Василий Олейник
Василий Олейник личный блог
21 марта 2014, 17:24

Кто и для чего атаковал ITinvest?

Эфир состоялся сегодня в 16.37 по РБК. В студии присутствует генеральный директор одного из провайдеров и непосредственный куратор компании ITinvest. На связи по телефону В.В.Твардовский.
 
Тема эфира:

Сайты атакованы: это война?

В марте произошли массированные атаки хакеров на российские интернет-ресурсы. Были атакованы как официальные сайты МИДа, президента России, Первого канала, РИА Новости, Банка России, Агентства стратегических инициатив, так и сайты интернет-магазинов… Появились предположения, это последствия кризиса на Украине. К каким потерям приводят такие атаки? Сколько стоит эффективная защита от масштабной кибератаки?

rbctv.rbc.ru/archive/levchenko/562949990917563.shtml


Техническая служба (18:02:02): Уважаемые клиенты!
К моему глубокому сожалению,  в результате беспрецедентной по интенсивности атаки хакеров на интернет-системы ведущих  российских финансовых компаний на части сервисов ITinvest произошли отказы в доступе. Я прекрасно понимаю, что из-за неожиданных технических сбоев, которые мы испытываем на протяжении последних дней, вы, возможно, недовольны, сердитесь или просто озабочены сложившейся ситуацией. Хочу обратиться к каждому из вас, чтобы объяснить, что произошло, и  рассказать о принимаемых мерах. 
Атака хорошо скоординирована, ведется из очень большой сети зараженных компьютеров, расположенных по всему миру. Масштабы атаки таковы, что вызывают негативные эффекты в магистральных каналах  провайдеров.  Злоумышленники динамически меняют типы применяемых воздействий, что заставляет нас на ходу адаптировать свои защитные системы.
ITinvest  привлекла к усилению своих систем защиты ведущих поставщиков решений в этой области. Мы тесно взаимодействуем с Ростелеком и Orange. Фильтрацию   трафика осуществляет  специализированная сеть Qrator (HighLoadLab). Ведутся работы по подключению решений Лаборатории Касперского.
На текущий момент нам удалось для всех терминалов, используемых нашими клиентами, включая Option Lab Trade, стабилизировать доступ в резервную торговую систему. Также доступен web-кабинет, включая электронный документооборот, ЛИСА и корпоративный сайт компании. Обещаю, что мы приложим максимум усилий для восстановления работоспособности наших систем в полном объеме. Работоспособность будет восстановлена в ближайшее время.
Также отмечу, что в борьбе со злоумышленниками мы не ограничиваемся только технологическими решениями. В частности, по фактам атак Компанией поданы соответствующие заявления в прокуратуру и ФСБ, ведется работа с криминалистами.

Прошу вас выполнить следующие рекомендации наших партнеров по информационной безопасности:
  — На время до завершения атак хакеров выключать web-кабинет в ночное время и во время выходных дней. В соответствии с этой рекомендацией web-кабинет будет закрыт с 22 вечера до 9 утра и по выходным дням.
  — На время до завершения атак хакеров выключать выключить форум до проведения необходимых регламентных работ. Форум закрыт, планируется к открытию в середине следующей недели.
  — Рекомендовать клиентам сменить пароли доступа в торговую систему и систему ЛИСА, сделав их разными. Поддерживаем эту рекомендацию, дополнительная бдительность не будет лишней.
  — Кроме того, Вы можете включить SMS-оповещение о входах в торговую систему под вашим логином. Это совершенно бесплатно. Включение выполняется в разделе «ЭДО и сервисы» web-кабинета. Дополнительная информация тут: www.itinvest.ru/software/nastroiki-bezopasnosti/

Отдельно хочу сказать огромное спасибо за понимание и поддержку, которые мы чувствуем с вашей стороны все время борьбы с кибертеррористами. Уверен, что общими усилиями, мы не только отобьем все атаки, но и привлечем злоумышленников к ответственности.
С уважением,
Андрей Осташов
Директор по ИТ ОАО «ИК „Ай Ти Инвест“
77 Комментариев
  • сбербанк клиентскую базу перетягивал, вклады собрали теперь депошки, только о его сбоях не писали
    • Strij
      21 марта 2014, 17:38
      pokupashka,
      Действительно странно, плюс к этому за несколько дней до этого у сбера (брока) постоянно подвисали сервера. При одном из звонков в техподдержку проскользнуло слово «тестирование». Тогда посчитал за отмазку. Теперь даже и не знаю…
  • xp-trade
    21 марта 2014, 17:47
    В чем проблема то сменить провайдера?
    • xp-trade, в том что экономят на спецах, минимум 3 разных провайдера магистрального уровня должно быть
        • Василий Олейник, 2 мало даже правильно подобранных, тогда ничего удивительного что сервис лежит несколько дней, правильные руки ddos убирают минут за 10-20, а правильная голова обычно строит так что это отрабатывается на лету автоматически
            • Василий Олейник, думаю у сбера должно быть раз не завалился, я говорю как должно быть, если вы равняетесь на худших то ничего удивительного
              у втб 2 но у него именно сетевые проблемы были только на одном
              • Denis Ant
                21 марта 2014, 18:57
                pokupashka, сбер не так давно красиво падал — база данных упала. Потом они мазались мол у них уникальный случай, а по факту на админе оракл экономили.
                • Denis Ant, да они тоже не без греха, у меня в блоге даже про них есть, потому и сижу на втб
            • Bigbig
              21 марта 2014, 18:31
              Василий Олейник, у меня в квартире 3 провайдера + мобила + wifi соседей :).
                • Bigbig
                  21 марта 2014, 18:41
                  Василий Олейник, да пофигу, если все системы модульные, то можно менять как угодно за считанные минуты-часы. А если для смены ip сервака надо переписать кучу кода, то даааа, дело затянется.
          • Denis Ant
            21 марта 2014, 18:56
            pokupashka, чтобы иметь возможность от ddos спастись нужна преварительная большая работа. Если ничего не делать, а потом получить ддос — то ничего не поможет.
            Тем более адреса в программе конкретные наверное прописаны и у всех клиентов не поменять.
            • Denis Ant, я об этом и говорю, но даже без подготовки можно отрезать левый трафик если руки из нужного места растут
              • Denis Ant
                21 марта 2014, 19:21
                pokupashka, смотря какой трафик. Если левый забугорный трафик — то да. Если использовали уязвимость компьютеров в РФ — то значительно сложнее. Тем не менее — можно хотя бы постоянных клиентов отфильтровать и дать им доступ по IP. это действительно делов на 30-60 минут
                • Denis Ant, да ну? и чем же забугорный от местного отличается? пахнет чтоль )
                  не все же из рф торгуют им не понравится если их отрежут
                  ddos = куча запросов с разных адресов(вирусный ботнет на пользовательских компах по всему миру) на разные адреса брокера, фильтруется это элементарно если ширина каналов не забита
                  • Denis Ant
                    21 марта 2014, 19:43
                    pokupashka, вы похоже не знаете как ddos организовывается. Я сомневаюсь использовался российский вирусный ботнет, скорее всего использовалась сеть или существующая уязвимость по типу ntp. Попробуйте отфильтруйте, как вы определите, что этот пакет левый и как отличите от полезного? Это нереально сложная задача. Поэтому применяют другие методы по защите. Перво наперво нужно предварительно готовиться. А если не приготовился, то в зависимости от аттаки уже смотреть. Есть ребята которые специализируются от таких аттак — вот их и надо было привлекать.
                    • Denis Ant, а может знаю настолько что ты даже не представляешь? )
                      с чего ты взял что компы РФ не участвовали? на них виндовс патриотичный без вирусов?
                      методы просты как три копейки, обычный фильтр, даже тисипидамп тебе покажет откуда и куда летят левые пакеты
                      • Denis Ant
                        21 марта 2014, 19:53
                        pokupashka, куда нам до тебя. надо было тебя звать в кремль, чтобы защититься от ддос.
                        Это без меня. удачи.
                        • Denis Ant, да ладно чего разобиделся, я на провайдинге собаку съел
                          кремль то здесь причем
                          • Denis Ant
                            21 марта 2014, 19:59
                            pokupashka, хочешь померяться кто большую собаку съел? Если бы было так легко как ты пишешь — то избавиться от ddos можно было простым фильтром iptables и никто бы не делал аттаки.
                            • Denis Ant, можно и программно тем же айпитейблом если умеючи и железо потянет, а так фильтр на аппаратном уровне обычно пользуют, никсы в качестве роутера удел нищебродов
                              хочу, на сколько тыщ абонентов оператора застартапил? )
                              • Denis Ant
                                21 марта 2014, 20:10
                                pokupashka, та назови фильтр который ты поставишь то. iptables тебе для примера. я не провайдер, сетями занимаюсь.
                                • Denis Ant, обычный acl на циске отрежет не поперхнется
                                  • Denis Ant
                                    21 марта 2014, 20:12
                                    pokupashka, условие которое будет резать ддос и не тронет основных пользователей.
                                    • Denis Ant, смотришь трафик любым сниффером откуда и куда летит флуд, пишешь правило и все, такие вещи, вообще, автоматом делаются, ты же понимаешь что число пакетов левого трафика будет в разы превышать пользовательский
                                      • Denis Ant
                                        21 марта 2014, 20:17
                                        pokupashka, на сервер прилетает 100500 пакетов. Пакеты не отличимы от оригинальных пакетов генерируемых программой квик. Причем прилетают они со 100500 машин. Что будешь делать?
                                        • Denis Ant, они отличимы ты ведь понимаешь как устанавливается соединение? и какие пакеты нагружают больше какие меньше?
                                          флуд не устанавливает соединение он не ждет ответа сервера в отличии от пользователя
                                          • Denis Ant
                                            21 марта 2014, 20:24
                                            pokupashka, с чего это не устнавливает? Также идет пакет ack, отправляет данные на порт квика которые инициируют соединение. Иначе это какой-то детский ддос. запингуй его досмерти :))
                                            • Denis Ant, он отправляет эти аски сотнями-тысячами в секунду! не дожидаясь ответов, пользователь так делает? что конкретно отправляли я не знаю, но принципы одни и теже, в крупных провайдерах каждый день кого-нить досят это тривиальный бизнес никаких новшеств давно нет
                                              • Denis Ant
                                                21 марта 2014, 20:37
                                                pokupashka, если было бы все так просто — не было бы новостей что лег тот или иной крупнейший сайт. обычно ддосят веб сервера. здесь могли квик напрямую ддосить.
                                                даже если веб ддосят — ты не оттделишь трафик ддоса от обычных пользователей — потому как запросы идут такие же GET / HTTP1.0 и т.д. особо умные могут скрипты выполнять, которые грузят еще сильнее.
                                                Он не просто отправляет ack пакет — он инициирует соединение, чтобы загрузить отвечающую сторону. я не знаю как квик реализован, или какой у них там сервер.
                                                • Denis Ant, не важно веб, квик, днс или какой другой сервис нормальный пользователь с одного айпи не отправляет к нему сотню-тысячу запросов в секунду смекаешь?(все мякотка в том, что нужно отсечь только аномальноактивных) все элементарно, а ложится что-то крупное потому что ответственный за это если он есть, был безответственен только и всего, рас.пиздяйство обыкновенное

                                                  ладно мне пора, если что завтра отвечу
                                                  • Denis Ant
                                                    21 марта 2014, 20:54
                                                    pokupashka, при ддос аттаке один пользователь больше одного запроса и не отправляет. каждый из 100500 компьютеров отправляют по запросу и этого хватает чтобы положить и сервер и часто и провайдера. это ты серверам нато скажи которые лежали пару дней, что они безответственные
                                                    • Denis Ant, да что ты говоришь, с одним запросом сто тыщ компов даже пентиум первый не завалят калькулятор возьми
                                                      • Denis Ant
                                                        21 марта 2014, 20:57
                                                        pokupashka, прощай.
      • xp-trade
        21 марта 2014, 17:58
        Василий Олейник, ну это бред конечно, договор можно заключить за пол дня, если захотеть. При условии, что в ваших офисах проведены уже их шнуры.

        Просто уже начинает действительно раздражать эта ситуация. Сейчас наконец-то высокая волатильность, то чего ждали 2 года и на тебе торговать опять не можем. На нестабильной коннекте я лично торговать не могу.
          • xp-trade
            21 марта 2014, 18:02
            Василий Олейник, я тоже знаю, потому что только вчера меняли провайдера (у нас конечно не ддос атака, но предыдущий нас конкретно достал). Потратили 1 день. И то потому что долго думали и решались
  • nika8
    21 марта 2014, 17:49
    Василий подскажи пожалуйста, почему все эти сбои происходят во время сильных движух на рынке? Может движуха и происходит из за того что большая часть частных трейдеров не имеет доступ к терминалам?
    Даже если и на самом деле ваш сервер был аткован то решать вопрос 4 дня! говорит не о силе дос атаки а о слабости вашего сервера.
    Вчера писала.Уважаемые брокеры и их представители занимайтесь качеством сервиса.
    smart-lab.ru/blog/172520.php
  • Алексей Бондаренко
    21 марта 2014, 17:53
    Поговорили, поговорили… а конкретных мер не предложено! Жаль, что господин Твардовский не обозначил конкретных действий по урегулированию данной проблемы! Очень мило конечно, что он потешил свое самолюбия фразой:" Что мне вызвало УДОВОЛЬСТВИЕ, то что мы оказались такой солидной маленькой компанией! ". Весело у Вас смотрю ребята, а то что люди не могут четвертый день нормально работать у господина Твардовского это то же вызывает удовольствие?
      • xp-trade
        21 марта 2014, 18:00
        Василий Олейник, провайдеры все у вас заграничные какие-то, уйдите на отечественных и поддержите и стабильности больше.
        • Bigbig
          21 марта 2014, 18:34
          xp-trade, поддержка у заграничных на 10 голов лучше нашей. решают действительно за минуты, если могут решить. Наши скажут «мы не гарантируем соединения с серверами дальше нашего хопа».
      • nika8
        21 марта 2014, 18:06
        Василий Олейник, Все эти сбои и ваш в частности(Если это действительно сбой) лишь оголяет суть вопроса что пока петух не клюнет…
        Что все хотят с мин вложениями вести брокерский бизнес.Максимально экономя на програмном обеспечении и на квалифицированном персонале.Ну а если сбоя не было и это сказки то на нашей бирже точно делать нечего.В любом случае МФЦ это полное…
        И надо признать что по качеству сервиса вы по всем статьям проиграли дц форекс.
        Да же взять один пункт как работа тех поддержки.Во всех уважающих себя дц тех поддержка работает 24 часа.Ваша контора даже не смогла организовать работу тех.поддержки после 19.00 Хотя есть ещё и вечерняя сессия, и тех поддержка должна быть в это время всегда.Но фиг с ним всегда, но на эти то дни можно было бы и организовать.
        На мой взгляд ваша контора для начала должна извиниться перед своими клиентами(если они вам дороги) и от этого строить диалог с клиентами, может компенсации какие придумать, ну или хотя бы какие нибудь сувениры бесплатные, или месяц на сниженных комиссиях дать поторговать.А не рассказывать про страшных хакеров.В общем сделать максимум для удержания клиентов.
        Во всяком случае ряды трейдеров у вас могут очень сильно поредеть.
          • nika8
            21 марта 2014, 22:57
            Василий Олейник, Сервис и отношение к клиентам это залог успеха.
      • Фыва
        21 марта 2014, 18:06
        Василий Олейник, а может СРАЗУ ВСЕМ клиентам давать VPN?
  • It was
    21 марта 2014, 17:53
    Василий, помоги фирме! Напиши пост «героям слава», и атаки прекратятся ))
  • Rodin Good
    21 марта 2014, 18:06
    Ерунда какая-то. Все атакованные брокеры/провайдеры до сих пор не функционируют должным образом, или один ай-ти-инвест остался?
    Боюсь, что один он. Как же решили вопрос другие брокеры? Всем просто повезло, что-ли?))))
    • Bigbig
      21 марта 2014, 18:37
      Мишка Квакин, если верить словам директора it по it )), то другие провайдеры пострадали из-за мусорного трафика, предназначенного именно для it invest. То бишь осколки долетели, а в них снаряды.
  • xp-trade
    21 марта 2014, 18:22
    Вот сейчас сообщение пришло в терминал — срочно менять все пароли. Так у вас не просто ддос атака что ли? Пароли скомпрометированы?
    • jk555
      21 марта 2014, 18:39
      xp-trade, там в эфире было сказано, что ддос атака это только для того, чтобы положить часть системы, т.е. отвлекающий маневр, а основная цель, как правило, это похищение данных. все посмотрели, но никто не услышал. никто не знает что украли и украли вообще или нет. а если и знают, то не скажут. вам предложено перестраховаться и сменить пароли, и это правильно.
  • libez
    21 марта 2014, 18:31
    Хотя бы в псьмах с извинениями писали бы Вы с большой буквы. А вообще такого провала от ITinvest я не ожидал. И вроде как мы типа и не виновны.
  • libez
    21 марта 2014, 18:35
    А эксперт интернет услуг Лямин так вообще провал. так спокойно рассуждает, типа зарплата капает и мы потихоньку работаем. Дело то типа житейское. 3 дня не было доступа к терминалу.
  • Берш
    21 марта 2014, 18:56
    Нужно было антивирус платный поставить.
  • Jonah
    21 марта 2014, 18:57
    между тем главная интрига «кто и для чего атаковал» осталась нераскрыта ) хотя если следовать логике эксперта «ищите того кому это выгодно», вариантов не так много
  • Юрий Ч.
    21 марта 2014, 18:57
    Поставить свой сервер в дата центре мегафона, сделать его видимым только из сети мегафона. И можно через 3G работать. Задосить его будет проблематично из-за низкой пропускной способности 3G.
  • Sarox
    21 марта 2014, 19:33
    Вопрос Васе: 1) могут ли вообще взломать ресурсы брокера так, что деньги с моего торгового счета украдут без моего ведома? 2) Возместит ли брокер мне украденное или этот риск тоже на мне???
    • Bigbig
      21 марта 2014, 19:38
      Sarox, 1) Да. Только переливом денег, тут биржа поможет найти злоумушлинника. 2) Нет, не возместит.
  • UntitledProj
    21 марта 2014, 21:30
    Еще месяц назад у It лег сервер на вечерке и никаких мер принято не было, поддержка и торг. отдел как и работала до 19.00 так и осталось. Ушел обратно в открытие и купил внешний риск менеджер, оказалось дешевле чем SmartX.
  • oleg11111
    21 марта 2014, 22:55
    ВО- не останавливайся!
  • Alex3585
    21 марта 2014, 23:37
    похоже Вася или Твардовский друзья Путина — других объяснений атаки на Айти нету

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн