Strzeż się DDoS!

Zagrożenie spowodowane atakami typu Denial of Service (DoS) jest znacznie większe, niż początkowo zakładano. Czy polskie firmy i instytucje także są narażone na tego typu akty cyberwandalizmu?

Zagrożenie spowodowane atakami typu Denial of Service (DoS) jest znacznie większe, niż początkowo zakładano. Czy polskie firmy i instytucje także są narażone na tego typu akty cyberwandalizmu?

Alarmujące raporty firm i organizacji zajmujących się bezpieczeństwem w Internecie pokazują, że zagrożenie spowodowane atakami typu Denial of Service (DoS) jest znacznie większe, niż początkowo zakładano. Przykładowo, wyniki badań grupy naukowców z Uniwersytetu Kalifornijskiego w San Diego mówią niekiedy o prawie 15 tys. takich ataków miesięcznie. Jeden z autorów raportu, Stefan Savage, stwierdził: "Ataki DoS stają się coraz bardziej popularne. Jednocześnie zwiększa się ich skuteczność, osiągając poziom, którego zagrożone nimi firmy i instytucje nie brały dotąd pod uwagę".

Statystyki CERT dotyczące naruszeń bezpieczeństwa teleinformatycznego w Polsce w 2000r.

Polski oddział Computer Emergency Response Team odnotował w 2000 roku 192 przypadki naruszenia bezpieczeństwa teleinformatycznego (PNBT). Największy odsetek PNBT stanowiły próby włamania do systemów - 19% (24 przypadki). Odnotowano taki sam udział procentowy włamań i skanowania hostów (15%, 19). Poniżej zestawienie wszystkich typów PNBT:

Próba włamania do systemu - 19% (24)

Włamanie do systemu - 15% (19)

Skanowanie hosta - 15% (19)

Skanowanie sieci - 13% (17)

Ataki DoS (ang. Denial of Service) - 13% (16)

Ataki na WWW serwer (podmiana strony) - 6% (8)

Mail bombing - 5% (6)

Skanowanie firewall - 3% (4)

Inne (nielegalne oprogramowanie, social engineering) - 10% (13)

Wszystkie przypadki skanowania (host, firewall, sieć) stanowią łącznie blisko 32% wszystkich PNBT i jako łączna kategoria zdecydowanie wysuwają się na czoło klasyfikacji.

Głównym źródłem odnotowanych ataków były sieci nadzorowane przez ośrodki edukacyjne, takie jak wyższe uczelnie, szkoły (głównie szkoły średnie) oraz instytuty naukowe. Łącznie wszystkie te ośrodki stanowiły 42% (53) źródeł odnotowanych PNBT.

Źródłem 29% (36) PNBT był intruz korzystający z zasobów dostawcy usług internetowych, z czego około 9% powiązanych było z adresami IP ogólnie dostępnej sieci publicznej. 15% (19) PNBT powiązanych było z kontem firmowym jako źródłem ataku. 7% (9) stanowiły przypadki, w których nie ustalono źródła ataku.

Anatomia ataku

Atak typu Denial of Service polega na wysłaniu do serwera-ofiary bardzo dużej liczby zapytań (np. kilku tysięcy odwołań do tej samej strony internetowej). Powoduje to przeciążenie i znaczne spowolnienie pracy atakowanego serwera lub zawieszenie pojedynczej usługi sieciowej. W wielu przypadkach atak taki prowadzi do zawieszenia serwera. DoS jest jednak metodą dość prymitywną. Dzięki temu, że atak jest dokonywany z pojedynczego komputera, zlokalizowanie sprawcy sprowadza się do określenia jego numeru IP. Reszta należy do organów ścigania.

Niestety, istnieje także ulepszona wersja DoS - metoda o nazwie Distributed Denial of Service (DDoS). W tym przypadku do wysyłania odwołań do serwera wykorzystuje się nie pojedynczy komputer, ale setki lub nawet tysiące maszyn. Zagrożenie wynikające z tego typu ataku jest nieporównywalnie większe niż w przypadku zwykłego DoS. Przede wszystkim liczba odwołań wysyłanych do serwera z np. tysiąca komputerów jednocześnie jest tysiąc razy większa niż w przypadku pojedynczego komputera. Sprawca ataku może czuć się o wiele pewniej, jego komputer bowiem nie uczestniczy bezpośrednio w ataku. Służy on jedynie do uruchomienia odpowiednio przygotowanego skryptu, który po uprzednim zainstalowaniu na przypadkowych komputerach rozpoczyna zsynchronizowany atak z wielu miejsc jednocześnie. Użytkownicy maszyn zainfekowanych takim wirusopodobnym skryptem natomiast nie zdają sobie sprawy, że ich komputery zostały wykorzystane do nielegalnych celów. Niektóre ze skryptów po zakończeniu ataku mogą samoczynnie odinstalować się - w ten sposób usuwane są wszelkie ślady jego obecności w systemie.

Typowy atak DDoS wymaga obecności czterech elementów: atakującego (attacker), węzłów głównych (master node), "żołnierzy" (daemon node) oraz ofiary (victim). Przebieg ataku jest następujący: atakujący wysyła sygnał rozpoczęcia "natarcia" do węzłów głównych. Zwykle jest ich kilka, w razie gdyby któryś zawiódł. Te z kolei uruchamiają i koordynują właściwy atak. Wszyscy "żołnierze" jednocześnie żądają od serwera-ofiary np. wyświetlenia konkretnej strony. Zwykle do tego celu wybierana jest strona o dość skomplikowanej strukturze, która wymusza wykonanie skomplikowanych obliczeń po stronie serwera. Ułatwia to zawieszenie systemu będącego celem ataku.

Gdy wiosną ub.r. ofiarą DDoS padły największe amerykańskie serwisy internetowe, m.in. Yahoo!, Amazon.com, CNN.com, eBay.com, Buy.com, ETrade.com czy ZDnet.com, wszyscy zastanawiali się, jak tacy giganci internetowi mogli skapitulować przed cyberwandalami. Przyczyna okazała się prosta. Mimo że metoda DDoS była już od dłuższego czasu znana, to do tamtej pory nigdy nie zastosowano ją na tak dużą skalę. Portal Yahoo! oceniał straty spowodowane trzygodzinną przerwą w działaniu na kilka milionów dolarów. W związku z tym nasuwa się pytanie: po co ktoś zadaje sobie tyle trudu tylko po to, by spowodować straty, nawet tak wielkie, bez wymiernych korzyści dla siebie? Odpowiedź jest prosta: taka osoba jest wandalem. A zważywszy na środowisko, w jakim akt wandalizmu jest przeprowadzany, można go nazwać cyberwandalem.

Bezpieczna Polska?

Według większości osób zapytanych o zagrożenie cyberwandalizmem w Polsce sytuacja wygląda pod tym względem znacznie lepiej niż np. w USA. Wynika to przede wszystkim z faktu, że polscy hakerzy to w większości kilkunastolatki. Po znalezieniu w Sieci odpowiednich programów postanawiają spróbować swoich sił w bojach z administratorami. Zwykle jednak nie dysponują umiejętnościami wystarczającymi do tego, by z takich bojów wychodzić zwycięsko. Takie jest zdanie m.in. Grzegorza Janoszki, administratora sieci i bezpieczeństwa systemów w portalu Onet.pl. Nie znaczy to jednak, że serwery portali i innych firm działających w Internecie są całkowicie bezpieczne. Grzegorz Janoszka twierdzi, że raz na jakiś czas zdarzają się próby ataków, które stwarzają realne zagrożenie bezpieczeństwa zasobów portalu. Jednak jak twierdzi, do tej pory administratorzy sieci w Onecie wychodzili z tych potyczek zwycięsko.

Szef działu bezpieczeństwa Onetu dodaje jednocześnie, że portale internetowe nie są ulubionym celem ataków hakerów. Wynika to z tego, że rodzime ataki najczęściej są dość prymitywne i polegają na podmienianiu zawartości stron internetowych. W przypadku portali na niewiele się to zdaje, gdyż ich strony są w przeważającej części stronami dynamicznymi. Oznacza to, iż ich zawartość może zmieniać się nawet co kilka minut. Dlatego nawet jeśli np. włamywaczowi uda się podmienić zawartość głównej strony portalu, to w zmienionej postaci będzie ona bardzo krótko dostępna na serwerze.

Zdanie Grzegorza Janoszki podziela Marek Dudek, kierownik działu bezpieczeństwa w Centrum Systemów Teleinformatycznych Polpak. Twierdzi on, że serwery portali, podobnie jak banków i instytucji państwowych, są w większości bardzo dobrze zabezpieczone, a ich administratorzy to osoby, które doskonale wiedzą, jak uchronić systemy przed atakami. Zdaniem Marka Dudka najgorzej sytuacja przedstawia się w przypadku małych i średnich firm prywatnych. Ich właściciele często podejmują decyzję o zaistnieniu w Internecie, kupują serwer, uruchamiają go i... pozostawiają bez opieki w przekonaniu, że ich dane są całkowicie bezpieczne.


Zobacz również