Ciemne pomieszczenie, linijki kodu pisanego zieloną czcionką i tajemnicza, zakapturzona postać siedząca przed kilkoma postawionymi obok siebie ekranami. Dłonie stukające o klawisze z niezwykłą werwą. Przebłyski chłodnego światła.
Tak w większości mediów pokazuje się osobników przeprowadzających atak sieciowy. Jakikolwiek. Nieważna jest jego forma i rodzaj, ważny jest wizerunek cyberprzestępcy – a więc człowieka tajemniczego, nieuchwytnego. Outsidera. Po fali marnych filmów z ubiegłej dekady, traktujących głównie o bliżej niedookreślonych hakerach i crackerach, metody przedstawiania „whiz-kidów” prawie się nie zmieniły.
Dalej można odnieść wrażenie, że mamy do czynienia z czymś, o czym zwykły Kowalski nie ma prawa wiedzieć. A nawet gdyby się dowiedział – to i tak nie byłby w stanie zrozumieć.
Przejęty komputer przestaje być Twoim komputerem
Kilka tygodni temu na rozmaitych stronach pisano o burzy związanej z „największym atakiem DDoS w historii”. Faktycznie, trudno odmówić prawdziwości temu stwierdzeniu jednak mało kto mówił o tym, jak łatwo jest takie działania przeprowadzić.
Pionkiem może być każdy, architektem – nie
Mając komputer podłączony do Internetu, możesz własny „atak DoS” (o różnicach między DoS a DDoS piszę niżej) uaktywnić w przeciągu minuty. Po wpisaniu do Google’a haseł typu „how to”, otrzymasz setki wyników obrazujących tę banalną technikę. Klucz jednak nie tkwi w jednym czy dwóch komputerach, a w zmasowanym, jednoczesnym łańcuchu zapytań, możliwym do osiągnięcia tylko poprzez współpracę (za zgodą lub bez zgody) dużo większej liczby podmiotów.
Po pierwsze, trzeba dysponować albo ogromną ilością przyjaciół na całym świecie, albo pozamieniać cudze pecety w tzw. „zombie”. Wystarczy napisać odpowiedniego robaka i zainstalować go na podpiętym do Sieci sprzęcie. Jak? Mailem, przez sieci torrentowe, w plikach PDF, RTF, zwykłe włamania, a nawet fizycznie podrzucane do firm klucze USB. Zdziwiłbyś się, jak obszerne grono nieświadomych użytkowników indywidualnych i firm można złapać na taki zabieg. Statystycznie rzecz ujmując, najbardziej wrażliwe są komputery z systemem Windows. Stanowią po prostu najbardziej rozpowszechnioną grupę urządzeń użytku osobistego. Jak powiedział w marcu 2012 roku Robert Mueller, dyrektor FBI:
Na świecie istnieją tylko dwa rodzaje firm – te, które już zostały zaatakowane i te, które dopiero zaatakowane zostaną.
Zainfekowana grupa komputerów określana jest najczęściej mianem botnetu. Swoistej siatki, jak sama nazwa wskazuje. Według styczniowego raportu firmy Check Point w 63 procent firm i organizacji na całym świecie wykryto boty różnego rodzaju. Złośliwe oprogramowanie przejmuje faktyczną kontrolę nad pecetem i neutralizuje antywirusa, czyniąc zlokalizowanie takiego pliku prawie niemożliwym. Malware potrafi przez dłuższy czas pozostawać w stanie uśpienia, by aktywować się dopiero po otrzymaniu komendy od systemu kontrolującego (określanego mianem Command & Control).
To prosta, ale diabelnie skuteczna metoda
Inicjowanie ataku nie jest wcale najbardziej wymagającym elementem Distributed Denial-of-Service. Głównie chodzi o napisanie wyżej wymienionego malware’u i późniejszą, skuteczną jego dystrybucję.
Większość komputerów zarządzających botnetami znajduje się na terenie Stanów Zjednoczonych. Urządzenia Command & Control w ponad połowie przypadków zlokalizowane są w USA, na drugim miejscu znajdują się Niemcy (z wynikiem ledwo 9 procent).
Celem DDoS jest zablokowanie serwera instytucji, firmy czy organizacji. Zwykły sabotaż, który zazwyczaj służy wyłącznie uniemożliwieniu dalszego ruchu na stronie. W ten właśnie sposób neutralizowano ostatnio Allegro, serwisy grupy BRE Bank i firmy polegające na usługach chmury Oktawave. Jeszcze do niedawna najbardziej znanym przykładem ataku był tzw. wirus Mydoom, który w 2004 „unieszkodliwił” kolejno serwery firmy SCO oraz Microsoft.
W 2006 z podobnymi problemami borykała się Gazeta.pl, rok później serwis Policja.pl.
Od 17 maja 2007 przeprowadzano z kolei wielki atak na Estonię, blokując w efekcie serwery i strony Zgromadzenia Państwowego, agend rządowych, banków i rozmaitych mediów. Nie będzie przesadą przyznanie, iż udało się wówczas zablokować ogromną część sieci w całym kraju.
2010 rok to z kolei afera związana z podrzuconym do irańskiej elektrowni robakiem Stuxnet. Malware było zainstalowany na pendrive’ie. W marcu 2013 roku można było przeczytać o największym ataku DDoS w historii, którego skutki można odczuwalne były w niemalże każdym państwie. Walka wybuchła między dbającą o eliminowanie spamu organizacją Spamhaus, a holenderską serwerownią Cyberbunker. Według niezależnych ekspertów z University of Surrey siła ataku przekraczała 300 gigabitów na sekundę, podczas gdy do tej pory za najmocniejsze uważano ataki rzędu 100 Gb/s, a standardowe działania wymierzone w banki nie przekraczały 50 Gb/s.
Witalij Kamluk z Kaspersky Lab tłumaczył niedawno na łamach Huffington Post, że:
Ataki DDoS o takiej skali mogą wpływać na zwykłych użytkowników pracujących na niezainfekowanych, nienależących do botnetu komputerach. Typowym symptomem jest ogólne spowolnienie transferu, bez wyraźnej przyczyny.
Jak Holendrom udało się przeprowadzić taką akcję? Spamhaus ma serwery zarówno w Londynie, jak i w Genewie, dlatego było nieco prościej Cyberbunkerowi inżynierować atak w taki sposób, by sprawiał wrażenie zapytań DNS wychodzących z jednostek należących do sieci Spamhaus. Do tego doszły zapewne porozrzucane po całym świecie botnety i katastrofa gotowa.
DoS a DDoS
Denial-of-Service i Distributed Denial-of-Service. Cel obydwu działań jest ten sam – chodzi o unieszkodliwienie serwera ofiary, usługi, strony. DDoS jest po prostu zmasowaną formą ataku DoS, koncentrującą się na jego przeprowadzaniu z wielu różnych, często oddalonych od siebie miejsc.
DDoS pojawiło się w momencie, gdy indywidualne ataki DoS przestały mieć znaczenie. Oczywiście, małą, skromną stronę da się w ten sposób wyłączyć, jednak ataki przeprowadzane na większe instytucje wymagają już ruchu zwielokrotnionego.
Kto atakuje? Jak się bronić?
Nie wiadomo. Wykrycie sprawców jest praktycznie niemożliwe, z racji na niezwykle dużą ilość indywidualnych adresów IP porozrzucanych po całym świecie. Organizator ataku werbuje komputery z każdego kontynentu, a ustalenie źródła należy do zadań zupełnie awykonalnych. Inicjatorami DDoS mogą być pojedyncze osoby, grupy cyberprzestępcze – trudno tu o regułę. Relatywnie nowym trendem jest możliwość zamówienia sobie własnego ataku i wskazanie celu; wystarczy zapłacić, czasem nawet niewielką sumę, i obserwować niszczące efekty zlecenia.
Firmy bronią się przed atakami Distributed Denial-of-Service na rozmaite sposoby. Drobne podejścia da się odeprzeć bez większych wysiłków – problemy pojawiają się przy scentralizowanych akcjach. Pomagają urządzenia typu DDoS Protector, które należy postawić bezpośrednio za routerem (routerami), a przed firewallem. Taki sprzęt jest w stanie wychwycić i odseparować adresy podejrzewane o możliwość udziału w ataku, blokując ruch „niezdrowy”, a przepuszczając ten właściwy. Zadaniem Protectorów jest niedopuszczenie do unieruchomienia serwerów, jednak nawet takie dedykowane rozwiązanie ma ograniczoną przepustowość. Gdy ta zostanie w pełni wykorzystana – serwer pada. Należy przy tym wziąć na poprawkę fakt, iż tego typu, zaawansowane sprzęty potrafią być dość drogie (ok. 20 tysięcy dolarów za urządzenia klasy enterprise to rynkowy standard).
Nawet zlokalizowanie większości adresów IP nie oznacza końca ataku, bo po ich odfiltrowaniu przestępcy mogą uaktywnić robaka na kolejnych komputerach-zombie. Dobrze skonstruowany program jest dynamiczny – raz atakuje, raz odpoczywa, raz się ukrywa jako zwykły, grzecznie odwiedzający stronę użytkownik. Dlatego też prawdziwa obrona przed DDoS jest obecnie praktycznie niemożliwa, o ile oczywiście po drugiej stronie mamy do czynienia z profesjonalistami.
Zainteresował Cię artykuł? Zobacz też inne maniaKalne felietony.
Lubi wszystko, co z technologiami związane, nie znosi mówić o sobie i nie wyobraża sobie życia bez klawiatury. Od dawna regularnie pisze dla maniaKalnych CzytelniKów, jego teksty znajdziecie również na łamach Świata Obrazu. Prywatnie – dumny tata przemądrzałej córki.
Niektóre odnośniki na stronie to linki reklamowe.
 |
Tematyka: Ciekawostki, Felietony, Sieci i komunikacja Tagi: bezpieczeństwo, DDoS, DoS, firewall, włamania, zabezpieczenia Podobne: bezpieczeństwo, zabezpieczenia, DDoS, DoS, firewall, włamania |
Panie Janie 😉 Osobiscie nie zamierzam posiadac robak rządowego w moim komputerze. W dzisiejszych czasach i tak nasza władza nazbyt interesuje sie tym co robimy w sieci, z kim rozmawiamy, o ktorej, gdzie itp itd. Nie wiem czy drodzy czytelnicy zdaja sobie sprawe ale wg. ostatniego raportu USA (tvn24.pl/wiadomosci-ze-swiata,2/raport-usa-krytykuje-polske-seria-zarzutow,319877.html-wybaczcie za spam, ale wrzucam podkladke) Polska bardzo czesto „wbrew prawu” podsluchuje nasze rozmowy tel, ruch sieciowy – bez wymaganej decyzji sadu.
„Wśród głównych problemów praw człowieka raport wymienia „nieskuteczny wymiar sprawiedliwości oraz powolne procedury sądowe”. Ponadto, dodaje raport, zgodnie z najnowszymi danymi wzrosło nieuregulowane prawnie zjawisko monitorowania przez organy rządowe połączeń telefonicznych (miejsca oraz między jakimi numerami rozmowa się odbywa) bez nadzoru sądowego.” – tvn24.pl
W Europie jestesmy na czele panstw, ktorych obywatele sa nagminnie inwigilowani. Narusza to nasza wolnosc/prywatnosc.
Wracajac do tematu ataki DoS/DDoS to arcyprzemyslany sposob okazywania swojego niezadowolenia wobec poczynan wielu instytucji i firm w naszym otoczeniu. To czego nie mozemy fizycznie wyrazic (my maluczcy), mozemy przekazac wlasnie droga elektroniczna dzieki zasobom sieci. Nie oszukujmy sie. Bez przyczyny firmy nie staja sie celem atakow. Banki przeskrobaly sobie przez kryzys, ktory spowodowaly. Panstwa je utrzymuja, kiedy chyla sie ku upadkowi. Wielu dzialaczy w sieci to zauwaza i daje temu wyraz. Rzadu sa skorumpowane, a wielkie korporacje maja „gdzies” dobro ludzi, pracownikow – ogarniete sa rzadzem pieniadza i podazaja „po trupach do celu”. Byc moze niedlugo kazdy z nas bedzie mogl wykorzystac internet do okazania swojego niezadowolenia i przytęperuje tych „u góry”.
Autor dużo ciekawych rzeczy napisał i faktycznie w skrócie cały ten „atak” jest po prostu nagłym wzrostem ilości zapytań (tak jakby wszyscy chcieli wejść do pomieszczenia gdzie drzwi są liczone na max dwie-trzy osoby a pakuje się dziesięć, tylko pomnóżcie to przez „pierdyliard”) natomiast mnie zastanawia ta nieuchwytność. Skoro robak w komputerze zombie dostaje skądś rozkaz to może warto wyśledzić skąd ten rozkaz wuszedł? Na ten przykład, ja na miejscu policji czy innych służb, zwalczyłbym problem botnetu botnetem właśnie ale swoim. Wykorzystałbym do tego celu umowę z samym microsoftem lub twórcami najpopularniejszych antywirusów i każdy komputer byłby siedliskiem nie tylko robaka cyberprzestępcy ale też robaka służb do tego upoważnionych. Robak byłby wrażliwy na komendy wybranego typu, uaktywniające kolegę przestępcę i je śledził. Pojedynczo byłoby to pewnie mało skuteczne ale już na masową skalę mogłoby być uciążliwe dla samego „haksora”. Nawet jeśli serwer byłby tylko jednym z przekierowań to by mu kładło ten serwer i dupa z ataku. Jakoś tak po prostu nie uważam że nie można się przed tym obronić tylko trzeba włożyć w obronę tyle samo czasu i pracy co atakujący. In my humble opinion oczywiście bo nie jestem programistą ale prosta logika mi to podpowiada.