική εταιρεία παροχής δικτύου παροχής περιεχομένου, κυβερνοασφάλειας και υπηρεσιών cloud, η οποία παρέχει υπηρεσίες ασφάλειας ιστού και Διαδικτύου. Η πλατφόρμα Intelligent Edge της Akamai είναι μια από τις μεγαλύτερες πλατφόρμες κατανεμημένων υπολογιστών στον κόσμο.