Zmasowane ataki niosą wielkie straty

Chociaż ataki hakerskie powodują straty wizerunkowe w firmach, o wiele bardziej szkodliwe dla organizacji są skoordynowane ataki odmowy obsługi.

Jednym z przejawów aktywności hakerskiej są włamania do serwisów internetowych atakowanych podmiotów. Podmiana zawartości strony jest widowiskowa, ale zazwyczaj nie przynosi poważnych skutków, poza chwilową utratą wizerunku organizacji. Sam efekt psychologiczny jest niezbyt silny, gdyż zazwyczaj podmieniona strona jest szybko naprawiana, ponadto łatwo znaleźć sprawców. Działania są podejmowane ad hoc, ich szkodliwość jest niewielka. O wiele groźniejsze są skoordynowane ataki odmowy obsługi wykonywane za pomocą prostych środków z bardzo wielu komputerów, blokując na długi czas dostęp do stron internetowych. Ataki te są wykorzystywane do różnych celów - od manifestacji poglądów, przez walkę konkurencyjną, aż do cyberwojny przeciw organizacjom z konkretnych krajów.

Grupa niezadowolonych

Najprostszym przypadkiem jest atak podjęty przez grupę niezadowolonych sieciowych aktywistów. Wykorzystywane przez nich narzędzia są proste w obsłudze, działają w typowym desktopowym środowisku Windows XP i rzadko są koordynowane w sposób programowy, chociaż niektóre mają taką możliwość. Koordynowanie ataków może odbywać się za pomocą komunikacji międzyludzkiej (informacje na forach dyskusyjnych, wiadomości w serwisach społecznościowych, takich jak Twitter czy Facebook) albo automatycznie, już na drodze w pełni elektronicznej. Tę drugą możliwość dają nawet popularne narzędzia, takie jak Low Orbit Ion Cannon (LOIC) - można na nich włączyć zarządzanie atakami za pomocą komend rozpowszechnianych w kanałach IRC (Internet Relay Chat, opcja ta nazywa się HiveMind i wymaga podania adresu serwera IRC). W ten sposób organizowane są protesty internetowe, ostatnim z nich było wyłączenie serwisów rządowych w naszym kraju związane z protestami i chęcią nagłośnienia sprawy związanej z dokumentem ACTA. Pomimo swojej prostoty LOIC jest bardzo silnym narzędziem, które w rękach licznej, niezadowolonej grupy internautów może zablokować praktycznie każdy serwis, gdyż wymagane jest tylko osiągnięcie masy krytycznej sieciowych aktywistów.

Botnet atakuje

Przy atakach odmowy obsługi podstawowym problemem po stronie atakującego jest zapewnienie dostatecznej skali ataku. Atak odmowy obsługi kierowany przez cyberprzestępców charakteryzuje się dużą skalą, gdyż mogą oni wykorzystać botnety - sieci przejętych komputerów domowych - wraz z odpowiednim oprogramowaniem (gtbot, evilbot, sdbot). Dostępny jest także model usługowy (attack as a service), cena zależy od skali. W przypadku niewielkich serwisów nie przekracza 50 USD za dobę, ale przy dużych portalach atak wymaga znacznie większych środków, więc cena rośnie - od trzech lat są to już tysiące dolarów za dobę (źródło: raporty firm Verisign oraz Kaspersky Lab). Zleceniodawcą skoordynowanych ataków niekoniecznie jest przestępca lub konkurencja, odnotowano już przypadki, gdy działania takie podejmują agencje rządowe, oczywiście w nieoficjalny sposób. Podejrzewa się, że właśnie rosyjskie agencje stały za atakiem wymierzonym przeciw Gruzji, portalowi Gazeta.pl czy wyłączeniu portalu LiveJournal w kwietniu 2011.

Jak walczyć z DDoS

Powstałe w ten sposób armie komputerów atakujących docelowy serwis generują na tyle duże pasmo, że powodują zablokowanie łączy od dostawców internetowych do serwerów i przeciążenie serwerów WWW obsługujących dany serwis. O ile możliwe jest odfiltrowanie na zaporze sieciowej przynajmniej części ataków wykorzystujących proste połączenia UDP, nie zawsze się to udaje w przypadku bardziej zaawansowanych połączeń. Lepszym narzędziem jest filtrowanie za pomocą urządzeń IPS, wyposażonych w moduły statystycznej analizy ruchu (to potrafi na przykład IPS firmy McAfee), ale urządzenia takie wymagają wytrenowania modułu analizy sieci, zatem podejmują działania dopiero po pewnym czasie od instalacji. Istotną pomoc w analizie i blokowaniu ruchu przynoszą zapory i urządzenia IPS działające w warstwie aplikacji wyposażone w moduł ochrony przed atakami odmowy obsługi, umożliwiając odrzucenie połączeń z poprawną treścią, ale złymi zamiarami. Nie mogą one jednak zapobiec zablokowaniu łączy od dostawcy sieci do operatora portalu.

Czarna dziura lub filtr

Operatorzy internetowi stosują technologię BGP blackholing, która umożliwia przekierowanie niepożądanego ruchu do "czarnej dziury", czyli interfejsu null lub nieistniejącego serwera. Nie umożliwia ona sprawnego blokowania ataków DDoS, gdyż nadal jest zbyt mało selektywna. O wiele skuteczniejszy jest sinkholing - połączenie mechanizmu przekierowującego ruch z oczyszczaniem go z elementów generowanych przez zombie należące do botnetu. Przykładem rozwiązań, które to umożliwiają, jest para urządzeń Cisco Guard i Traffic Anomaly Detector oraz możliwość przenoszenia przez BGP informacji analogicznych kontroli dostępu, co z kolei pozwala na filtrowanie ruchu w routerach firmy Juniper. Mimo to najmocniejsze ataki nadal byłyby trudne do odfiltrowania tą drogą bez współpracy między operatorami telekomunikacyjnymi. Takim pomysłem jest rozwinięcie BGP blackholingu o współpracę między operatorami, by sieci tranzytowe, przez które dany atak jest prowadzony, przestały go przenosić, a te, w których jest rozpoczynany - inicjować i tłumić już na swoim brzegu. Liderem projektu BGP Blackholing PL jest Łukasz Bromirski. Na rynku są już usługi filtrowania ruchu DDoS świadczone komercyjnie przez firmy, takie jak: Appnor, Prolexic, Verisign czy Staminus Communications.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200