14:26
9/2/2012

Rządowe “firewalle” zdają się posiadać tajemną wiedzę — potrafią rozróżnić zgodne z protokołem HTTP wejścia na stronę mkidn.gov.pl będące atakami, od wejść “normalnych obywateli”. A czy Ty jesteś “hackerem” atakującym rządowe serwery?

Czy jesteś Anonimowym?

Jeśli po wejściu na stronę mkidn.gov.pl zobaczysz to co poniżej, przykro nam — jesteś złym hackerem atakującym strony rządowe i niebawem twojego ISP może odwiedzić policja z wnioskiem o udostępnienie Twoich danych osobowych — to już się dzieje.

Ministerstwo Kultury i Dziedzictwa Narodowego

Ministerstwo Kultury i Dziedzictwa Narodowego myśli, że jestem "hackerem"

Jeśli natomiast po wejściu na mkidn.gov.pl widzisz stronę ministerstwa — gratulujemy, jesteś zwykłym, niegroźnym obywatelem. Możesz spać spokojnie!

Ministerstwo Kultury i Dziedzictwa Narodowego

Ministerstwo Kultury i Dziedzictwa Narodowego - to zobaczysz, jeśli nie masz nic na sumieniu ;)

Ale nie kręć się po stronie zbyt długo ani nie próbuj jej odświeżać, bo bardzo szybko możesz stać się atakującym rządowe serwery Anonimowym ;)

Rządowy "firewall" uważa, że

Zobacz wyniki ankiety

A teraz poważniej

We wtorek na stronach Ministerstwa Kultury i Dziedzictwa Narodowego zaczęły pojawiać się dokumenty prezentujące stanowiska negocjacyjne Polski w sprawie ACTA. Wiadomo — temat cieszy się ogromnym społecznym zainteresowaniem — ludzie zaczęli wchodzić na stronę i przeglądać dokumenty (to co w nich się znajduje, to temat na osobny artykuł)

Stanowisko negocjacyjne Polski w sprawie ACTA

Stanowisko negocjacyjne Polski w sprawie ACTA - Rząd był świadomy, że tajność negocjacji uniemożliwi konsultacje społeczne

Przed północą we wtorek, strony MKiDN padły. Rzecznik tłumaczy to atakiem DDoS. Vagla obstawia duże zainteresowanie społeczeństwa “odtajnionymi” dokumentami. Bez logów z rządowych serwerów wszystkie hipotezy są równie prawdopodobne.

Oczywiście, w tej chwili nikt nie powie o wzmożonym zainteresowaniu internautów, jednak o takim nie może, według nas, być mowy. Mamy do czynienia z czterokrotnie większym atakiem DDoS niż w czasie ostatnich działań – Maciej Babczyński, rzecznik Ministerstwa Kultury. I dalej: – Firewall odrzucił od wczoraj ze względu na atak ponad 25 milionów połączeń od godz. 20.00 (ilość połączeń przyjętych wynosi około 4 tys.) Standardowa ilość połączeń w ciągu całego dnia wynosi około 2 milionów.

Zastanówmy się jednak, kto chciałby DDoS-ować strony MKiDN udostępniające kluczowe dokumenty w sprawie ACTA? Dokumenty, na które tyle czekaliśmy, których publikację m.in. poprzednimi atakami DDoS Anonimowi chcieli wymusić na rządzie.

Kanały IRC Anonimowych i ich “paraoficjalne” konta na Twitterze milczą na temat ewentualnych ataków na strony MKiDN (a przy poprzednich atakach, cele były tam jasno określane, a informacje o tym co DDoS-ować publicznie dostępne). “Przeciwnikom rządu” (czyt. Anonimowym) zależy na dystrubucji tych materiałów, a nie uniemożliwieniu dostępu do nich. Jeśli ktoś DDoS-ował rząd, to raczej jego sympatycy ;)

Jak jednak nieoficjalnie dowiedzieliśmy się, ministerstwo faktycznie było atakowane. Wygląda więc na to, że obecna konfiguracja IPS rzucająca false-positives w obliczu wzmożonego ruchu to wynik wczorajszych ataków i nieco przewrażliwionej konfiguracji IPS-a.

Swoją drogą, ciekawe co trzeba zrobić, żeby połączenie zostało zakwalifikowane jako atak? Nietypowy User-Agent? Jaka liczba requestów/min.? My raz jesteśmy “blokowani”, a raz nie (ta sama przeglądarka, ten sam IP) — wniosek z tego, że brak jednoznacznej sygnatury wczorajszych ataków. Czyżby limit na liczbę wszystkich sesji do serwera w danej jednostce czasu?

Przeczytaj także:

80 komentarzy

Dodaj komentarz
  1. To tak na serio z tym początkiem newsa?

  2. Myślę, że coś uniksowego w user agent = hacker. :)

    • Nic z tego, nie łapie mnie tak ;P. Ani na przytrzymany F5 jak niektórzy sugerują ;).

    • A jednak F5 działa. Przy mym wolnym łączu musiałem tylko moment dłużej przytrzymać ;P.

  3. Nie jestem Hiakerem ;)

  4. Mhm, wydaje mi się, że ta strona już jest odpowiednio “sprawdzana” przez czytelników niebezpiecznika – nie da rady na nią wejść już kilkanaście minut. ;-)

  5. wygląda na to, łatwo można stać się anonimowym, wystarczy bowiem wcisnąć klawisz f5 na stronie ministerstwa i przytrzymać go przez ok 2-3 sekundy i zamiast strony ministerstwa ukaże nam się informacja o zablokowaniu adresu ip ;].

    • zaczynam żałować, że spróbowałem ;)

    • dziala

  6. The server at mkidn.gov.pl is taking too long to respond. – już zhakowali.

  7. if(rand(0,1))die(‘Ty hakierze! Czekaj na ABW z rękami na karku i wzrokiem z dala od monitora!’);

  8. Jak na razie to:
    Serwer mkidn.gov.pl zbyt długo nie odpowiada.

    Pewnie kolejny DDOS ;-)

  9. Strona w ogóle nie działa z zagranicznych adresów IP (przykładowo wyjście z niektórych sieci korporacyjnych). Jaka kultura, takie dziedzictwo… Z polskiego IP działa bez problemów.

    “Network Error (tcp_error)

    A communication error occurred: “Operation timed out”
    The Web Server may be down, too busy, or experiencing other problems preventing it from responding to requests. You may wish to try again at a later time.

    For assistance, contact your network support team.”

  10. U mnie po otworzeniu 10 zakładek z tą stronę pojawił się komunikat podobny to tego z artykułu, ale z tekstem: “Traffic blocked because of exceed session quota”.

  11. Mi się strona nawet nie ładuje (timeout). Czyżby rzeczywiście DDoS?

    Polacy to natchniony naród, atakują gdy opublikowali, ale atakowaliby też, gdyby ich nie odtajnili…

  12. Najlepsze jest to że z TORa serwer wpuszcza bezproblemowo :D

  13. Po kilku-kilkunastu:
    Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator.
    Your session quota is:32, further traffic will be blocked.

    o dziwo po chwili strona znów działała ;)

  14. Ze wzgledu ze z zagranicy nie dziala dodajmy moze opcje w ankiecie “wyemigrowalem, wiec panstwo nie chce mnie nawet widziec”.

    • Pewnie dużo ataków pochodziło z zagranicy (najpewniej polscy hakerzy także przekierowali ruch). Nie chce im się wydobywać danych z zagranicznego ISP bo mogą wyskoczyć przeszkody prawne (a przecież są też niezabezpieczone sieci WiFi do których atakujący mógł się podłączyć).

  15. Potrafią okradać obywateli na milion a sposobów, ale nie stać ich na CDN? Btw. czy rządowi informatycy zarabiają tak mało, że nie zatrudnia się tam żaden profesjonalista? A może mają po prostu tak ograniczone fundusze, że nie zainwestują w CDN? W końcu Tusk musi też latać helikopterem 2 razy w tygodniu, czasem może zabraknąć na porządny serwer ;)

  16. U mnie normalnie. Niedługo będziemy musieli czytać wolniej, aby nie przekroczyć *maksymalnej liczby odświeżeń na minutę*. :-)

    PS: Czy Niebezpiecznik nie dysponuje informacją o przepustowości łącz stron MKiDN? I jaką ma oglądalność zaraz po opublikowaniu wpisu na www/rss/blipie/twitterze? Czy taka reklama naprawdę jest bezpieczna? ;)

  17. Po długim ładowaniu strony, wiem, że nie jestem hackerem :P
    (P.S. Wchodzę z Ubuntu)

  18. Do ankiety trzeba dodać 3 opcję w stylu “nie wiadomo”, bo stronka ostro timeoutuje i nie ma człowiek jak się dowiedzieć ;-D.

  19. A ja sobie wbiłem z RSS’a na wpis i widzę to. Chyba mam wybitnego farta bo pierwszy raz mi się coś takiego wydarzyło u Was :D Wy też wprowadzacie takie “zabezpieczenie”? – żart

    • Najwyraźniej nas też atakują Anonimowi ;)

    • Ja to zobaczyłem zaraz po komunikacie na stronie ministerstwa, więc zapewne filtr szedł po stronie operatora. Po RSS blokował, ale bezpośrednie wejście na niebezpiecznika nadal było możliwe.

  20. Nie rozumiem Was kompletenie, towarzyszu Niebezpiecznik?! Przecież chcieliście mieć wolny internet hahahaha

    BTW tak na “poważnie” to może jest sposób. Trzeba wejść przez mk.gov.pl i tam jest przekierowanie i wtedy jesteśmy “mniej hakjerami” ;)

  21. Po przytrzymaniu 2s. f5 już jestem hakerem

  22. macie siłę przebicia, bo strona znów leży.. albo tylko mi się nie ładuje, jako jedyna.. :)

  23. @Kamil: cholera to działa! ;) Wychodzi na to, że żeby zostać “hakerem” tudzież sympatyzować z Anonymous wystarczy dłużej przytrzymać F5. Ołłł jeee.

    • Po przytrzymaniu klawisza F5 dostałem Traffic blocked because of exceed session quota Jako atakujący byłem 23 stycznia – wtedy wyświetlał: An attack was detected, originating from your system. Please contact the system administrator.

  24. a gdzie opcja, “jestem ‘hakierem’, widzę strone normalnie” >;)

  25. Powinna być jeszcze kolejna opcja w ankiecie:
    Jestem F5 hakerem

  26. Drżę o swoje życie przed gniewem premiera!

  27. Hurrrra! Zostałem Anonimowym! Panie Ministrze – dziękuję

  28. To jest jakiś limit? Odwiedzę stronę > 10 razy i jestem hakierem?

  29. Jestem hakierem, jeeeeeeeeeee :) Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator. Your session quota is:32, further traffic will be blocked.

  30. Proba odczytania informacji o ACTA w języku polskim kończy się komunikatem: Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator. Your session quota is:32, further traffic will be blocked. Mam pojedyncze IP publiczne i pierwszy raz wszedłem na tą stronę w życiu. Nie wierzę by ta strona cieszyła się tak wielkim zainteresowaniem. Czy jestem już chakerem ?

  31. A propos adminów to polecam ten komentarz, i nie ma się co dziwić, stawki to 1/3 normalnych stawek.
    http://prawo.vagla.pl/node/9669#comment-29974

  32. Wejscie z .fr puli IP:
    Wszystko normalnie – ogladamy strone przez 15 sekund robimy F5 (odswierz) i prosze bardzo:

    “Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator.
    Your session quota is:32, further traffic will be blocked.”

    • Mam taki sam komunikat. Zastanawia mnie jedno w jaki sposób mam skontaktować się z system administrator ???

  33. “Traffic blocked because of exceed session quota
    Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator.
    Your session quota is:32, further traffic will be blocked.”

    W końcu zrobili porządną lekką stronę :D – na moim łączu dialup ładuje się błyskawicznie

  34. z ip w uk nie moge wejsc. dopiero przez polskie proxy dalo rade

  35. Zostalem dzis oskarzony przez strone MKiDN [firewall] o bycie hakerem. Rozbawilo mnie to niebywale, gdyz: 1. adres IP posiadam na wylacznosc, nie przypominam sobie, abym kogokolwiek atakowal 2. nie posiadam systemu Windows, Android, MacOSX ze zlosliwymi dodatkami, ktore moglyby wykonywac atak z mojego adresu IP [moj system jest czysty i pachnie konwaliami] Domyslam sie, ze inteligentny firewall rzadowy WYCINA CALE PULE/PODSIECI adresow IP, jesli w danej puli znajdzie sie choc jeden adres atakujacy. Prawdopodobnym bowiem jest, ze w okolicach mojej sieci jakis script-kiddie, homegrown hacker bawi sie w polskiego reprezentanta Anonymous. Tak powazniej, to oburzylo mnie to poranne oskarzenie o bycie hackerem, attackerem i samym szatanem. Herbata nie smakowala jak co dzien, sniadanie bylo jakies mdle … Zyczylbym sobie, aby rzad zatrudnial na stanowiska IT ludzi kompetentnych. PS od kilku godzin widze normalna strone MKiDN, sadze wiec, ze oskarzenia zostaly cofniete. Gdziez przeprosiny, gdziez kwiaty … ?

  36. Strona polskiego Ministerstwa Kultury jak mi sie zdaje powinna odpowiadac po polsku, a nie po angielsku. Nie sprawdzalem, ale chyba nawet ustawa o jezyku polskim cos takiego nakazuje….

  37. o k..wa, poklikalem tam jakies linki i dostalem jakies literki tutaj http://www.muz-nar.krakow.pl/

  38. 62.129.213.139 -> 4asemcmm.mkidn.gov.pl
    89.146.199.225 -> esp.mkidn.gov.pl

    91.209.141.26 -> mkidn.gov.pl
    91.209.141.27 -> bip.mkidn.gov.pl
    91.209.141.28 -> fwk.mkidn.gov.pl
    91.209.141.28 -> eog.mkidn.gov.pl
    91.209.141.34 -> kolekcje.mkidn.gov.pl
    91.209.141.39 -> ks.mkidn.gov.pl
    91.209.141.40 -> mapamuz.mkidn.gov.pl

    194.42.120.42 -> poiis.mkidn.gov.pl

  39. Sprawdzam od rana i ciągle mam problem z wejściem, być może nie jest mi dane poznać prawdę ^^

  40. Ja się teraz łącze, łącze, łącze … i przekroczyłem limit czasu na połączenie. Zastanawiam się co wybrać w ankiecie, bo w pracy nie byłem hakerem a później przy pomocy F5 nim zostałem a w domu okazało się że podpadam po 3 opcję jak jakiś kameleon ;)

  41. ciekawe ile IP tam odfiltrowują

  42. po 10x krotnym odswiezeniu strony (F5) komunikat:

    Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator.
    Your session quota is:32, further traffic will be blocked.

  43. […] Aktualizacja. W podobnym tonie wypowiada się Niebezpiecznik. […]

  44. Wy wszyscy jesteście tacy ciekawscy, czy to zbiorowy atak??

  45. Mi to nawet to się nie chce otworzyć, jesteś pewien Piotrze że to nie był efekt kolejnego ataku?

    • A raczej podmiany…

  46. Całe to zamieszanie z “niby” atakami przez hakerów na stronę mkidn to tylko zadyma, żeby odwrócić uwagę od treści udostępnionych dokumentów, ich kompletności.
    To co nam serwuje ministerstwo to tylko ich korespondencja, nic szczególnego, a my potrzebujemy projektu ACTA, który według instrukcji nie może być udostępniany poza administrację!
    Ja bym się kompletnie nie przejmował MKIDN i ichniejszymi paranojami na punkcie hakerów, bo to piękna zagrywka, która odwróciła naszą uwagę od najistotniejszej sprawy. Dla mnie żadne inne informacje nie mają znaczenia oprócz projektu ACTA i skutecznego zablokowania tego szalonego pomysłu, i uniemożliwienia w przyszłości wprowadzania tego typu szaleństw.

  47. Hmm.. otworzyłem normalnie stronę.
    Ich firewallowi pomylili się dobrzy ze “złymi” :D

  48. Ja tylko przekroczyłem ilość zapytań, nie wycięli mnie prewencyjnie. Co daje więcej czasu na chakierowanie :D

  49. Wybrałem opcję że się wyświetla normalnie, ale rzeczywiście F5 uczyniło ze mnie hakiera. ;-)) Nie wiedziałem że to takie proste. ;-))
    Niebezpiecznik jest na MordoKsiążce, trzeba będzie sprawdzić.

  50. Moze jesli liczba minut w czasie gdy odwiedzasz strone jest parzysta to cie przepusci, inaczej dowidzenia… to by mialo sens. No i nietrudo to napisac

  51. To jak będzie z tym “oddzielnym” artykułem odnośnie udostępnionej dokumentacji?

    PS udostępnili wszystko, czy zdementowano ACTA jako konia trojańskiego?

  52. Nie mam już nic dodania, czekam na odpowiedzi ministerstwa na pytania, które wysłał Vagla. W tej chwili strona MKiDN ładuje mi się oczywiście normalnie, natomiast pamiętnego dnia pod koniec stycznia, kiedy zaczęła się cała ta historia z atakami, odwiedzałem stronę wielokrotnie i zdarzyło mi się co najmniej raz zobaczyć dokładnie taki komunikat o wykrytym ataku. Zdążyłem prawie zupełnie o tym zapomnieć.

    Btw. czy ktoś kompetentny mógłby odnieść się do informacji o byciu włączanym do DDoSa w wyniku kliknięcia linka “Anonimowym” twitterze? Wcześniej ktoś wrzucał artykuł z BBC na ten temat (dotyczący innych wydarzeń, sprzed miesięcy). Czy to możliwe i jak miałoby to wyglądać?

  53. Teraz to się normalnie boję wejść na rządowe strony bez proxy…

  54. polecam art odnosnie tworow jak ACTA cogito.salon24.pl/384602,kto-zastawia-sieci jesli mozna.

  55. Zapisałem wszystkie udostępnione dokumenty negocjacyjne. W wolnej chwili sobie przeczytam. Tragiczne jest to, że są to skany w formie PDF-ów, co świadczy o tym, że obieg dokumentów jest w naszym państwie nadal analogowy i po prostu się je skanuje. No ale lepszy zeskanowany PDF niż nic. Cyfrowy jest jedynie dokument ze stanowiskiem ws. ACTA dostępny pod adresem http://www.mkidn.gov.pl/media/docs/acta/2012_01_23-ACTA_odp.pdf. W obliczu udostepnienia skanów ataki na stronę MKiDN byłyby bezcelowe, więc być może tym razem to po prostu przewrażliwienie ustawień firewalla który prewencyjnie przycina teraz zbyt duży ruch sieciowy. Z komputera z Windowsem 7 dostałem się bez problemu, nie używałem proxy. Może blokują maszyny uniksowe lub łączące się z ISP, z których pochodziła większość ostatnich ataków (być może rządowe firewalle rejestrują z których ISP zazwyczaj pochodziły ataki DDoS i maszyny łączące się z tych ISP wolą przyblokować). Zapewne także maszyny wchodzące przez proxy lub serwery anonimizujące mogą zostać prewencyjnie odrzucone (atmosfera strachu przed atakiem szybko nie minie, obawa przed osobami atakującymi bez powodu po to by się pochwalić “osiągnięciami” też nie jest bezpodstawna).

    Miejmy nadzieję, że z tego actowego case study wyciągną wniosek i zaczną transparentnie udostępniać społeczeństwu kluczowe dla niego dokumenty już w pełni cyfrowe (nie skany). W końcu iPady 2 mają posłom służyć do cyfrowej pracy nad dokumentami (trzeba je szyfrować na iPadach).

  56. jak podaje mkidn: Od momentu poinformowania o zamieszczeniu na stronie ministerstwa kultury instrukcji negocjacyjnych mówiących m.in. o potrzebie zapewnienia przejrzystości międzynarodowych negocjacji ws. ACTA i łagodzeniu zapisów porozumienia, dostęp do strony internetowej ministerstwa jest utrudniony ze względu na trwający atak DDoS na łącza mkidn.
    W tym czasie Firewall odrzucił ponad 48 milionów połączeń- ilość połączeń przyjętych wynosi około 349,189.

    Ze względów bezpieczeństwa wprowadzono ograniczenie dostępu do łączy MKiDN. Została również zwiększona wrażliwość filtrów IDP, co może skutkować czasową niedostępnością serwisu www lub komunikatami o zablokowaniu połączenia.

    czyli część normalnego ruch internetowego może zostać zakwalifikowana jako atak…

  57. Zdaje się, że coś poprawili:
    Traffic blocked because of exceed per IP shaper session quota. Please contact the system administrator.
    Your session quota is:32, further traffic will be blocked.

  58. Chyba ja też niechcący zostałem hakierem anonimowym , to nie takie trudne jak mówią , a niby trzeba być dobry z matmy , linuksa napisać samemu znać perla ,c++ i takie tam inne , a wystarczy przytrzymać F5 z 5 sekund i można czekać na zaproszenie od jakiejś grupy hakierów , no i zaproszenie od Policji i innych służb specjalnych w sprawie ataku na strony rządowe. Oho ktoś puka do drzwi ciekawe kto to……

  59. polecam wejść na mon.gov.pl.

    mi na każdym kompie (mam 4 uniksy i 1 windows) pokazuje sie piękna formułka
    “Uprzejmie informujemy, że adres, z którego sie łączysz nie jest akceptowany przez naszą ogranizację.”

  60. Może zamiast umieszczać te dokumenty na stronie MKIDN lepszym miejscem byłaby strona Premiera? Myślę, że Premier nie miałby nic przeciwko takiemu zainteresowaniu, a tak MKIDN przeprowadza błyskawiczne szkolenia “chackierstwa” pt.: “F5: w 5 sekund do zostania hackerem”. Dyplomy pomyślnego ukończenia szkolenia rozdaje osobiście Policja.

  61. Uwaga pojawia się nowy komunikat:
    “To invite ABW press and hold down the F5 key for 10 seconds…”

  62. No odświeżyłem stronę 5 razy. Kiedy możemy się spodziewać smutnych panów?

  63. Albo Obama kazał “swoim” wyjebać DDoS by uniemożliwić zapoznanie się z treścią, albo to gov.pl leci w 4litery i udaje DDoS poprzez odpowiednią konfigurację. Wszystko po to, aby zyskać na czasie – tylko po co? skoro i tak mają w dupie wszystkie opinie i robią co chcą!

    BTW. 4x większy DDoS?… Polska raczej nie jest do tego zdolna.

  64. Tak teraz już wiem, że jestem Hakierem … jeszcze sobie tylko muszę kapelutek dobrać.
    Chrome, Chromium, Firefox – wszystkie 3 z ubuntu /wiem lamerskie/ – mam timeout. Serwer nie odpowiada i tyle. Czyżby nie lubili mojego brytyjskiego IP.
    Ciekawostka ten sam Firefox przez TOR’a wchodzi bez “ale”.

  65. […] Dodatkowo, część z dokumentów (jak np. cieszące się popularnością w ostatnich dniach odtajnione dokumenty przedstawiające stanowisko negocjacyjne Polski w sprawie ACTA) można by nawet udostępniać za […]

  66. Na witrynie MON-u podobnie

  67. […] na bezmyślność niektórych ataków DDoS wykonywanych przez “dzieci LOIC-a i HOIC-a” oraz słabości w zabezpieczeniach nawet […]

Odpowiadasz na komentarz Misiek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: