L’histoire de la fois où mon chat m’a signalé une attaque DDoS

 (dannyguo.com)
3 points par GN⁺ 2024-04-15 | 1 commentaires | Partager sur WhatsApp

Le chat qui m’a signalé une attaque DDoS

  • À l’époque où l’auteur travaillait dans une startup, il n’y avait pas de rotation d’astreinte officielle
    • Comme l’astreinte est pénible, l’équipe avait délibérément choisi de ne pas en mettre une en place
    • À la place, les membres de l’équipe restaient collectivement attentifs aux alertes urgentes
  • Un jour, vers 3 heures du matin, l’auteur s’est réveillé parce que son chat lui faisait sa toilette sur la tête
    • Le toilettage du chat n’avait en soi rien d’exceptionnel, mais c’était la première fois en 9 ans qu’il se comportait ainsi pendant son sommeil
  • En vérifiant son téléphone, il a constaté qu’une alerte AWS CloudWatch s’était déclenchée quelques minutes plus tôt
    • Il s’agissait d’une alerte liée à des cibles anormales sur le load balancer
  • Comme le site web de l’entreprise était inaccessible, il a consulté le tableau de bord de monitoring
    • Un grand volume de requêtes arrivait depuis de nombreuses adresses IP, principalement étrangères
    • Le produit de l’entreprise n’étant disponible qu’aux États-Unis, un trafic international n’était pas normal
    • Il a compris qu’il s’agissait d’une attaque par déni de service distribué (DDoS)
  • Au début, il a tenté de bloquer les adresses IP au niveau du serveur, puis s’est souvenu qu’AWS WAF (Web Application Firewall) était déjà configuré
    • Pour faire face immédiatement à l’interruption de service, il a mis en place une règle bloquant les requêtes en provenance d’autres pays
    • Cette mesure a bloqué des centaines de milliers de requêtes, et le site a recommencé à fonctionner
  • Plus tard, il a découvert qu’un message était arrivé sur l’e-mail du support client au moment où l’attaque avait commencé
    • L’expéditeur, avec une grammaire catastrophique, affirmait avoir trouvé une vulnérabilité du site permettant de faire tomber Apache, qui n’était même pas utilisé
    • Il promettait de fournir un "fichier de solution" contre l’envoi de 5 000 dollars en bitcoin, mais l’auteur a choisi de ne pas répondre
  • L’auteur a encore du mal à croire au timing parfait avec lequel son chat l’a réveillé
    • On pourrait supposer que le chat s’est réveillé à cause d’une vibration ou d’un son du téléphone provoqué par l’alerte AWS, mais le mode Ne pas déranger était activé la nuit
    • Il préfère donc imaginer que son chat a senti, d’une manière ou d’une autre, qu’il y avait un problème qui ne pouvait pas attendre le matin
    • C’était de loin plus agréable que d’être réveillé par une alerte PagerDuty

L’avis de GN⁺

  • Il est vrai qu’il est difficile de mettre en place une rotation d’astreinte officielle au début d’une startup, mais il vaut mieux disposer au minimum d’un système de monitoring et d’alertes de base. Faire en sorte que toute l’équipe soit en permanence de garde n’est pas viable
  • Le fait d’avoir préparé à l’avance AWS WAF et d’autres protections a visiblement facilité la réponse en situation d’urgence. C’est un bon exemple de l’importance des mesures préventives face aux menaces de sécurité
  • Le choix de ne pas répondre à l’e-mail de l’attaquant était judicieux. Céder à ce type de chantage peut provoquer des problèmes encore plus graves
  • Avec un système de détection d’anomalies basé sur le machine learning, un algorithme pourrait repérer ce genre d’attaque plus tôt qu’un chat. Cela dit, il ne faut sans doute pas sous-estimer l’instinct des animaux de compagnie

À lire aussi

1 commentaires

 
GN⁺ 2024-04-15
Commentaire Hacker News
  • Il est facile de sous-estimer la menace interne. Avec un e-mail de menace à la grammaire douteuse et une demande de rançon en bitcoins, je n’ai pas imaginé que le chat pouvait être derrière l’attaque
  • Il n’y a presque jamais de séismes au Kansas, mais voici le seul souvenir que j’ai d’un tremblement de terre :
    • un chat siamois m’a réveillé en me griffant le visage, puis s’est assis au bord du lit en grondant (un comportement inhabituel)
    • 30 secondes plus tard, les secousses ont commencé. Je ne sais pas comment il l’avait senti, mais c’était fascinant. Il est mort en 2020 et il me manque toujours
  • Il a peut-être détecté le scintillement de l’écran même en mode silencieux
  • À mon premier emploi, un collègue arrivait à repérer les incidents sur le tableau de bord de monitoring avant qu’ils ne se produisent. Il ne savait pas expliquer exactement quoi, mais il sentait que quelque chose clochait, et l’alerte sonnait généralement juste après
  • Une demande de rançon ridicule de 5�000 dollars. Quand nous avons subi une attaque DDoS en 2016, nous avions préparé des bitcoins mais avons décidé d’ignorer la demande. Nous avons dépensé bien plus pour la protection anti-DDoS à la place, mais cela valait la peine de ne pas payer les extorqueurs
  • J’ai envisagé de me moquer des maîtres chanteurs, mais c’est risqué car cela pourrait davantage attirer leur attention. L’absence de réponse est la seule solution
  • Dans la famille de quelqu’un, un chat aurait signalé une fuite du lave-vaisselle. Difficile de conclure s’il essayait de sauver quelqu’un ou de le tuer
  • Il est possible d’être sensible aux champs électriques et magnétiques. Quand je dormais sur un coussin chauffant électrique ou un matelas magnétique, je me sentais mal le lendemain. Si je restais longtemps devant un moniteur CRT, j’avais la diarrhée. Après être passé à un écran LCD ou à un ordinateur portable, les symptômes ont disparu. Si je dors avec un routeur sans fil à droite et que je regarde YouTube sur un smartphone à gauche, je fais des rêves étranges et je me réveille tôt. En revanche, si je mets le smartphone à droite, les symptômes s’atténuent
  • J’imagine que le chat a lui aussi perçu quelque chose sans bruit
  • Cela me fait penser au livre Le chien qui savait quand son maître rentrait
  • Je pensais que la gamelle automatique du chat était branchée sur une alarme, mais c’est une anecdote adorable. Je suis curieux de connaître le nom du chat
  • Existe-t-il un moyen de bloquer complètement une attaque DDoS ? Comparé à d’autres menaces, c’est une attaque de bas niveau qui peut être lancée avec de simples scripts ou services, sans compétence ni connaissance particulières