Internet ogłuszony

Niedawna fala ataków na znane internetowe serwisy uświadomiła wszystkim, jak niedoskonała jest obecna infrastruktura Internetu.

Niedawna fala ataków na znane internetowe serwisy uświadomiła wszystkim, jak niedoskonała jest obecna infrastruktura Internetu.

Jeśli na 2 godziny przestanie być dostępny serwis Wirtualna Polska czy Onet.pl, zapewne zirytuje to użytkowników tych portali. Trudno jednak oczekiwać, żeby ta informacja stała się wiadomością dziennika telewizyjnego. Gdy zaś na 2 godziny zniknie eBay czy Yahoo!, jest to tematem dnia. Internet w USA stał się bowiem już istotną częścią gospodarki. Prowadzone przez kilka dni ataki na popularne serwisy internetowe pokazały więc na jak kruchych podstawach technologicznych opiera się tzw. nowa ekonomia. Janet Reno, prokurator generalny USA, uznała, że ataki miały na celu zakłócenie funkcjonowania handlu elektronicznego. Działania na pełną skalę rozpoczęło federalne biuro śledcze FBI. Na razie bez rezultatu.

Rynek internetowy zniósł ten atak zupełnie nieźle. Kursy akcji firm internetowych jedynie nieco się zachwiały (tracąc ok. 1 mld USD wartości na łącznej kapitalizacji spółek). Według ocen analityków z Yankee Group, faktyczne straty wynikające z niemożności prowadzenia handlu elektronicznego i wyświetlania reklam wyniosły ogółem ok. 100 mln USD.

Chwilowe uspokojenie sytuacji pozwoliło prezydentowi Billowi Clintonowi na stwierdzenie, że nie było to "elektroniczne Pearl Harbour".

Stare po nowemu

Atak przeprowadzono za pomocą narzędzi nowej generacji. Nie był to pojedynek pojedynczego hakera z zabezpieczonym serwerem, ale długo przygotowywana akcja, do której wykorzystano bliżej nie znaną liczbę komputerów podłączonych do Internetu.

U podstawy ataku leżało wykorzystanie technologii Denial-of-Service (DoS), czyli uniemożliwienia świadczenia usług. Serwer lub router internetowy zostają przeciążone olbrzymią liczbą fałszywych wywołań, w wyniku czego brakuje im pasma i mocy obliczeniowej, by obsługiwać użytkowników. Następnie przestaje działać cały system, a czas potrzebny na jego uruchomienie wydłuża przerwę w dostępności serwisu.

Już od kilku lat tego typu przeciążanie serwisów jest metodą ataków. Ataki typu DoS stanowią ok. 10% liczby wszystkich przypadków naruszeń bezpieczeństwa zgłaszanych do CERT (Computer Emergency and Response Team), międzynarodowej instytucji zajmującej się bezpieczeństwem w sieci. Nie sama forma ataku była więc zaskoczeniem, ale jego natężenie i koordynacja. W podobnym czasie zostało zaatakowanych kilka najpopularniejszych serwisów internetowych, których przerwy w pracy nie mogły pozostać nie zauważone.

Serwery, na których znajdują się zaatakowane serwisy, nie są banalnymi systemami. Przykładowo, serwis internetowy CNN jest prowadzony w rozproszonej strukturze serwerowej u 6 różnych usługodawców internetowych. Jego zabezpieczenia należą do najlepszych na świecie. Mimo to skala ataku była tak duża, że i ten serwis internetowy odnotował znaczne spowolnienie pracy przez kilka godzin.

Eksperci są zgodni, że nie ma łatwego i uniwersalnego rozwiązania pozwalającego na zabezpieczenie przed tego rodzaju atakami w najbliższej przyszłości. Można jedynie minimalizować zagrożenie. Serwery rezerwowe, zaawansowane rozwiązania do tworzenia kopii zapasowych pozwalają na ponowne uruchomienie serwisu w ciągu 2 godzin zamiast 2 dni.

Przyczyna tego stanu leży bowiem w słabości podstawowych technologii stosowanych w Internecie. Świadomość zagrożenia być może przyczyni się do szybszej niż obecnie migracji do nowego, znacznie bezpieczniejszego protokołu IPv6.

Kto za tym stoi?

Dzisiaj nawet nie wiadomo czy ataki są elementem działania pojedynczego hakera, kilku z nich czy też większej grupy. Inaczej niż w przypadku innych spektakularnych ataków na internetowe serwisy brakuje jakichkolwiek sygnałów o autorach podjętych akcji. Hakerzy zazwyczaj nie omieszkają informować o tym na grupach dyskusyjnych i stronach WWW czytanych w środowiskach spec-jalistów, zajmujących się bezpieczeństwem Internetu. Przypuszcza się jedynie, że było to zamierzone działanie sieciowych anarchistów, którzy w ten sposób chcieli zaprotestować przeciwko postępującej komercjalizacji Internetu.

Znalezienie autorów ataku może być trudne. Internet nie jest siecią telefoniczną, gdzie stosunkowo łatwo namierzyć konkretnego abonenta. Chociaż stwierdzono, że niedawny atak DoS pochodził z ośrodków informatycznych dwóch kalifornijskich uniwersytetów, wiadomo jedynie, iż znajdujące się tam komputery zostały wykorzystane jako bezpośrednie narzędzie ataku, którym mógł sterować ktoś znajdujący się w innym miejscu.

Niektórzy twierdzą, że przeprowadzone ataki DoS nie wymagały szczególnej wiedzy, potrzebnej do nie autoryzowanego wejścia do systemu. Wystarczyło dysponowanie odpowiednim narzędziem - programami, które można znaleźć w Internecie. Jeden z ekspertów od bezpieczeństwa sieciowego jednoznacznie skwitował tę sytuację: "To tak, jakby w ręce dzieci oddać elektroniczne kałasznikowy". Chris Tucker, członek znanej hakerskiej grupy Cult of the Dead Cow, dodaje: "To nie było włamanie, tylko wandalizm. To nie hakerzy, tylko wandale". Nie do końca jest to prawda.

Każdy może być współwinny

W ostatnich atakach zastosowano narzędzia nowej generacji, pozwalające na prowadzenie ataku rozproszonego. Narzędzia te są powszechnie znane zaledwie od kilku tygodni. W Internecie dostępne są cztery programy pozwalające na rozproszony atak DoS (Trin00, Tribal Flood Network, Sachel-dracht i TFN2K).

Narzędzia te działają poprzez programy klienckie, które są instalowane jako konie trojańskie na komputerach podłączonych do Internetu. Użytkownik takiego komputera może nie być świadomy tego, że na jego komputerze znajduje się narzędzie, które uaktywnione sygnałem wysłanym przez inny komputer (być może także kontrolowanym przez kolejny komputer) rozpoczyna niszczycielską pracę, blokując działanie serwerów i routerów. Oznacza to, iż w wielu firmach, instytucjach czy uczelniach znajdują się komputery wykorzystywane (bez wiedzy administratorów znajdujących się tam sieci) do prowadzenia cyberprzestępstw. To z kolei każe zwrócić uwagę na częściową odpowiedzialność administratorów za prowadzone ataki, nie zabezpieczyli oni bowiem należycie sprzętu.

Takich zainfekowanych komputerów, tworzących sieć typu master/slave, mogą być setki czy nawet tysiące.

FBI upubliczniło oprogramowanie, za pomocą którego można sprawdzić, czy komputery znajdujące się we własnej sieci zostały w ten sposób spenetrowane. Przydatny może być także nowy dokument RFC 2267, opisujący podstawowe metody zapobiegania atakom typu DoS. Dostępne są również narzędzia pozwalające na wykrywanie tego typu ataków (http://www.fbi.gov/nipc/ welocome.htm).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200