Панель управления проектами Basecamp вернулась в доступ после DDoS, обрушившей сервис в прошлый понедельник. По свидетельству Дэвида Ханссона (David Heinemeier Hansson), партнера Basecamp (ранее 37signals), атака началась 24 марта в 8.46 утра по центральному времени и на пике достигла 20 Гб/с, положив сайт и все службы на два часа. Ход атаки этот датский программист и создатель фреймворка Ruby on Rails оперативно освещал в блоге Github.

«Мы и наши сетевые провайдеры делаем все возможное, чтобы нейтрализовать атаку и устранить перебои в сервисе, — пишет Ханссон по горячим следам. — Мы также обратились в правоохранительные органы с просьбой разыскать преступников, ответственных за это нападение. Однако ситуация может усложниться, и мы заранее приносим свои извинения». Согласно следующей публикации на Signal v. Noise, никакие данные скомпрометированы не были, однако перерыв в доступе Ханссон тоже назвал неприемлемым.

Как и в недавнем случае с Meetup, целью атакующих было вымогательство. По словам Ханссона, эти же шантажисты «неделю назад нанесли другие удары», причем во всех случаях требования выкупа были отправлены с почтовых адресов, сформированных по шаблону dari***@gmail.com. Как и Meetup, новая жертва шантажа отказалась платить дидосерам. «В одном могу вас заверить: мы, как и Meetup, никогда не пойдем на переговоры с криминальными элементами и никогда не поддадимся на шантаж, — заявил Ханссон. — В противном случае нас сочтут легкой мишенью для дальнейших атак».

Через пару часов после начала DDoS-атаки разработчики Basecamp восстановили сервис для 95% клиентов, однако «какое-то время оставались в состоянии полной боевой готовности», так как не было гарантии, что атака не повторится.

UPDATE. Спустя два дня Ханссон опубликовал детали данной DDoS, отметив, что продолжительность атаки составила 1 час 40 минут, а полный отказ сайта и служб наблюдался на протяжении 45 минут. Кроме того, из-за атаки провайдеры поместили Basecamp в карантин, поэтому полнофункциональный доступ для всех был восстановлен лишь в 11.08.

В ходе атаки вымогатели использовали следующие типы DDoS: SYN flood, усиление с DNS-плечом, ICMP flood, усиление с NTP-плечом. Мощность совокупного мусорного потока на пике превысила 20 Гб. В качестве основной защитной меры использовалась фильтрация трафика на базе одного из провайдеров, хотя остальные тоже оказывали посильную помощь. Ханссон еще раз подчеркнул, что никакие данные в ходе атаки скомпрометированы не были.

Нельзя не отметить, что Basecamp — одна из немногих жертв DDoS, которая сочла своим долгом оперативно уведомлять пользователей о ходе атаки и спасательных работ, делиться с ними результатами расследования и огласить извлеченные уроки и планы по укреплению защиты. Так, в настоящее время разработчики:

  • сформировали группу взаимопомощи и поддержки DDoS Survivors, объединив сайты, подвергшиеся аналогичным или похожим атакам;
  • изучают рынок современных средств защиты от DDoS, позволяющих если не исключить отказ, то хотя бы минимизировать нарушение работоспособности;
  • уведомили об инциденте правоохранительные органы и приобщили свои показания к материалам дела, открытого по фактам DDoS-вымогательства;
  • планируют сократить время оповещения пользователей об атаках через Twitter и страницу статуса до 5 минут (в данном случае этот период составил 20 минут, что Ханссон счел неприемлемым);
  • произвели апгрейд серверов, на которых размещен сайт со статусом Basecamp, и проводят нагрузочные испытания: из-за обилия пользовательских обращений в ходе DDoS-атаки на этом стороннем хосте тоже возникли некоторые трудности с доступом.

Basecamp уже обсудила эти планы со своими провайдерами и начала переговоры с ведущими ИБ-вендорами.

Категории: DoS-атаки