Ανακοίνωση σχετικά με την επίθεση στις υποδομές του ΕΔΥΤΕ

[paravoid]

Συγνώμη, τον ελέφαντα στο δωμάτιο κανείς δεν τον βλέπει στα γραφήματα του grnet? Συζητάμε ακόμα αν έγινε ή όχι ddos? Νόμιζα το είχαμε λύσει αυτό το ζήτημα εδώ μέσα Μόνο εγώ βλέπω 4 μύρια πακέτα το δευτερόλεπτο το πρωί της Δευτέρας? Οι ενδιάμεσοι routers πιθανόν δεν θα έπαθαν τίποτα αλλά ο server (ή έστω το server pool αν είχανε) αποκλείεται να μπορούσε να τα χειριστεί

Ίσως δεν διάβασες καλά τι έγραψα ή δεν το έγραψα αρκετά σαφώς, διότι αυτά που γράφεις δεν αντικρούουν αυτό που είπα:

Στην προκειμένη περίπτωση, και σύμφωνα με τα όσα έχουμε δει στο mon κτλ., δεν έγινε αυτό που λες: δεν έγινε saturate κάποιο upstream, ούτε σε επίπεδο transit/peering, ούτε καν σε επίπεδο data center.

Αυτό που λέω είναι ότι δεν φαίνεται (μάλλον) να έγινε saturate κάποιο core link (Λούρος<->ΕΙΕ, ΕΙΕ<->Κωλέττη, κτλ.), transit (GEANT), peering (GR-IX), κτλ., ούτε σε bps, ούτε σε pps. Τα ~3.5M pps ήρθαν, και κατέληξαν μέχρι και τον server, ενώ ήταν τεχνικό δυνατό να μπορούσαν να είχαν φιλτραριστεί στο edge ή core του GRNET. Επίσης αυτό που φαίνεται από τα γραφήματα που παρέθεσες είναι ότι το organic peak είναι στα 1.5M pps, και το peak της στιγμής επίθεσης ήταν στα ~3.5M pps. 2-2.5x σε traffic (pps/bps) δεν είναι κάτι, είναι νορμάλ «αέρας».

Αν είχαν έρθει 500Gbps ή 100M pps, εκεί θα λέγαμε ότι δεν είναι κάτι που μπορεί να διαχειριστεί εσωτερικά το GRNET και χρειάζεσαι οπωσδήποτε κάποιον DDoS scrubber εκτός του δικτύου σου π.χ. από τους transit σου ή Cloudflare/Prolexic/κτλ.

[gcf]

Από τις 6 ήταν στο πόδι για τα θέματα οι καθηγητές, πάνε νωρίτερα για την κλήρωση.
Γύρω στις έξι και τέταρτο τους έλεγαν από το υπουργείο για τεχνικό πρόβλημα

[dpap76]

Αυτό που λέω είναι ότι δεν φαίνεται (μάλλον) να έγινε saturate κάποιο core link (Λούρος<->ΕΙΕ, ΕΙΕ<->Κωλέττη, κτλ.), transit (GEANT), peering (GR-IX), κτλ., ούτε σε bps, ούτε σε pps. Τα ~3.5M pps ήρθαν, και κατέληξαν μέχρι και τον server, ενώ ήταν τεχνικό δυνατό να μπορούσαν να είχαν φιλτραριστεί στο edge ή core του GRNET. Επίσης αυτό που φαίνεται από τα γραφήματα που παρέθεσες είναι ότι το organic peak είναι στα 1.5M pps, και το peak της στιγμής επίθεσης ήταν στα ~3.5M pps. 2-2.5x σε traffic (pps/bps) δεν είναι κάτι, είναι νορμάλ «αέρας».

Αν είχαν έρθει 500Gbps ή 100M pps, εκεί θα λέγαμε ότι δεν είναι κάτι που μπορεί να διαχειριστεί εσωτερικά το GRNET και χρειάζεσαι οπωσδήποτε κάποιον DDoS scrubber εκτός του δικτύου σου π.χ. από τους transit σου ή Cloudflare/Prolexic/κτλ.

Δεν διαφωνούμε, δεν είπα οτι το grnet έπαθε ddos

Οι ενδιάμεσοι routers πιθανόν δεν θα έπαθαν τίποτα αλλά ο server (ή έστω το server pool αν είχανε) αποκλείεται να μπορούσε να τα χειριστεί

Για το grnet η κίνηση αυτή είναι νορμαλ και διαχειρίσιμη απο τους ενδιάμεσους routers του. Σιγά τα ωά
ο σερβερ όμως του ΙΕΠ?

>> ενώ ήταν τεχνικό δυνατό να μπορούσαν να είχαν φιλτραριστεί στο edge ή core του GRNET.
πως? με ποια κριτήρια θα φιλτράρει το grnet την source κίνηση? πως θα ξεχωρίσει ο router τους legit καθηγητές που μπαίνουν να πάρουν θέματα από τα bots και στην τελική τι δουλειά έχει ο router να κάνει τέτοια πράγματα?
Θα μου πεις geoip acls (όσο "σωστές" και αν θεωρήσουμε οτι είναι) αλλά αυτό έχει impact στα σχολεία του εξωτερικού. ddos completed δηλαδή για τα σχολεία του εξωτερικού και μάλιστα υπό την αιγίδα του grnet

Το είπε και ο denis πριν λίγο, οποιαδήποτε προσπάθεια για filtering σε επίπεδο δικτύου, ειδικά στο πόδι και χωρίς σχεδιασμό, κινδυνεύεις τελικά να πετύχεις εσύ ο ίδιος τον σκοπό του ddos.

[konig]

Αυτό λες? το ότι η επίθεση ξεκινάει αν το πάμε με τα γραφήματα από τις 6 παρά το πρωί δεν έκανε κανενός το αυτί να ιδρώσει... ή οι ώρες είναι σε GMT?

θεωρεις πως υπηρχε ανθρωπος στο ποστο 6 παρα?

[gcf]

πως? με ποια κριτήρια θα φιλτράρει το grnet την source κίνηση? πως θα ξεχωρίσει ο router τους legit καθηγητές που μπαίνουν να πάρουν θέματα από τα bots και στην τελική τι δουλειά έχει ο router να κάνει τέτοια πράγματα?
Θα μου πεις geoip acls (όσο "σωστές" και αν θεωρήσουμε οτι είναι) αλλά αυτό έχει impact στα σχολεία του εξωτερικού. ddos completed δηλαδή για τα σχολεία του εξωτερικού και μάλιστα υπό την αιγίδα του grnet

Σε σχέση με αυτό, όλα τα ελληνικά σχολεία βγαίνουν μέσω του ΠΣΔ από γνωστό εύρος ip.
Για τα σχολεία του εξωτερικού, αυτά έχουν τις εξετάσεις τους σε διαφορετικές ημερομηνίες, από αρχές Μαίου ως και Ιούλιο στη Γερμανία.
Επίσης κάτι λάθος πρέπει να έκαναν τη δεύτερη μέρα που ενώ το είχαν βάλει πίσω από AKAMAI είχαμε πάλι πρόβλημα.

[dpap76]

Επίσης κάτι λάθος πρέπει να έκαναν τη δεύτερη μέρα που ενώ το είχαν βάλει πίσω από AKAMAI είχαμε πάλι πρόβλημα.

να πω την άποψη μου για την δεύτερη μέρα? Να ξεκαθαρίσω ότι είναι καθαρά δική μου υπόθεση και δεν έχω κανένα στοιχείο αλλά το λέω για να γελάσουμε γιατί την έχω πάθει και εγώ

Ως γνωστόν, όταν βάζεις CDN μπροστά, επιτρέπεις μόνο το CDN να σου μιλήσει και κόβεις όλα τα άλλα.
Ιδανικά μόνο το CDN ξέρει την ip που γίνεται originate το content ώστε ο server που θέλεις να προστατέψεις να είναι άγνωστος για τον έξω κόσμο σε όλα τα layers.

E, βάλανε akamai, άλλαξαν το DNS να δείχνει στην akamai αλλά δεν κλείσανε την απ' ευθείας πρόσβαση. Το πήρανε χαμπάρι γρήγορα και την δεύτερη μέρα ο χαμούλης διήρκησε λίγο.

Υπόθεση βγαλμένη από την ζωή, δικαίως ο αφεντικός μου με κατσάδιασε όταν μια μέρα μετά που βάλαμε cloudflare σε πελάτη, ο server του πελάτη φρίκαρε πάλι από τα χιλιάδες HTTP requests που πλέον κάνανε στο IP απ' ευθείας και όχι στο DNS όνομα

επαναλαμβάνω, δικιά μου υπόθεση χωρίς κανένα στοιχείο

- - - Updated - - -

Ανακοίνωση ΕΔΥΤΕ σχετικά με τις επιθέσεις στην Τράπεζα Θεμάτων

https://grnet.gr/2023/06/03/announce...peza-thematon/

Και με μπηχτή για την ΕΠΕ ...

Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS, ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.

[deniSun]

Ανακοίνωση ΕΔΥΤΕ σχετικά με τις επιθέσεις στην Τράπεζα Θεμάτων

https://grnet.gr/2023/06/03/announce...peza-thematon/

Και με μπηχτή για την ΕΠΕ ...

Ε... φαντάζομαι θα τα αξιοποιήσει κατάλληλα ο Ντογιάκος.

- - - Updated - - -

Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS, ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.

[paravoid]

πως? με ποια κριτήρια θα φιλτράρει το grnet την source κίνηση? πως θα ξεχωρίσει ο router τους legit καθηγητές που μπαίνουν να πάρουν θέματα από τα bots και στην τελική τι δουλειά έχει ο router να κάνει τέτοια πράγματα?

Μπαίνεις πολύ βαθιά, αλλά εν ολίγοις: εξαρτάται από την πολυπλοκότητα της επίθεσης, και από τα capabilities του mitigation σου.

Τι είδους είναι η επίθεση; Volumetric; DNS amplification; UDP; TCP SYN; Σε ποιά/από ποιά πόρτα; HTTP; Application-specific, π.χ. λίγα αλλά ακριβά queries σε συγκεκριμένα endpoints;

Αν δεν είναι ψηλά στο stack (HTTP και πάνω), που συνήθως δεν είναι, ο "router" (ό,τι και αν σημαίνει αυτό σε ένα μοντέρνο internet), ναι σαφώς και μπορεί να κάνει τέτοια δουλειά. Είτε αν είναι κάτι πολύ απλό ως rule, «χεράτα» (ιδανικά με τη βοήθεια κάποιου automation), π.χ. «κόψε όλα τα UDP προς την IP του ΙΕΠ», είτε με τεχνολoγίες όπως BGP FlowSpec. Μιλώντας συγκεκριμένα, έτσι είναι σχεδιασμένο το FoD του GRNET: ένα web interface που σου δίνει τη δυνατότητα να προσθέσεις κανόνες, που κάνουν propagate στους routers του δικτύου και κόβουν κίνηση. Ένα από τα πρόβλημα βέβαια είναι ότι πρέπει να βρεις το pattern της επίθεσης, τη στιγμή της επίθεσης, αν αυτή κρατήσει αρκετά. Το fastnetmon είναι π.χ. ένα δημοφιλές εργαλείο για κάτι τέτοιο, αλλά υπάρχουν και πολλά άλλα, ανοικτά, εμπορικά ή services.

Γενικά η λογική σε μια ολοκληρωμένη στρατηγική είναι ότι έχεις μια φαρέτρα από εργαλεία, το καθένα με διαφορετική πολυπλοκότητα, δυνατότητες και επιθέσεις που μπορεί να αποτρέψει, όπως φυσικά και κόστος. Όπως τα περισσότερα πράγματα στο engineering, δεν υπάρχει ένα one-size-fits-all.

- - - Updated - - -

https://grnet.gr/2023/06/03/announcement-grnet-attack-trapeza-thematon/[/url]

Και με μπηχτή για την ΕΠΕ ...

Ας κάνουμε ένα review:
α) Blameless postmortem έχω ακούσει, «postmortem με μπηχτές» δεν έχω ξαναδεί! Πολύ δυστυχές, η τεχνική ανάλυση δεν πρέπει να μπλέκεται με τα politics έτσι. Αν ήθελαν να βγάλουν ένα δελτίο τύπου ως σχολιασμό επικαιρότητας έχουν κάθε δικαίωμα, αν και προσωπικά θα προτιμούσα να αναφέρει συγκεκριμένα που απαντά, χωρίς μπηχτές, και ιδανικά ενυπόγραφο. Σε κάθε περίπτωση IMHO θα πρέπει να είναι ξεχωριστό με την τεχνική ανάλυση του συμβάντος αυτού καθ' αυτού.
β) «Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS [...] τα θεωρούμε απρόσεκτα και παραπλανητικά». Η υπερδιαστασιολόγηση σαφώς και είναι ένας από τους τρόπος αντιμετώπισης επιθέσεων DDoS. Το ξέρουν και οι ίδιοι φυσικά, απλά εδώ φαίνεται ότι απαντούν μάλλον σε κάποια συγκεκριμένη ανακοίνωση που αν δεν την έχεις διαβάσει δεν καταλαβαίνεις τι θέλει να πει.
γ) Μας λέει πότε αντιμετωπίστηκε η κίνηση, αλλά όχι πότε ξεκίνησε. Πολύ κακό timeline. Ιδανικά θα έπρεπε να μπει ένα πινακάκι με timeline.
δ) «μέχρι 1.8 Gbps» - πού είναι τα γραφήματα σε bps; Τι πάει να πει «μέχρι»;
ε) «Ο ρυθμός 280 χιλ. πακέτων ανά δευτερόλεπτο που αναφέρεται για την Δευτέρα 29/5 αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δις ανά ώρα». Μη σου πω 432 δις την ημέρα, 13 τρις το μήνα, 157 τρις το χρόνο In all seriousness, μετρική «ανά ώρα» σε DDoS δεν έχω ξαναδει. Θα έλεγα ότι είναι και λάθος μετρική, μιας και είναι extrapolation, για το πόσα πακέτα ήρθαν, αν είχε διατηρηθεί για το δίαστημα με τον ίδιο ρυθμό η επίθεση, που από τα γραφήματα είναι σαφές ότι δεν συνέβη.
στ) «αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δις ανά ώρα» -- τι πάει να πει «συνδέσεις» όταν μιλάμε για TCP SYN flood, ή για (connectionless) UDP;
η) «Στις 30/5 η αύξηση λόγω της κακόβουλης κίνησης ξεπερνάει σαφώς τη συνολική κίνηση του δικτύου ΕΔΥΤΕ προς το Internet». Τι πάει να πει «η αύξηση ξεπερνάει την κίνηση»; Τι πάει να πει «κίνηση»; Ρυθμός; PPS ή BPS; Τα γραφήματα είναι μόνο σε pps, αλλά συνήθως η λέξη κίνηση παραπέμπει σε bps (εξ' ου και καλό να είμαστε συγκεκριμένοι στην ορολογία μας). Τέλος, επί της ουσίας, το η κακόβουλη κίνηση να ξεπερνάει τη legitimate κίνηση είναι ο κανόνας και όχι η εξαίρεση, οπότε αυτή η πρόταση ακούγεται χειρότερη απ' ότι είναι...

[dimitri_ns]

Bλέπω ότι ασχολείστε και απαντάτε τεχνικά σε πολιτικές ανακοινώσεις.
Ατοπο ..

[deniSun]

Η αλήθεια είναι ότι μπλέχτηκε το θέμα.
Από αμιγώς τεχνικό κατέληξαν όλοι να τοποθετούν και την πολιτική χροιά.
Από την ΕΠΕ το περίμενα.
Από την ΕΔΥΤΕ όχι.

[spartak]

H ΕΔΥΤΕ υποχρεώθηκε, προφανώς, απο την πολιτική ηγεσία να το κάνει σε μια προσπάθεια να δικαιολογήσει τα αδικαιολόγητα (ότι δήθεν επρόκειτο για τη μεγαλύτερη επίθεση τέτοιου τύπου σε κυβερνητικό οργανισμό κλπ). Επίσης για να απαντήσει σε κάποιες από τις κριτικές που έγιναν (κυρίως από την ΕΠΕ, secnews)

[farcry]

Σύμφωνα με την ανακοίνωση στην πρώτη φάση της επίθεσης δηλαδή στις 29/5 οι ΣΥΝΔΕΣΕΙΣ προς την πλατφόρμα ήταν 280.000 pps (δικτυακά πακέτα ανα δευτερόλεπτο). Σύμφωνα με διαγράμματα τόσο της AKAMAI οσο και της Cloudflare, παγκόσμια οι μεγαλύτερες κυβερνοεπιθέσεις που έχουν καταγραφεί είναι της τάξης των Mpps ή Tbps δηλαδή της τάξης των εκατομυρίων πακέτων το δευτερόλεπτο (πχ 3.47Tbps και όχι χιλιάδων πακέτων το δευτερόλεπτο όπως στην περίπτωση της Τράπεζας Θεμάτων. Παράδειγμα σε μια πολύ ισχυρή DDoS attack το 2020, ήταν 754 ΕΚΑΤΟΜΥΡΙΑ pps (δικτυακά πακέτα). Σε καμία περίπτωση δεν μπορούν να συγκριθούν με τα 280.000 pps που ανέφεραν τα μέσα ενημέρωσης για την παρούσα κυβερνοεπίθεση. Συνεπώς, συνεχίζει να ισχύει σύμφωνα με την ανακοίνωση το γεγονός ότι ΝΑΙ εγινε κυβερνοεπίθεση αλλά ΟΧΙ στο μέγεθος που παρουσιάστηκε.
Την δεύτερη ημέρα στις 30/5, σύμφωνα με την ανακοίνωση, υπήρξε αύξηση σε 5 εκατομύρια πακέτα ανα δευτερόλεπτο δηλαδή 5 Mpps. Το εν λόγω νούμερο είναι αυξημένο, πάλι όμως ΟΧΙ στα επίπεδα που μας παρουσίαζαν στις ανακοινώσεις και στα ΜΜΕ οι πολιτικοί που ανέλαβαν χρέη cyber security experts. Ενδεικτικά αναφέρουμε οτι το 2018, σε επίθεση στο Github είχαμε 1.3Tbps (Tera), το 2016 σε μαζική επίθεση στον DNS provider Dyn οι κακόβουλοι χρήστες είχαν φτάσει τα 1.5Tbps (Tera), to 2020 στην Amazon τα 2.3 Tbps, το 2017 στην Google 2.54Tbps και στο Azure το 2021 σε DDoS επίθεση εναντίον ενος και μόνο πελάτη (customer) της Microsoft στην Ασία η επίθεση ήταν 3.47Tbps με 350Mpps (δηλαδή 70 φορές πιο ισχυρή απο την παρούσα). Με μια απλή αναζήτηση ο καθένας μπορεί να διαπιστώσει ποιες θεωρούνται “ισχυρές κυβερνοεπίθεσεις DDoS attacks” σύμφωνα με τα διεθνή μέσα και οργανισμούς.
Αξίζει σε αυτό το σημείο να αναφέρουμε ότι ISP Providers, Gaming/Betting services, Τηλεπικοινωνιακοί πάροχοι,Τράπεζες αλλά και media / δέχονται συχνά πυκνά πολύ μεγαλύτερες επιθέσεις απο την αναφερόμενη ως “γιγάντια κυβερνοεπίθεση” που χτύπησε την Τράπεζα θεμάτων. Με την διαφορά ότι όλοι οι ανωτέρω στην πλειονότητά τους (σε αντίθεση με κυβερνητικά συστήματα) έχουν λάβει πρόσθετα μέτρα αποτροπής τέτοιου είδους επιθέσεων.
Αναφορικά με τα σχόλια για την AKAMAI ορθώς ισχύει ότι αναφέρεται στην ανακοίνωση. Παρολαυτα, η AKAMAI διαθέτει πλήθος προιόντων συμπεριλαμβανομένου και του DDOS Protection Prolexic (με χωρητικότητα άνω των 20TBps για DDOS επιθέσεις). Απο την ανακοίνωση είναι σαφές ότι το εν λογω προιόν δεν ηταν ενεργοποιημένο απο την Τράπεζα Θεμάτων, και πιθανόν υπήρχε ενεργοποιημένο μονο το Web Application Firewall(WAF) για προστασία και μονο της εφαρμογής. Αξίζει να αναφερθεί όμως ότι κατά την πρώτη ημέρα της επίθεσης ΔΕΝ υπήρχε ούτε το AKAMAI Web Application firewall (δηλαδή η προστασία της εφαρμογής) η οποία προστέθηκε την πρώτη ημέρα. Δεν είχε ληφθεί ΟΥΔΕΝ αντίμετρο εναντί κυβερνοεπιθέσεων απο τους διαχειριστές της εφαρμογής (δηλαδή το Ινστιτούτο Εκπαιδευτικής Πολιτικής) και οτιδήποτε έγινε με την ΑΚΑΜΑΙ, έγινε μετα την πρώτη ημέρα της επίθεσης.
Αναφέρει το ΕΔΥΤΕ στην ανακοίνωση ότι την Τρίτη 30/5 (μετά δηλαδή την προσθήκη του AKAMAI WAF) η επίθεση μετατοπίστηκε προς τις υποδομές του σχολικού δίκτυου (ΠΣΔ). Να θυμήσουμε σε αυτό το σημείο, ότι το Σχολικό Δίκτυο έχει πέσει και στο παρελθόν θύμα κυβερνοεπιθέσεων και μάλιστα απο Έλληνες hackers, παρ’ ολαυτά ουδείς φαίνεται να ασχολήθηκε και δεν ελήφθησαν μέτρα.
Στα διαγράμματα του ΕΔΥΤΕ και κυρίως σε αυτά που αναφέρονται στις εικόνες ανωτέρω (εικόνες 4+5) με επισημείωση από εμάς: Βλέπουμε σαφώς ότι:
Στην εικόνα 4, η κακόβουλη κίνηση, είναι κατα τι αυξημένης της καθημερινής ομαλής κίνησης που καταγράφει το GRNEt/ΕΔΥΤΕ. Συμπερασματικά – Δεν ήταν ο όγκος που δημιούργησε πρόβλημα στην Τράπεζα Θεμάτων ΑΛΛΑ η ίδια η εφαρμογή που δεν μπόρεσε να ανταποκριθεί σε έναν σχετικά αυξημένο όγκο requests.
Τα σημεία της επίθεσης αποτυπώνονται σε pps εντός του κόκκινου πλαισίου. Εντός του μωβ πλαισίου (που προσθέσαμε εμείς) στην εικόνα 5 είναι η ομαλή κανονική κίνηση. Το βέλος δείχνει την διαφορά μεταξύ των δύο ακραίων τιμών (DDoS επίθεσης και ομαλής κίνησης). Είναι σχεδόν το μισό συγκριτικά με το άνω όριο που εμφανίζεται την στιγμή της κυβερνοεπίθεσης. Συγκριτικά, λοιπόν, ήταν περίπου διπλάσια τα pps αναλογικά με τα καθημερινή ομαλή κίνηση. Και η εφαρμογή δεν μπόρεσε να ανταποκριθεί…
Στην ανακοίνωσή του το ΕΔΥΤΕ αναφέρει ότι διαθέτει πρόσθετα στοιχεία τα οποία ορθώς θα κοινοποιήσει στις αρχές που διεξάγουν την ποινική έρευνα για τον εντοπισμό των δραστών. Ο όγκος και η μεθοδολογία της κυβερνοεπίθεσης (μικρός αριθμός packets per seconds), η μη σωστή και ολοκληρωμένη μελέτη του στόχου, η άμεση αλλαγή της στόχευσης μετά την προσθήκη του ΑΚΑΜΑΙ WAF με νέα στόχευση στο σχολικό δίκτυο ΔΕΝ υποδηλώνει στοχοποίηση απο διεθνή hacking groups (KILLNET και λοιπές θεωρίες που αναφέρθηκαν). Υποδηλώνει άτομα με χαμηλή τεχνογνωσία, περιορισμένο budget για ενοικίαση ddos booter/stresser tools (μπορεί να γίνει με ελάχιστα χρήματα) που σκοπό είχαν να δημιουργήσουν ενα μίνι-πανικό. Το κατόρθωσαν ΟΧΙ λόγω της υψηλής τεχνογνωσίας, του υποτιθέμενου υψηλού budget (θεωρίες περι 200.000 ευρώ) αλλά λόγω της έλλειψης σχεδιασμού και αντιμέτρων στην δημιουργία, συντήρηση και διαχείριση της εφαρμογής trapeza.iep.edu.gr απο τον αρμόδιο φορέα του Ινστιτούτου Εκπαιδευτικής Πολιτικής. Εκτιμούμε ότι η έρευνα των αρχών θα αποδώσει σύντομα αποτελέσματα για τον προσδιορισμό των δραστών. Δεν θα πρέπει να μας εντυπωσιάσει μάλιστα αν είναι έφηβοι ή μαθητες, μιας και αντίστοιχα γεγονότα έχουν συμβεί και στην Ελλάδα παλαιότερα αλλά και στο εξωτερικο.

Αναφορικά με το γενικό συμπέρασμα περί αμφισβήτησης της αξιοπιστίας, αξίζει να αναφερθεί οτι σε αντίθεση με άλλα ΜΜΕ, το SecNews ΟΥΔΕΠΟΤΕ αμφισβήτησε την αξιοπιστία του ΕΔΥΤΕ και τον τεχνικών που εργάζονται εκεί, μιας και εμείς προσεγγίζουμε το ζήτημα απο την καθαρά τεχνική του σκοπιά. Αντιθέτως, προσπάθησε να αναδείξει οτι ουδεμία ευθύνη έφερε το GRNET αναφορικά με την αναχαίτηση της κυβερνοεπίθεσης αλλά μόνο οι διαχειριστές/ιδιοκτήτες της εφαρμογής.

Αυτό που αμφισβητήθηκε είναι τα μέτρα που είχαν ληφθεί απο τον ιδιοκτήτη της εφαρμογής (Ιινστιτούτο Εκπαιδευτικής Πολιτικής) καθώς και η αναφορά/δημιουργία φόβου απο ΜΜΕ και πολιτικούς περί εκτεταμένης κυβερνοεπίθεσης που όμοια δεν είχε εμφανιστεί στην Ελλάδα ποτέ …

Σημείωση της Τελευταίας Στιγμής:Σύμφωνα με πληροφορίες του SecNews φαίνεται οτι μετά την επίθεση στην Τράπεζα Θεμάτων το ΕΔΥΤΕ προχώρησε σε στοχευμένες και άμεσες τεχνικές ενέργειες ώστε να θέσει υπό πλήρη προστασία το Συστήμα Ασφαλούς Μετάδοσης Πανελληνίων (ΣΑΜ/STS) από DDoS επιθέσεις με χρήση κατάλληλης παραμετροποίησης (Anycast/GRE Tunnel). Μέχρι εκείνη την στιγμή το εν λόγω σύστημα του Υπουργείου Παιδείας δεν μπορούσε να ανταποκριθεί σε επιθέσεις DDoS μεσαίας ή μεγάλης κλίμακας. Άλλη μια επιβεβαιώση, ότι όταν ζητούν την γνώμη εξειδικευμένων τεχνοκρατών και τεχνικών που εισακούονται στα ανώτερα κλιμάκια Οργανισμών και Υπουργείων, μπορούν να προληφθούν χειρότερες καταστάσεις.

https://amp.secnews.gr/467704/trapez...pithesi-edyte/

[deniSun]

H ΕΔΥΤΕ υποχρεώθηκε, προφανώς, απο την πολιτική ηγεσία να το κάνει σε μια προσπάθεια να δικαιολογήσει τα αδικαιολόγητα (ότι δήθεν επρόκειτο για τη μεγαλύτερη επίθεση τέτοιου τύπου σε κυβερνητικό οργανισμό κλπ). Επίσης για να απαντήσει σε κάποιες από τις κριτικές που έγιναν (κυρίως από την ΕΠΕ, secnews)

Η επίθεση δεν αμφισβητήθηκε από ένα σημείο και μετά.
Αρχικά και εγώ περίμενα να δω αύξηση στο διαγράμματα με bps.
Δεν κοίταξα, από λάθος μου, στα διαγράμματα με pps.
Έγινε λοιπόν η επίθεση αλλά δεν ήταν της τάξης της ιστορικής κλίμακας που αναφέρθηκε.

Προφανώς και θα μπορούσε να αποφευχθεί αλλά αυτά τα πράγματα δεν μπορείς να τα προβλέψεις.
Όλα τα συστήματα είναι ευάλωτα σε τέτοιου είδους επιθέσεις.
Δεν είδα κάπου να λέει ή να υπονοεί η ΕΔΥΤΕ ότι ήταν η μεγαλύτερη επίθεση, ότι δεν μπορούσε να αποφευχθεί.

Οι κριτικές που έκανε ήταν λάθος.
Δεν είναι αυτός ο σκοπός/ρόλος της.
Κατ αυτή την έννοια θα έπρεπε να ασχοληθεί ή να υπονοεί και για τα όσα γράφουμε εδώ μέσα.

[aSMiLoN]

Σύμφωνα με την ανακοίνωση στην πρώτη φάση της επίθεσης δηλαδή στις 29/5 οι ΣΥΝΔΕΣΕΙΣ προς την πλατφόρμα ήταν 280.000 pps (δικτυακά πακέτα ανα δευτερόλεπτο). Σύμφωνα με διαγράμματα τόσο της AKAMAI οσο και της Cloudflare, παγκόσμια οι μεγαλύτερες κυβερνοεπιθέσεις που έχουν καταγραφεί είναι της τάξης των Mpps ή Tbps δηλαδή της τάξης των εκατομυρίων πακέτων το δευτερόλεπτο (πχ 3.47Tbps και όχι χιλιάδων πακέτων το δευτερόλεπτο όπως στην περίπτωση της Τράπεζας Θεμάτων. Παράδειγμα σε μια πολύ ισχυρή DDoS attack το 2020, ήταν 754 ΕΚΑΤΟΜΥΡΙΑ pps (δικτυακά πακέτα). Σε καμία περίπτωση δεν μπορούν να συγκριθούν με τα 280.000 pps που ανέφεραν τα μέσα ενημέρωσης για την παρούσα κυβερνοεπίθεση. Συνεπώς, συνεχίζει να ισχύει σύμφωνα με την ανακοίνωση το γεγονός ότι ΝΑΙ εγινε κυβερνοεπίθεση αλλά ΟΧΙ στο μέγεθος που παρουσιάστηκε.
Την δεύτερη ημέρα στις 30/5, σύμφωνα με την ανακοίνωση, υπήρξε αύξηση σε 5 εκατομύρια πακέτα ανα δευτερόλεπτο δηλαδή 5 Mpps. Το εν λόγω νούμερο είναι αυξημένο, πάλι όμως ΟΧΙ στα επίπεδα που μας παρουσίαζαν στις ανακοινώσεις και στα ΜΜΕ οι πολιτικοί που ανέλαβαν χρέη cyber security experts. Ενδεικτικά αναφέρουμε οτι το 2018, σε επίθεση στο Github είχαμε 1.3Tbps (Tera), το 2016 σε μαζική επίθεση στον DNS provider Dyn οι κακόβουλοι χρήστες είχαν φτάσει τα 1.5Tbps (Tera), to 2020 στην Amazon τα 2.3 Tbps, το 2017 στην Google 2.54Tbps και στο Azure το 2021 σε DDoS επίθεση εναντίον ενος και μόνο πελάτη (customer) της Microsoft στην Ασία η επίθεση ήταν 3.47Tbps με 350Mpps (δηλαδή 70 φορές πιο ισχυρή απο την παρούσα). Με μια απλή αναζήτηση ο καθένας μπορεί να διαπιστώσει ποιες θεωρούνται “ισχυρές κυβερνοεπίθεσεις DDoS attacks” σύμφωνα με τα διεθνή μέσα και οργανισμούς.[/url]

Δεν ακουσα κανενα να λεει οτι ηταν πιο μεγαλη επιθεση που εγινε στον κοσμο, ειπαν η μεγαλυτερη που εγινε στην χωρα. Εχεις καποια στοιχεια απο αντιστοιχες ελληνικες επιθεσεις να συγκρινουμε τι ισχυει;

[gcf]

Την ίδια στιγμή ο Σκέρτσος έλεγε

Τέτοιες επιθέσεις γίνονται καθημερινά, αποτρέπονται καθημερινά και δεν μαθαίνετε τίποτα γι’ αυτές. Μάθατε γι’ αυτές γιατί δεν μπορέσαμε να τις αποτρέψουμε στο πλαίσιο της υπηρεσιακής κυβέρνησης.

Τι από τα δύο είναι αλήθεια;
Σίγουρα ένα από τα δύο είναι ψέμα.