Какво се случи с Arena и Zamunda този уикенд или правят ли се ГДБОП на хакери с неуспешните скрипт-атаки срещу двата торент тракера?

Торент тракерът „Арена” излезе днес с официална позиция, относно временното спиране на достъпа до техния сайт и до този на “Замунда”. Тя определено поставя интересни въпроси директно към г-н Явор Колев, началник отдел “Компютърни престъпления” към ГДБОП, затова си позволих да я публикувам без съществени реадкции:

Какво всъщност се случи?

В петък, 21 януари, около 22:30 ч. заявките към “Арена” нарастват рязко с около 50%. Абсолютно необичайно и съмнително е в период на 30-60 сек. да има такъв скок. Защитата на сайта реагира в рамките на 3-5 мин и изключва част от функционалността на сайта за да освободи ресурс за анализ и сортиране на постъпващите заявки. Малко след това и основните сравнително леки заявки нарастват с нови 50%. Натоварването рязко се покачва и 23:20 ч. сайтът включва следваща защита като ограничава достъпа на определена група потребители (нормално тези с нисък ранг). В 0:40 ч. има още едно такова автоматично включване на защитата, а на следващия ден са повечко. През следващите час и половина последователно се филтрират дестинации със съмнително голям брой заявки. Такива са се оказали 25 български мрежи и нито една международна. След елиминирането им сайта поетапно възстановява нормалната си работа. Това всъщност е и причината сайта да не е работел за малка група наши потребители. Всичко това се случва без човешка намеса. През цялото това време от петък 22:30 ч. „Замунда” не работи.

На следващия ден, 22 януари – в 11:25 ч. сутринта отново са регистрирани рязко нарастване на заявките от нови 8 адреса от България. Сайта отново минава в авариен режим и нещата от предната вечер се повтарят. Това че „Замунда” продължава да не работи, това че из Мрежата се разпространява информация че “среднощна акция на ГДБОП сваля Арена и Замунда” води до почти двойно увеличение на онлайн потребителите, чийто заявки са съвсем нормални и няма причина да бъдат филтрирани е лошо стечение и комбинация от обстоятелства, които доведоха до нестабилната работа на сайта в почти целия съботен ден.

В неделя, 23 януари в 15:50 ч. започна поредната атака. „Замунда” се влачи, но все още е онлайн. „Арена” се държи геройски и почти всички подозрителни дестинации са филтрирани. Успяха все пак да съборят форумчето ни.
Този път скриптът работи от по-малко места и успя да ни натовари в рамките на допустимото. „Замунда” обаче едвам се държи. Стръмното нарастване се вижда ясно в дясната част на графиката.
Около 18:00 ч. „Замунда” почти се предаде. Зарежда само и много трудно индекса. Цялата бутаница е в „Арена”. За сега издържаме на майтапа. Поне не ни налазиха като вчера ударно. Дано не се стигне пак до временно ограничаване на лийчърите без заслуги към торент обществото.
Около 19:00 ч. атаката е преустановена. Замунда пак си лети и ние дишаме свободно. Сайтът работи отново с пълна функционалност за всички потребители.

А какви са причините?

В петък около 22:30 ч. започва масирана скрипт атака към ArenaBG.com и Zamunda.net. Генерират се огромно количество тежки заявки към двата сайта от много отделни адреси. Арена регистрира необичайната ситуация и минава в авариен режим, но Zamunda се сгромолясва. На нито един от двата сайта няма системен администратор онлайн. Все пак е петък вечер, а пък и системните ни администратори са на доброволни начала и нямат конкретни задължения. В “Арена” се появява такъв чак към 11:30 ч. в събота. Администраторът Nitto от Онтарио, Канада се заема с анализ на ситуацията в 11:30 ч.в събота. Той съобщи, че подобен скрипт е работел спорадично през последните два месеца, но той е приел, че това е скрипт от индексиращ ни сайт. Различното обаче в последния скрипт е, че той рови по-дълбоко. Опитва се да извлича и информация за пиърите, което не е обичайно. Nitto го е забелязал и е спрял тази функционалност (peers.php и torrents_history.php). В момента сайтът работи в пълната си функционалност, но остават ограниченията за дестинациите от които е работел вредния скрипт.

И сега малко кои проверени, кои не клюки:

Клюка 1:
През месец октомври собственика на Data.bg Юри Митев е извикан в ГДБОП и е предупреден, че сайтът Data.bg разпространява незаконно съдържание което се намира на сървърите на Data.bg. Дадена му е обаче и опция. Ако помогне с информация и съдейства по всякакъв начин за затварянето на арена и замунда чадъра върху него ще бъде отворен отново. Юри Митев е поел ангажимент и по всичко личи го е изпълнил, а именно да създаде скриптове, чрез които да извлича неправомерно информация от двата сайта, която евентуално да подпомогне бъдещи активни мероприятия на Явор Колев. По всичко личи, че и идеята за директна атака към сайтовете е била възприета с одобрение. Това е и причината за срива на „Замунда” в петък. Точно това е и причината в „Замунда” да пише шеговито: “Не с лошо, Колев”

Клюка 2:
Друго активно мероприятие на Колев е абсолютно недопустимото привикване на рекламодателите на двата сайта и директните заплахи към тях с цел да спрат да рекламират.

Няколко директни въпроса към Явор Колев:

1. г-н Колев, каква е разликата между data.bg и 4storing.com, чийто сървъри фактически конфискувахте през Август?
2. г-н Колев, на какво законово основание изисквате от нашите рекламодатели кореспонденцията им с нас в т.ч. договори и фактури? Запознат ли сте с разпоредбите на чл.165 от НК?
3. г-н Колев, вярно ли е че на 10.01.2011 сте поканили собственика на grabo.bg Сребрин Ватралов и сте го заплашили, че ако не спре да работи с нас ще му “създадете сериозни проблеми”. Предлагалили сте му сделка по казуса pomagalo.com?
4. г-н Колев , твърдите че действате само по сигнал. Нито един сигнал ли нямате срещу data.bg
5. г-н Колев как Юри Митев осигуряваше неприкосновеността си и чадъра който му осигурявате през последните 5 години. За последната Ви уговорка знаем и я изпитахме, но питаме за преди нея? И понеже до сега със скриптове не са ни атакували то как именно ви се издължаваше Митев до сега?
6. г-н Колев, това е цитат от ваше изказване:
„Ще изчистим пространството от интернет-пиратите и ще сложим легални платформи, закани се той.” От него следва и въпросът: Кои “вие” г-н Колев ще сложите новите платени платформи. МВР ли? ГДБОП ли? Вашата дирекция ли или просто вие и приятели?

Отговорът на Явор Колев:

„Той директно нарече администраторите на торентите „малоумници”. По думите му не само че сривът не е дело на ГДБОП, но и няма информация да е имало каквато и да било хакерска намеса. Според него от Арена са си направили ПР  акция, като са представили срива в системата им за удар на антимафиоти. Това било провокация с цел злепоставяне на ГДБОП и предизвикване на обществен бунт.”

Отговор на въпросите, поставени от „Арена”, обаче г-н Колев все още не е дал…