<HELP> for explanation

Dr_Vas-ka

Кто и для чего атаковал ITinvest?

Эфир состоялся сегодня в 16.37 по РБК. В студии присутствует генеральный директор одного из провайдеров и непосредственный куратор компании ITinvest. На связи по телефону В.В.Твардовский.
 
Тема эфира:

Сайты атакованы: это война?

В марте произошли массированные атаки хакеров на российские интернет-ресурсы. Были атакованы как официальные сайты МИДа, президента России, Первого канала, РИА Новости, Банка России, Агентства стратегических инициатив, так и сайты интернет-магазинов… Появились предположения, это последствия кризиса на Украине. К каким потерям приводят такие атаки? Сколько стоит эффективная защита от масштабной кибератаки?

rbctv.rbc.ru/archive/levchenko/562949990917563.shtml


Техническая служба (18:02:02): Уважаемые клиенты!
К моему глубокому сожалению,  в результате беспрецедентной по интенсивности атаки хакеров на интернет-системы ведущих  российских финансовых компаний на части сервисов ITinvest произошли отказы в доступе. Я прекрасно понимаю, что из-за неожиданных технических сбоев, которые мы испытываем на протяжении последних дней, вы, возможно, недовольны, сердитесь или просто озабочены сложившейся ситуацией. Хочу обратиться к каждому из вас, чтобы объяснить, что произошло, и  рассказать о принимаемых мерах. 
Атака хорошо скоординирована, ведется из очень большой сети зараженных компьютеров, расположенных по всему миру. Масштабы атаки таковы, что вызывают негативные эффекты в магистральных каналах  провайдеров.  Злоумышленники динамически меняют типы применяемых воздействий, что заставляет нас на ходу адаптировать свои защитные системы.
ITinvest  привлекла к усилению своих систем защиты ведущих поставщиков решений в этой области. Мы тесно взаимодействуем с Ростелеком и Orange. Фильтрацию   трафика осуществляет  специализированная сеть Qrator (HighLoadLab). Ведутся работы по подключению решений Лаборатории Касперского.
На текущий момент нам удалось для всех терминалов, используемых нашими клиентами, включая Option Lab Trade, стабилизировать доступ в резервную торговую систему. Также доступен web-кабинет, включая электронный документооборот, ЛИСА и корпоративный сайт компании. Обещаю, что мы приложим максимум усилий для восстановления работоспособности наших систем в полном объеме. Работоспособность будет восстановлена в ближайшее время.
Также отмечу, что в борьбе со злоумышленниками мы не ограничиваемся только технологическими решениями. В частности, по фактам атак Компанией поданы соответствующие заявления в прокуратуру и ФСБ, ведется работа с криминалистами.

Прошу вас выполнить следующие рекомендации наших партнеров по информационной безопасности:
  — На время до завершения атак хакеров выключать web-кабинет в ночное время и во время выходных дней. В соответствии с этой рекомендацией web-кабинет будет закрыт с 22 вечера до 9 утра и по выходным дням.
  — На время до завершения атак хакеров выключать выключить форум до проведения необходимых регламентных работ. Форум закрыт, планируется к открытию в середине следующей недели.
  — Рекомендовать клиентам сменить пароли доступа в торговую систему и систему ЛИСА, сделав их разными. Поддерживаем эту рекомендацию, дополнительная бдительность не будет лишней.
  — Кроме того, Вы можете включить SMS-оповещение о входах в торговую систему под вашим логином. Это совершенно бесплатно. Включение выполняется в разделе «ЭДО и сервисы» web-кабинета. Дополнительная информация тут: www.itinvest.ru/software/nastroiki-bezopasnosti/

Отдельно хочу сказать огромное спасибо за понимание и поддержку, которые мы чувствуем с вашей стороны все время борьбы с кибертеррористами. Уверен, что общими усилиями, мы не только отобьем все атаки, но и привлечем злоумышленников к ответственности.
С уважением,
Андрей Осташов
Директор по ИТ ОАО «ИК „Ай Ти Инвест“
 

сбербанк клиентскую базу перетягивал, вклады собрали теперь депошки, только о его сбоях не писали
avatar

pokupashka

pokupashka,
Действительно странно, плюс к этому за несколько дней до этого у сбера (брока) постоянно подвисали сервера. При одном из звонков в техподдержку проскользнуло слово «тестирование». Тогда посчитал за отмазку. Теперь даже и не знаю…
avatar

Strij

В чем проблема то сменить провайдера?
avatar

xp-trade

xp-trade, в том что экономят на спецах, минимум 3 разных провайдера магистрального уровня должно быть
pokupashka, у нас 2 разных провайдера. Послушайте видео.
Василий Олейник, 2 мало даже правильно подобранных, тогда ничего удивительного что сервис лежит несколько дней, правильные руки ddos убирают минут за 10-20, а правильная голова обычно строит так что это отрабатывается на лету автоматически
pokupashka, назовите мне брокера у которого три провайдера?
Василий Олейник, думаю у сбера должно быть раз не завалился, я говорю как должно быть, если вы равняетесь на худших то ничего удивительного
у втб 2 но у него именно сетевые проблемы были только на одном
pokupashka, сбер не так давно красиво падал — база данных упала. Потом они мазались мол у них уникальный случай, а по факту на админе оракл экономили.
Denis Ant, да они тоже не без греха, у меня в блоге даже про них есть, потому и сижу на втб
Василий Олейник, у меня в квартире 3 провайдера + мобила + wifi соседей :).
Bigbig, ваша сеть состоит из 1-3 компов внутри одной квартиры. А теперь подумайте какая сеть и на какой территории у компании ITinvest.
Василий Олейник, да пофигу, если все системы модульные, то можно менять как угодно за считанные минуты-часы. А если для смены ip сервака надо переписать кучу кода, то даааа, дело затянется.
pokupashka, чтобы иметь возможность от ddos спастись нужна преварительная большая работа. Если ничего не делать, а потом получить ддос — то ничего не поможет.
Тем более адреса в программе конкретные наверное прописаны и у всех клиентов не поменять.
Denis Ant, я об этом и говорю, но даже без подготовки можно отрезать левый трафик если руки из нужного места растут
pokupashka, смотря какой трафик. Если левый забугорный трафик — то да. Если использовали уязвимость компьютеров в РФ — то значительно сложнее. Тем не менее — можно хотя бы постоянных клиентов отфильтровать и дать им доступ по IP. это действительно делов на 30-60 минут
Denis Ant, да ну? и чем же забугорный от местного отличается? пахнет чтоль )
не все же из рф торгуют им не понравится если их отрежут
ddos = куча запросов с разных адресов(вирусный ботнет на пользовательских компах по всему миру) на разные адреса брокера, фильтруется это элементарно если ширина каналов не забита
pokupashka, вы похоже не знаете как ddos организовывается. Я сомневаюсь использовался российский вирусный ботнет, скорее всего использовалась сеть или существующая уязвимость по типу ntp. Попробуйте отфильтруйте, как вы определите, что этот пакет левый и как отличите от полезного? Это нереально сложная задача. Поэтому применяют другие методы по защите. Перво наперво нужно предварительно готовиться. А если не приготовился, то в зависимости от аттаки уже смотреть. Есть ребята которые специализируются от таких аттак — вот их и надо было привлекать.
Denis Ant, а может знаю настолько что ты даже не представляешь? )
с чего ты взял что компы РФ не участвовали? на них виндовс патриотичный без вирусов?
методы просты как три копейки, обычный фильтр, даже тисипидамп тебе покажет откуда и куда летят левые пакеты
pokupashka, куда нам до тебя. надо было тебя звать в кремль, чтобы защититься от ддос.
Это без меня. удачи.
Denis Ant, да ладно чего разобиделся, я на провайдинге собаку съел
кремль то здесь причем
pokupashka, хочешь померяться кто большую собаку съел? Если бы было так легко как ты пишешь — то избавиться от ddos можно было простым фильтром iptables и никто бы не делал аттаки.
Denis Ant, можно и программно тем же айпитейблом если умеючи и железо потянет, а так фильтр на аппаратном уровне обычно пользуют, никсы в качестве роутера удел нищебродов
хочу, на сколько тыщ абонентов оператора застартапил? )
pokupashka, та назови фильтр который ты поставишь то. iptables тебе для примера. я не провайдер, сетями занимаюсь.
Denis Ant, обычный acl на циске отрежет не поперхнется
pokupashka, условие которое будет резать ддос и не тронет основных пользователей.
Denis Ant, смотришь трафик любым сниффером откуда и куда летит флуд, пишешь правило и все, такие вещи, вообще, автоматом делаются, ты же понимаешь что число пакетов левого трафика будет в разы превышать пользовательский
pokupashka, на сервер прилетает 100500 пакетов. Пакеты не отличимы от оригинальных пакетов генерируемых программой квик. Причем прилетают они со 100500 машин. Что будешь делать?
Denis Ant, они отличимы ты ведь понимаешь как устанавливается соединение? и какие пакеты нагружают больше какие меньше?
флуд не устанавливает соединение он не ждет ответа сервера в отличии от пользователя
pokupashka, с чего это не устнавливает? Также идет пакет ack, отправляет данные на порт квика которые инициируют соединение. Иначе это какой-то детский ддос. запингуй его досмерти :))
Denis Ant, он отправляет эти аски сотнями-тысячами в секунду! не дожидаясь ответов, пользователь так делает? что конкретно отправляли я не знаю, но принципы одни и теже, в крупных провайдерах каждый день кого-нить досят это тривиальный бизнес никаких новшеств давно нет
pokupashka, если было бы все так просто — не было бы новостей что лег тот или иной крупнейший сайт. обычно ддосят веб сервера. здесь могли квик напрямую ддосить.
даже если веб ддосят — ты не оттделишь трафик ддоса от обычных пользователей — потому как запросы идут такие же GET / HTTP1.0 и т.д. особо умные могут скрипты выполнять, которые грузят еще сильнее.
Он не просто отправляет ack пакет — он инициирует соединение, чтобы загрузить отвечающую сторону. я не знаю как квик реализован, или какой у них там сервер.
Denis Ant, не важно веб, квик, днс или какой другой сервис нормальный пользователь с одного айпи не отправляет к нему сотню-тысячу запросов в секунду смекаешь?(все мякотка в том, что нужно отсечь только аномальноактивных) все элементарно, а ложится что-то крупное потому что ответственный за это если он есть, был безответственен только и всего, рас.пиздяйство обыкновенное

ладно мне пора, если что завтра отвечу
pokupashka, при ддос аттаке один пользователь больше одного запроса и не отправляет. каждый из 100500 компьютеров отправляют по запросу и этого хватает чтобы положить и сервер и часто и провайдера. это ты серверам нато скажи которые лежали пару дней, что они безответственные
Denis Ant, да что ты говоришь, с одним запросом сто тыщ компов даже пентиум первый не завалят калькулятор возьми
pokupashka, прощай.
xp-trade, Проблема только во времени! Заключить договор за 1-2 дня невозможно, но и этот вопрос уже решается.
Василий Олейник, ну это бред конечно, договор можно заключить за пол дня, если захотеть. При условии, что в ваших офисах проведены уже их шнуры.

Просто уже начинает действительно раздражать эта ситуация. Сейчас наконец-то высокая волатильность, то чего ждали 2 года и на тебе торговать опять не можем. На нестабильной коннекте я лично торговать не могу.
xp-trade, ещё раз! Этот вопрос подняли в первый же день! Я знаю что говорю и я знаю сроки! У нас большая сеть и не все её могут потянуть. Одни согласования уже идут несколько дней.
Василий Олейник, я тоже знаю, потому что только вчера меняли провайдера (у нас конечно не ддос атака, но предыдущий нас конкретно достал). Потратили 1 день. И то потому что долго думали и решались
Василий подскажи пожалуйста, почему все эти сбои происходят во время сильных движух на рынке? Может движуха и происходит из за того что большая часть частных трейдеров не имеет доступ к терминалам?
Даже если и на самом деле ваш сервер был аткован то решать вопрос 4 дня! говорит не о силе дос атаки а о слабости вашего сервера.
Вчера писала.Уважаемые брокеры и их представители занимайтесь качеством сервиса.
smart-lab.ru/blog/172520.php
avatar

nika8

nika8, ещё раз! Чтобы меньше было вопросов я специально создал этот топик и дал ссылку на эфир. Подобное может в любой день произойти с любой компанией. Я подобного за семь лет ни разу не видел.
Поговорили, поговорили… а конкретных мер не предложено! Жаль, что господин Твардовский не обозначил конкретных действий по урегулированию данной проблемы! Очень мило конечно, что он потешил свое самолюбия фразой:" Что мне вызвало УДОВОЛЬСТВИЕ, то что мы оказались такой солидной маленькой компанией! ". Весело у Вас смотрю ребята, а то что люди не могут четвертый день нормально работать у господина Твардовского это то же вызывает удовольствие?
Алексей Бондаренко, меры сразу ведутся по всем направлениям и от защиты до смены провайдера. Зачем об этом в эфире говорить? Один из провайдеров уже сделал защиту и всё восстановил, но другой провайдер, на котором висит вся наша система «матрикс» до сих пор не могут поднять.
Василий Олейник, провайдеры все у вас заграничные какие-то, уйдите на отечественных и поддержите и стабильности больше.
xp-trade, поддержка у заграничных на 10 голов лучше нашей. решают действительно за минуты, если могут решить. Наши скажут «мы не гарантируем соединения с серверами дальше нашего хопа».
Василий Олейник, Все эти сбои и ваш в частности(Если это действительно сбой) лишь оголяет суть вопроса что пока петух не клюнет…
Что все хотят с мин вложениями вести брокерский бизнес.Максимально экономя на програмном обеспечении и на квалифицированном персонале.Ну а если сбоя не было и это сказки то на нашей бирже точно делать нечего.В любом случае МФЦ это полное…
И надо признать что по качеству сервиса вы по всем статьям проиграли дц форекс.
Да же взять один пункт как работа тех поддержки.Во всех уважающих себя дц тех поддержка работает 24 часа.Ваша контора даже не смогла организовать работу тех.поддержки после 19.00 Хотя есть ещё и вечерняя сессия, и тех поддержка должна быть в это время всегда.Но фиг с ним всегда, но на эти то дни можно было бы и организовать.
На мой взгляд ваша контора для начала должна извиниться перед своими клиентами(если они вам дороги) и от этого строить диалог с клиентами, может компенсации какие придумать, ну или хотя бы какие нибудь сувениры бесплатные, или месяц на сниженных комиссиях дать поторговать.А не рассказывать про страшных хакеров.В общем сделать максимум для удержания клиентов.
Во всяком случае ряды трейдеров у вас могут очень сильно поредеть.
avatar

nika8

nika8, помню 2 года назад систему пентагона США взломал 14 летний мальчик, так что не существует идеальной защиты, а за деньги можно сделать всё что угодно.
Василий Олейник, Сервис и отношение к клиентам это залог успеха.
avatar

nika8

Василий Олейник, а может СРАЗУ ВСЕМ клиентам давать VPN?
Василий, помоги фирме! Напиши пост «героям слава», и атаки прекратятся ))
avatar

Rocknrolla

Rocknrolla, жжошь!!!
Ерунда какая-то. Все атакованные брокеры/провайдеры до сих пор не функционируют должным образом, или один ай-ти-инвест остался?
Боюсь, что один он. Как же решили вопрос другие брокеры? Всем просто повезло, что-ли?))))
avatar

Rodin Good

Мишка Квакин, если верить словам директора it по it )), то другие провайдеры пострадали из-за мусорного трафика, предназначенного именно для it invest. То бишь осколки долетели, а в них снаряды.
Вот сейчас сообщение пришло в терминал — срочно менять все пароли. Так у вас не просто ддос атака что ли? Пароли скомпрометированы?
avatar

xp-trade

xp-trade, там в эфире было сказано, что ддос атака это только для того, чтобы положить часть системы, т.е. отвлекающий маневр, а основная цель, как правило, это похищение данных. все посмотрели, но никто не услышал. никто не знает что украли и украли вообще или нет. а если и знают, то не скажут. вам предложено перестраховаться и сменить пароли, и это правильно.
avatar

jk555

Хотя бы в псьмах с извинениями писали бы Вы с большой буквы. А вообще такого провала от ITinvest я не ожидал. И вроде как мы типа и не виновны.
avatar

libez

А эксперт интернет услуг Лямин так вообще провал. так спокойно рассуждает, типа зарплата капает и мы потихоньку работаем. Дело то типа житейское. 3 дня не было доступа к терминалу.
avatar

libez

Нужно было антивирус платный поставить.
avatar

Берш

между тем главная интрига «кто и для чего атаковал» осталась нераскрыта ) хотя если следовать логике эксперта «ищите того кому это выгодно», вариантов не так много
avatar

Jonah

Поставить свой сервер в дата центре мегафона, сделать его видимым только из сети мегафона. И можно через 3G работать. Задосить его будет проблематично из-за низкой пропускной способности 3G.
avatar

Юрий Ч.

Юрий Ч., так канал отвалится и усе, аут оф сёрвис, по-другому вопросы решаются
Вопрос Васе: 1) могут ли вообще взломать ресурсы брокера так, что деньги с моего торгового счета украдут без моего ведома? 2) Возместит ли брокер мне украденное или этот риск тоже на мне???
avatar

Sarox

Sarox, 1) Да. Только переливом денег, тут биржа поможет найти злоумушлинника. 2) Нет, не возместит.
Bigbig, так точно.
Еще месяц назад у It лег сервер на вечерке и никаких мер принято не было, поддержка и торг. отдел как и работала до 19.00 так и осталось. Ушел обратно в открытие и купил внешний риск менеджер, оказалось дешевле чем SmartX.
avatar

UntitledProj

ВО- не останавливайся!
avatar

oleg11111

похоже Вася или Твардовский друзья Путина — других объяснений атаки на Айти нету
avatar

alex3585


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UP