SA VALDEF: Me oleme FSB küberründe all (UUENDATUD PEALE PPA MENETLUSE MITTEALUSTAMISE OTSUST).

Views: 543

Vaatamata, et Venemaa eriteenistuseed on tundnud meie vastu huvi juba maikuust ning käinud meie https://valdef.org portaalis artiklite all kommenteerimas, oleme me eelnevalt märganud äärmiselt veidrat ja kahtlast võrguliiklust.

9. septembril 2021 kell 0:00 alustas FSB meie vastu täiemahulist kübersõda, mis algas meie võrguressursside murdmisega DDoS ründega. DDoS ehk Distributed Denial of Service ehk hajutatud teenusetõkke rünne on ründe liik, mida reeglina kasutatakse huvipakkuvate sihtmärkidele koormava liikluse tekitamises, mille tulemusena nad ei ole kättesaadavad tavatarbijatele. SA VALDEF puhul valis FSB DDoS teenuse murdmaks jõuga, brute force, meetodiga meie turvasüsteemi ning tagada juurdepääsu selle murdumise tulemusena hõivates kõik ressursid, mis võimaldaksid kontrollida, käsutada ja kasutada kogu sihtasutuse vara ja sisu.

 

FSB DDoS rünnak algusega 9. september 2021 kell 00:00.
FSB DDoS rünnak algusega 9. september 2021 kell 00:00.

 

FSB küberründe jätk 9. septembril 2021 kella 6:00 - 18:00.
FSB küberründe jätk 9. septembril 2021 kella 6:00 – 18:00.

 

 

Tänu Vormsi 9. septembri 1941 vallutamise artiklile me sattusime rünnakule üsna selle varajases faasis ning sellele järgnes aktiivne rünnaku tõrje ja ründe tõkestamine kuni sama päeva hommiku kella 6:00.

Sellest ajast peale on FSB ründajad vahetanud mitmeid taktikaid ning nad on loobunud DDoS ja brute-force võtetest, mille on ahendanud väga spetsiifiliste üksikpäringute teostamisele, mis tagaksid juurdepääsu meie ressursside lähtekoodile või konfiguratsioonile, mille tulemusena nad leiaksid uusi ründevektoreid kogu süsteemi enda kontrolli alla saamiseks.

16. septembriks oleme me juba 9 päeva tõrjumas seda rünnet ning alates esmaspäevast, 13. september 2021, on FSB toonud rünnakud Eesti serveritesse, kust vajalikke täppispäringuid teostatakse Eesti erinevate internetipakkujate ressursside pealt ning eesmärgiks on sulandada kogu ründepäringute seeria legaalse liiklusega, mis raskendaks SA VALDEF oma ressursse kasutada. Rünnaku toomine Eesti internetti on toonud endaga kaasa ka mõned avastused, millest me pole pädev praegu rääkima.

 

Me, SA VALDEF, oleme praegusel hetkel tõrjumas FSB poolset küberrünnet meie ressursside vastu, mis on ka meie paljunäinud praktikas enneolematu oma võimekuselt. Kuna FSB on üle kolinud Eesti serveritesse ja me nüüd võitleme Eesti liikluse piires, siis me võime mõne tõrjemeetodi raames piirata kogemata seaduslikku ja õigustatud päringuid sihtasutuse ressurssidele. Seetõttu on mul palve, et selle artikli või säutsu  vastustena, anda palun teada kui meie lugejaskond kohtab  probleeme sisu kättesaamisega.

Me oleme kaasanud ka ametlikke kanaleid s.t. KaPo ja CERT Eesti, aga mõlemad teevad oma otsuseid avalduste alusel omas tempos. Kuna liiklus on rahvusvaheline, siis me oleme ka vaatamas, et ka õigustatud rahvusvaheline liiklus ei saaks viga ning me teame kust me saame järele anda ning veenduda, et sealt tuleb õigustatud pöördumised.

 

Dmitri Sädus (vahest tuntud kui @lennutrajektoor)

SA VALDEF, asutaja ja juhatuse liige.

 

Meie avaldusega Kaitsepolitseiametisse seoses FSB küberründega saab tutvuda antud viite kaudu.

 

UUENDATUD 19.09.2021

Pikaajaline vaidlus ja arutelu tehniliste spetsialistidega selle üles, kas SA VALDEF interneti ressursside vastu teostavate rünnetes kasutatav User Agent ID, mis määrab kasutaja brauseri tüübi, versiooni ja seadme operatsioonisüsteemi, ilmnemine mitte muudetuna, sellisena nagu brauseri tootja on selle määratlenud, on professionaalsuse märk või viide diletantide naljale, kus internetis olevaid ressursside maha võtmine ja ründamine on mäng ja lõbustus mõnede jaoks, on  antud küsimus saanud kindla vastuse ning meiepoolsed tähelepanekud ja rünnete dünaamikast järelmite tegemine on osutunud põhjendatuks pärast järgneva palava ja sügavalt personaalse tervituse saatmist User Agent ID näol, milles nad avaldasid ropu frustratsiooni omanaks viimaks lihtsalt juurdepääsu avalikkusele mõeldud publikatsioonidele viimase 9-ööpäevase järjepidevat ebaõnnestuvate rünnete tulemusetena:

Mozilla / 5.0 (ФСБ за вами шпионит) Rusnix x86_64; rv: 76.0, ставьте нам лайки на фейсбуке! Версия / 14.1.2

 

 

Nagu omane etnilise puuvenelasele ei oma konkreetne isik võimet vallata teisi keeli ning ainus, mida nad lugesid välja meie esiuudistest, oli täheühend F, S ja B. Juhul kui puu- või etniline venelane saadav sellise sõnumi oma sihtmärgile on viide sellele, et ta enam ei kontrolli oma emotsioone ning vastaspoole tegevus on ka tegelikult paljastanud tema isiku ja tausta.

Teine oluline aspekt ründe dünaamikas on autentsete User Agent ID kasutamine eesmärgiga matta üksikuid ründepäringute teostust vastu ressurssi üldise legaalse ja õigustatud liikluse logide hunnikus, kus vastaspool pole võimeline tegema vahet, kas tegu oli ründepäringuga või legaalse pöördumisega.

See on vastus User Agent ID küsimusele ning vaatamata, et see on kõigest teksti rida, mida saab kergesti muuta, on metaandmete haldamine mistahes projektis või ettevõtmises sedavõrd ajamahukas ja koormav tegevus, kus antud ülesanne antakse eraldi isikute kätte. See fakt, et nad paljastasid oma identiteedi ja selle järgnes märgatav rünnete intensiivsuse langus, viitab nende täielikule moraalsele ja vaimsele murdumisele.

Tulenevalt, et SA VALDEF tõrjemeetodid on tõhusad ning FSB ründajate mistahes hinnaga sulanduda õigustatud võrguliiklusesse on viinud ka selleni, et värsketest uuetest pöördujatest  https://valdef.org poole püütakse kinni pea 70%, siis meil on palve meie lugejate anda probleemidest märku ning informeerida meid kas selle artikli kommentaarina või jättes vastuse selle artikli säutsule Twitteris.

Ka lihtsalt säuts aadressil https://twitter.com/ValdefOrg on selliste probleemide olemasolust tervitatav. Me õpime nagu ujume.

Me jääme jätkuvalt kindlaks enda väitele, et me oleme FSB isikute ründe all, tulenevalt me näeme rünnakute toimumist kogu ööpäeva jooksul, öövalve olemasolu, lõunapausi ja nädalavahetuse ilmnemist rünnete intensiivsuses kui ka motivatsiooni ja järjekindlust meie kättesaamisel mis on omane ainult isikutele, kes on saanud kindla ametkondliku korralduse ülesanne ellu viia.

 

UUENDATUD 30.09.2021

Tulenevalt, et Kaitsepolitseiamet oli edastanud meie poolt esitatud avalduse PPA-le, oleme saatnud PPA nõudel täiendavaid asitõendeid meie ründe suhtes leitud asitõendite osas, mis kinnitaksid PPA poolseid kriteeriume menetluse alustamiseks. Meie avaldus on antud hetkel Põhja prefektuuri kriminaalbüroo raskete kuritegude talituses. Üheks määravaks asjaoluks antud kaasuse puhul on juriidiline raamistik kas rünne sellisel kujul ja ründe intensiivsus sellisel kujul on alus menetluse alustamiseks, kusjuures meie seisukohalt on kõik menetluse alustamiseks vajalikud kriteeriumid täidetud, kuna rünnete jõulisuse, ööpäevaringsuse ning järeleandmatu järjekindlusega sooritatavad katsed on meie seisukohast reaalsed, ohtu tekitavat, ning meie kui juriidilise keha eksistentsiaalse ohu tasemega. Kuna sedavõrd olulised faktorid on ka kõige raksem panna juriidilisse keelde viisil, kus menetluse alustamist kaaluv institutsioon mõistaks teostavate tegevuse tagajärgi ning nende vastavust tavapärase õnnestunud küberründe menetlemise raamistikku mahtumist. Üks asjaolu, mille üle me oleme uhked ning oleme alates sihtasutuse loomisest erilist tähelepanu pööranud, on meie süsteemide turvalisus ja töövõime säilitamine selliste rünnete perioodil, kus me suudaksime tõrjuda mitte soovituid kaitseid jättes meie lugejaskonna pöördumised puutumata.

Me oleme suutnud murda meie vastaspoolt, kus nende emotsionaalne väljaelamine 17. septembril 2021 User Agent ID kaudu ning 23. septembril 2021 Google ametliku infrastruktuuri ASN kaudu teostatud DDoSi ebaõnnestumine on viinud vastaspoole rünnakute intensiivsuse tasemeni, kus me võime öelda, et nad on ajutiselt loobunud. See ei tähenda, et nad enam ei katseta, see tähendab, et meie aktiivne vastutöötamine on andnud tulemuse, kuid sõda pole läbi.

 

Meiepoolse täiendava selgituse täistekst.

Tulenevalt, et me näeme ette selliste rünnete teostust, oleme ka algusest peale investeerinud ja tekitanud võimekuse, kus me saame rünnetele kiiresti ja preventiivselt vastu seista. Meie eesmärk on jätkata tööd ka siis, kui meid peaks tabama teine samasugune rünnakulaine mistahes intensiivsusega ja järjekindlusega. Võime seista rünnetele vastu, olla preventiivne, on väga harva esinev ning me ka ise oleme üllatunud, et oleme hakkama saanud. Juhul kui nad mingil põhjusel saanuks meie ressurssidele ligipääsu sisselogimise akna või analoogse näol, on see meie jaoks täielik kaotus ning korvamatu kahju, millest ei tulda välja ehk tähendaks selle juriidilise keha lõppu.

Ka praeguse kaitsevõime juures on tulnud mitu edukat rünnakulainet, mida me loeme kui meie poolt möödalasuks, kuid meid päästis tehisintellektil baseeruv võrguliikluse jälgimine ja fakt, et me tabasime ründe koheselt. Sellist asja nagu turvalist süsteemi või süsteemi, mida ei ole võimalik murda, pole olemas. Arvestades nende järeleandmatu järjekindlusega toimetamist oli see aja küsimus, millal see õnnestub või kustkohast üks või teine võimalus leitakse.

Täiendavas avalduses esitatud ründed RÜNNE #1, RÜNNE #2 ja RÜNNE#2.1 on asitõendid sisselogimise häirimisest ning RÜNNE #5 on kõige õnnestunu rünne süsteemi täielikuks katkestamiseks. See, et me suudame neid jooksvalt või preventiivselt tõrjuda, teeb elu lihtsamaks, kuid see ei tule iseenesest.

Tulenevalt, et ründed ja pöördumised hakkasid tulema Eesti serveritest ning Eesti ISP-d ei saanud meid aidata logide ja muude informatsiooniga, oli esitatud avaldus, kuna jääb arusaamatuks kust tuleb vastaspoole võimekus kasutada Eesti ressursse, nii riiklike, k.a <ASUTUS #1> ja <ASUTUS #2> omi, kui ka Eesti kommertspanga oma. Kõik need on selgelt määratletavad häire või teenuse katkestamise katsetena, kuna me suutsime neile peale sattud esimese päringu tegemise hetkest ja selle kasutamist tõkestada.

Me loeme Google ametliku infrastruktuuri ASNi pealt tehtud DDoSi 23. septembril 2021, RÜNNE #5, nendepoolseks võiduks. Samas, me oleme oma vastumeetmetega suutnud nad meeleheitele viia ja selle tulemusena 17. septembril 2021 saadetud User Agent ID kui ka 23. septembri 2021 mitteõnnestumised on toonud kaasa intensiivsuse vähenemise, kuid mitte nende loobumist eesmärgi saavutamiseks.

Me oleme kindlal arvamusel, et esialgne avaldus ja täiendav avaldus sisaldab kõiki PPA poolt nõutavatele alustele vastavaid asitõendeid. See, et me suutsime säilitada töövõime või tõrjuda ründe viisil, mis tagas töövõime säilimise, on harukordne võime ja harva esinev kommertstoodete maailmas.

 

UUENDATUD 30.09.2021 PEALE PPA MENETLUSE MITTEALUSTAMISE OTSUST

Politsei- ja piirivalveamet saatis meile teate menetluse alustamata jätmise osas. Suuresti selles seletavas vastuskirjas on kirja pandud see osa, mida me neile teatasime ning argumenteerisime menetluse alustamise vajaduse üle. Üks suuremaid faktoreid menetluse alustamise osas on see, et meie vastaspool oli suutnud teostada päringuid vastu meie ressursse Eesti internetiühenduse pakkujate kaupa ning ei ole võimalik ei meil, ega ka Eesti internetipakkuja poolt aidata teineteist logide, logide sisu või logide kaudu tuvastada ründepäringu teostamise võimekust ning kuidas me suudame leida neid sellistelt ressurssidelt nagi Riigi Infosüsteemide Ameti ja CERT EE poolt meie poole pöördumas nii, et me suudame selle tuvastada kui meie vastaspoole pöördumise omaks ning ei Riigi Infosüsteemide Amet ega ka PPA ole nõus seda menetlema. Antud juhul on PPA otsus avalduse esitaja mõnitamine, kuid see on vastavuses meie pikaajalise kogemusega PPA suhtumise ja võimekuse osas.

Kui vastaspool oleks saavutanud mistahes kontrolli meie ressursside üle, oleksime sunnitud oma tegevuse lõpetama kui juriidiline keha, kuna antud kaotus on korvamatu. Päringud, mis tulevad Eesti serveritest on PPA pädevuses ning nende tuim viitamine, et ei lähtu arvutisüsteemi häiret, on alandav lugeda ning kinnitab meie veendumust, mille me Kaitsepolitseiametisse esitades välja tõime, et meil puudub mistahes usk, et PPA saab sellise kaasuse menetlemisega hakkama. Ka on PPA poolsed infosüsteemide rünnet mõistmine soovida jättev, mistõttu me loeme antud sõnastuses vastuskirja järjekordseks tõendiks kui vähevõimekad on meie korrakaitse eest seisvad isikud ning kuivõrd määrav on isiku subjektiivne arvamus või tema oskus mõista, mis toimub kuriteo teostamise ajal.

Samas ei nähtu edastatud andmetest, et arvutisüsteem oleks olnud häiritud, mille tõttu ei ole täidetud KarS § 207 lg 1 sätestatud kuriteo objektiivne külg ehk arvutisüsteemi toimimise ebaseaduslik häirimine.

 

Politsei- ja piirivalveameti Põhja prefektuuri kriminaalbüroo raskete kuritegude talituse mõttemallide maailmas on rünne vastu soomustatud korteriust kuriteotunnuseid mitteomav tegevus, mistõttu menetlust ei saa alustada. Politsei- ja piirivalveameti Põhja prefektuuri kriminaalbüroo raskete kuritegude talituse mõttemallide maailmas on asitõend vastaspoole soolikad põrandal, arteriaalse vere loik, selle isiku või isikute laibahunnik, mille alusel on võimalik väita, et on toimumas tegevus, mida saab defineerida kui avalduse esitaja sõnu kinnitavat tegevust. See viimane tegevus on see, mille alusel on PPA kõiki seda kaitsemeetodit rakendanud isikuid pannud vangi, sest prokurörid tajuvad siit sissetuleku suurendamise ja aastapreaamia raha lõhna.

Comments: 0

Your email address will not be published. Required fields are marked with *