DDoS, czyli komputery-zombie atakują. Jak się przed nimi bronić?

Z czym zwykle kojarzy się nam atak hakerski? Przestępca włamuje się do infrastruktury krytycznej, wykrada z niej wrażliwe dane i sprzedaje na czarnym rynku. W ten sposób w lutym wykradziono 400 GB danych z serwerów ONZ. Ofiarą ataku hakerów z Wietnamu padł niedawno również nasz NBP. Na szczęście włamywacze zrobili to jedynie dla rozrywki i nie podmienili żadnych danych.

Są jednak jeszcze inne rodzaje ataków, kiedy celem jest wyłączenie jakiejś usługi z działania. To ataki typu DDoS (ang. Distributed Denial of Service).

Dodatek Distributed zyskał na znaczeniu dopiero w ciągu ostatnich dwóch dekad, kiedy internet stał się medium powszechnym. Wcześniej hakerzy ograniczali się bowiem najczęściej do jednego urządzenia wysyłającego zapytania.

Pierwszy atak tego typu miał miejsce już ponad 40 lat temu, kiedy 13-letni uczeń postanowił spłatać psikusa użytkownikom systemu PLATO (Programmed Logic for Automatic Teaching Operations). Użył do tego komendy external, która pozwalała na komunikację z innymi urządzeniami podłączonymi do terminali edukacyjnych.

Jeśli jednak nie było do niego podłączone żadne urządzenie, to terminal się zawieszał. Nastolatek opracował więc skrypt, który rozsyłał komendę do wszystkich urządzeń w sali komputerowej, efektywnie wywołując odmowę dostępu. Pomógł dopiero restart, a także późniejsze wyłączenie feralnej komendy. Sam winowajca nie został jednak wówczas namierzony. Zbrodnia idealna!

W bardziej nowożytnych czasach podobny patent można było wykorzystać w stosunku do internetowych forów. Te zawieszały się po otrzymaniu zbyt dużej liczby zapytań. Efektem było odłączenie również zwykłych użytkowników, którzy przeglądali ulubione wątki.

W miarę jak wzrastała liczba podłączonych do sieci urządzeń, zaczęły pojawiać się również nowe modele ataków – tym razem z wielu miejsc jednocześnie. Właśnie tak do akronimu dokooptowana została pierwsza literka.

Jeden z pierwszych tego typu ataków miał miejsce w 1999 roku w sieci komputerowej Uniwersytetu Minnesoty. Padła ona ofiarą ataku 114 komputerów, którymi sterował skrypt Trin00. Rezultatem była więc armia urządzeń-zombie, które wypełniały polecenia cyberprzestępcy. Ten najpierw komunikował się z linią komputerów „Masters”, aby następnie obserwować, jak polecenia przekazywane są do linii „Deamons”. To właśnie tu następowało zalewanie uniwersyteckiej sieci pakietami danych. Co ciekawe, użytkownicy przejętych komputerów mogli nawet nie wiedzieć, że ich maszyny wchodzą w skład botnetu, dyrygowanego przez hakera.

Dziś praktycznie każdy atak odmowy dostępu jest atakiem DDoS. W ten sposób grupa Anonymous atakowała strony polskich instytucji parlamentarnych i rządowych po podpisaniu porozumienia ACTA w 2012 roku. DDoS-u użyto również do zamaskowania ataku na serwery PlayStation. Celem hakerów było bowiem wykradzenie danych posiadaczy konsol, a botnet został użyty jako zasłona dymna.

Siła ataku DDoS jest mierzona ilością informacji wysyłanych przez sieć przejętych urządzeń. Mogą to być setki gigabajtów na sekundę, z którymi nie mogą sobie poradzić żadne serwery. Można się więc domyślać, że cyberprzestępcy szukali sposobów na zwiększenie efektywności swoich ataków. Wykorzystali więc fałszowanie pakietów IP (IP spoofing). Atakujący wysyła więc zapytanie do węzłów sieci, które następnie rozgłaszają je w całej domenie. Zapytanie jest sfałszowane w taki sposób, że komputery myślą, że jego autorem nie jest atakujący, a ofiara. I dlatego pakiety odpowiedzi wędrują do serwera, który wcale nie wysyłał zapytania.

Hakerzy wykorzystują tu słabości protokołów DNS, SNMP czy NTP.  W przypadku tego pierwszego odpowiedź jest 8-krotnie większa od zapytania, ale dla protokołu NTP różnica jest nawet 200-krotna. Wszystko to sprawia, że atakowane serwery wystawione są na ogromną próbę.

Internet Rzeczy powoli staje się faktem. Do sieci podłączamy telewizory, lodówki, pralki, kamery, parkometry, wiaty przystankowe czy nawet kosze na śmieci. Wszystkie one potencjalnie mogą zostać wcielone do botnetu. Jeśli zabezpieczenia urządzeń, którymi na co dzień się otaczamy, będą niewystarczające, to powtórzyć się może sytuacja z 2016 roku, kiedy odkryto botnet składający się z 25 tysięcy kamer internetowych. W październiku tego roku zerwał on dostęp do sieci na dużym obszarze wschodniego wybrzeża Stanów Zjednoczonych.

Rewolucja IoT postępuje na naszych oczach, ale jednocześnie musimy być przygotowani na to, aby stawić czoła cyberprzestępcom, chcącym wykorzystać je dla własnego dobra.

Exatel to polska firma, która od ponad 20 lat zajmuje się dostarczaniem bezpiecznych usług dla operatorów, biznesu i sektora publicznego. Ma ponad tysiąc klientów, w tym Ministerstwo Spraw Wewnętrznych i Administracji czy Ministerstwo Obrony Narodowej, a także banki, firmy energetyczne, duże międzynarodowe korporacje i innych operatorów.

Oprócz usług telekomunikacyjnych zajmuje się także cyberbezpieczeństwem. Jej głównym orężem do walki z atakami DDoS jest TAMA – autorskie rozwiązanie zbudowane w 2019 roku. To usługa, która dosłownie tamuje zapytania generowane przez atakujących. Narzędzie analizuje ruch w sposób ciągły. Jeśli wykryje nietypowe zdarzenie i zakwalifikuje je jako szkodliwe, to wkroczy do akcji. Przefiltruje ruch w taki sposób, że do sieci klienta trafią tylko bezpieczne zapytania.

W ten sposób firmy mogą zabezpieczyć się przed niechcianymi konsekwencjami ataków. Możemy sobie bowiem wyobrazić, jak dotkliwe może być odcięcie platformy bankowej – i to nie tylko dla finansów instytucji, ale również dla jej wizerunku.

*Partnerem artykułu jest Exatel.