Wczoraj jakiś czopek zatkał mi jedno łącze atakiem DoS. Jako że moja sieć lokalna działa na redundantnym łączu od dwóch różnych dostawców wiele krzywdy mi się nie stało :) ciągłość działania została zachowana.
Incydent dał mi możliwość przeprowadzenia audytu moich procedur bezpieczeństwa, określonych w polityce bezpieczeństwa firmy. Mała rzecz a cieszy okazało się że procedury postępowania wobec ataków z sieci mam nieźle opracowane, więc po ich uogólnieniu będę mógł je upublicznić jako szablon dla bibliotek.
W sumie to w skutek ataku DoS na ten serwer pół domowy pół testowy (serwer produkcyjny oparłby się temu atakowi) działanie mojej firmy nie zostało zagrożone, aczkolwiek wynikły pewne techniczne obserwacje co należy poprawić :) np. powinienem uruchomić zapasowy serwer poczty prywatnej przejmujący na siebie obowiązki gdy podstawowy się zatka (choć w sumie to bardziej sztuka dla sztuki niż faktyczna potrzeba, wszak powiadomienia z FB nie są zbyt istotne tak samo zresztą jak listy dyskusyjne które spływają na ten serwer) ale dla zasady powinienem postawić drugi mail serwer.
Ciekawie ludzie reagują jak się dowiadują że moja polityka bezpieczeństwa określa w jakim przedziale czasowym ma być powiadomiona policja o incydencie. Mobilizują się w sposób widoczny jak im się uświadomi że są współodpowiedzialni za przestępstwo gdy zaniechają działań w celu przerwania go.
Z obserwacji moich wynikło że najszybciej opowiadają specjaliści od PR i również oni są najbardziej zaangażowani :) (dużo bardziej niż admini i służby techniczne) zwłaszcza gdy dostaną maila z lakoniczną informacją:
Za pomocą waszej sieci teleinformatycznej od godziny xx.xx z adresu IP xxx.xxx.xxx.xxx dokonuje się właśnie atak DoS na nasz serwer o adresie IP xxx.xxx.xxx.xxx. Zgodnie z Kodeksem Karnym Art. 268a. § 1. jest to działanie niezgodne z prawem. Jeżeli atak będzie nadal przeprowadzany pomimo poinformowania was o zaistniałym fakcie incydent ten zostanie zgłoszony zgodnie z polityką bezpieczeństwa naszej firmy na Policję, jak również zastrzegamy sobie możliwość poinformowania o incydencie mediów. Ponadto na podstawie zaniechania działań w celu przerwania ataku o którym zostaliście poinformowani, zastrzegamy sobie prawo włączenia was jako strony w postępowanie sądowe jeżeli nasi klienci cierpiący na waszym ataku takowe nam wytoczą.
Smutna to sprawa wyrywać administratora z imprezy w sobotę ale co zrobić taki fach, ja ostatnio z weseliska znajomej musiałem się urwać przed północą :/
Fajnie dziś dostałem odpowiedzi ze standardowych formularzy które wypełniałem w sobotę zgłaszając atak. Ba byli nawet tak mili że mi przysłali co zwraca whois abym mógł zwrócić się do właściwych w ich mniemaniu osób :D
Nie ma to jednak jak telefon i mail pod "drażliwe" adresy typu rzecznik@, prezes@, zarzad@, ksiegowosc@, zawsze jest tam ktoś kto sprawdzi czy właściwy dział zareagował na zgłoszenie :) może to spamowate ale skuteczne.
Zresztą skąd Prezes ma się dowiedzieć jakie problemy ma jego firma jak nie z donosu :>