Zarabiasz przez www? Uważaj na DDoS

Raport „Ataki DDoS w drugiej połowie 2011 roku” firmy Kaspersky Lab nie pozostawia złudzeń: DDoS jest coraz intensywniej i sprawniej wykorzystywany przez zwyczajnych przedsiębiorców, którzy w ten sposób powodują poważne straty u swoich konkurentów. Przedsiębiorcy korzystają z usług przestępców mających dostęp do botnetów – setek tysięcy kontrolowanych przez nich komputerów połączonych ze sobą i wykonującym ich rozkazy. Botnety składają się głównie z zainfekowanych komputerów Internautów, którzy często nie mają nawet pojęcia, że są jego częścią. Przykładowo, niedawno odkryto botnet składający się z ponad 600 tysięcy (!) maszyn, który wykorzystywał lukę w oprogramowaniu Mac Os X w celu zdobywania kolejnych komputerów „zombie”.

„Istnieje wiele metod, dzięki którym przestępca może zainfekować komputer Internauty – mówi Maciej Ziarek, Analityk zagrożeń z Kaspersky Lab Polska - Najczęściej zarażenie maszyny następuje w wyniku odwiedzenia spreparowanej lub zarażonej przez przestępców strony internetowej. Użytkownik może tam wejść dobrowolnie np. w trakcie poszukiwań pirackich kluczy i licencji do płatnego oprogramowania, ale może także zostać przekierowany na szkodliwą stronę. W drugim przypadku mamy do czynienia z tzw. phishingiem, który polega na manipulacji Internautą w taki sposób, by był przekonany, że otrzymany e-mail z linkiem pochodzi ze znanego portalu lub od renomowanej firmy. W rzeczywistości jednak to przestępca podszywa się pod nadawcę, a w momencie kliknięcia odsyłacza, następuje pobranie szkodliwego oprogramowania, które może przyłączyć komputer do botnetu.”

Następnie wystarczy, że przestępca skieruje uwagę botnetu na daną stronę internetową i np. każe wielokrotnie pobierać z niej jeden konkretny plik. W zależności od konfiguracji serwera, na którym znajduje się strona, i siły atakującego botnetu, następuje opóźnienie działania strony lub jej przeciążenie i zablokowanie na czas trwania ataku. W ten sposób nawzajem atakują się np. niektóre biura turystyczne w okresie wakacyjnym lub też właściciele sklepów internetowych w okresie przedświątecznym. Niestety, nie są to jedyne branże korzystające z DDoS.

Przedsiębiorstwa sprzedające swoje towary i usługi przez sieć należą do 25% atakowanych. Raport wyróżnia tutaj między innymi dwie wielkie fale ataków na strony biur podróży, które były najintensywniej atakowane w okresie letnich wakacji oraz Świąt Bożego Narodzenia i Nowego Roku. Wysoka konkurencja pomiędzy biurami turystycznymi popycha je do stosowania nielegalnych zagrywek. Nie trzeba tłumaczyć, jak duże straty może spowodować spowolnienie czy wyłączenie strony konkurencyjnego biura podróży w najbardziej dochodowym okresie w roku. Wzrost ataków DDoS nastąpił również w stosunku do stron oferujących... rezerwacje taksówek czy napełnianie kartridżów do drukarek. W tym przypadku atakom towarzyszyło również rozsyłanie masowych e-maili reklamujących te usługi, co świadczy o stosowaniu wyjątkowo nieuczciwej konkurencji przez niektóre firmy z tej branży.

Co zaskakujące, za pomocą DDoS atakują się również sami przestępcy. W ten sposób starają się zakłócić działanie stron konkurencji, na których oferowane są nielegalne usługi, np. pomoc w wykradaniu informacji z kart kredytowych, sprzedaż skradzionych danych czy też dostępu do wirtualnych sieci VPN, pozwalających na anonimowe korzystanie z internetu. W drugiej połowie 2011 roku najwięcej, bo aż 384 ataków DDoS, odnotowano na stronie oferującej podrobione dokumenty.

Za pomocą ataków DDoS konkurencję chciał pokonać Paweł Wrublewski, prezes rosyjskiej firmy świadczącej usługi płatności sieciowej ChronoPay. Zlecił on atak na serwery firmy Assist, właściciela konkurencyjnej usługi. Atak spowodował zakłócenia w jej działaniu i w wyniku tego utratę jednego z ważnych klientów firmy – największych rosyjskich linii lotniczych Aeroloft. Paweł Wrublewski został wyśledzony oraz przyznał się do zorganizowania ataku. Postawiono mu dwa zarzuty z Rosyjskiego Kodeksu Kryminalnego, za które grozi mu w sumie 7 lat więzienia. Podobny los spotkał 29-latka z Chin. Był on graczem na giełdzie papierów wartościowych w Hong Kongu. Strona www giełdy została pod koniec sierpnia zaatakowana przez botnet, w efekcie czego podstrona podająca informację o największych podmiotach na giełdzie była niedostępna przez ponad dzień. Spowodowało to zawieszenie handlu akcjami siedmiu potężnych spółek oraz pozycjami od nich zależnymi. Zakrojone na szeroką skalę dochodzenie postawiło nieuczciwego 29-latka przed perspektywą spędzenia pięciu lat w więzieniu za dokonanie ataku DDoS na piątą pod względem wielkości giełdę na świecie.

„Zgodnie z art. 268a § 1 kodeksu karnego (dalej jako kk) kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Jednak w przypadku, gdy poprzez tego typu działania zostanie wyrządzona znaczna szkoda majątkowa, sprawca podlega karze pozbawienia wolności od 3 miesięcy do lat 5 (tak art. 268 a § 2 kk). Aby organy ścigania mogły rozpocząć swoją pracę ofiara takiego ataku musi złożyć tzw. wniosek o ściganie.” – mówi mecenas Monika Brzozowska z kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy specjalizującej się m.in. w tego typu zagadnieniach.

Maksymalna i średnia moc ataków wzrosły o kilkadziesiąt procent w porównaniu z drugim kwartałem roku 2011. Maksymalna moc ataku w drugiej połowie 2011 roku wzrosła o 20%, co równa się 600Mb/s żądań przesyłanych do serwera w niewielkich pakietach po 64 bity. Aż o 57% wzrosła średnia moc ataków, dochodząc do 110Mb/s. Wyraźnie wskazuje to na popularyzację działań DDoS w krótkim czasie. Przestraszyć może również czas ich trwania. Rekordowy trwał niemal 81 dni (atakowano serwis biura podróży), a średni czas ataku wynosił nieco ponad 9 godzin. Największa aktywność botnetów notowana była w godzinach od 14 do 23, na które przypada największy ruch w sieci, niezależnie od strefy czasowej. Przestępcy starają się w ten sposób zadać atakowanym jak najdotkliwsze straty.

Powstają również nowe metody przeprowadzania ataków DDoS, wykorzystujące luki w oprogramowaniu serwerów, czy też certyfikaty szyfrowania SSL, służące do bezpiecznego przeglądania danej strony, używane między innymi przez banki czy portale aukcyjne. Odkryto nawet dwa sposoby na przeprowadzanie ataków za pomocą podstron serwisu społecznościowego Google Plus. Jeden z nich został zablokowany, drugi według raportu pozostaje dostępny, gdyż atak za jego pośrednictwem może zostać w prosty sposób powstrzymany.

Za pomocą DDoS zaatakowano cele w 201 państwach. 90% mocy ataków pochodziło tylko z 23 krajów. Na pierwszym miejscu atakujących jest Rosja (16%), za nią Ukraina (12%). Z Polski pochodzi 4% ruchu DDoS, co daje nam wysokie, piąte miejsce na świecie na równi z trzema innymi krajami.

Autorzy raportu przewidują wzrost botnetów średniej wielkości oraz stopnia ich skomplikowania, które będą łączone w większe sieci, aby blokować wybrane strony. Ponadto, przestępcy szukają sposobów na przeprowadzanie DDoS bez ciężkich w zarządzaniu botnetów. Dlatego można założyć, że ataki te nie ustaną, a prawdopodobne jest, że ich skala i precyzja wzrośnie.

Wnioski płynące z raportu mogą niepokoić, jednak nie musimy wpadać w panikę. Warto wiedzieć jak się obronić. Rad udziela Piotr Konieczny z niebezpiecznik.pl, serwisu zajmującego się tematyką bezpieczeństwa komputerowego:

„Pierwszy krok dotyczący ochrony infrastruktury IT przed atakami internetowymi (i nie ma tu znaczenia, czy chodzi o DDoS czy o zwykły SQL injection) należy wykonać jeszcze na długo przed potencjalnym incydentem. Krokiem tym jest analiza ryzyka. Nie ma bowiem idealnych i uniwersalnych środków ochrony przed atakami - każde środowisko jest inne. Dopiero po tzw. wycenie zasobów, zidentyfikowaniu wszystkich potencjalnych zagrożeń i zdobyciu informacji na temat budżetu jakim dysponujemy na obronę, można zacząć poważnie myśleć o odpowiednim dobraniu metod i środków ochrony naszej sieci i systemów.

Ochrona przed atakami DDoS jest o tyle trudna dla małych firm, że jej skuteczność jest wprost proporcjonalna do kosztu. Przed "nadmiarowym ruchem", bo tak można określić ataki DDoS, skutecznie obronimy się poprzez zwiększenie przepustowości łącza internetowego i mocy obliczeniowej serwera -- jednak nie każda firma może sobie pozwolić na skalowanie tych zasobów w nieskończoność...

Warto więc stworzyć listę polskich klas IP, która posłuży jako filtr na routerze brzegowym w trakcie ataku (botnety w większości posiadają swoje końcówki poza Polską -- dopuszczenie do atakowanego serwera tylko rodaków pozwoli ograniczyć skutki ataku, ale ma też swój minus -- odetnie nas od zagranicznych klientów i Polaków na emigracji).

Alternatywnie, można rozważyć stosunkowo tanie lub nawet darmowe usługi CDN (Content Delivery Network), które pozwalają rozdystrybuować naszą stronę internetową (np. obrazki, skrypty) na wiele szybkich serwerów zlokalizowanych w różnych częściach świata. I tak atakujący z Chin, będą atakowali chiński serwer, a atakujący z Niemiec niemiecki -- w tym samym czasie Francuzi dalej będą mogli oglądać naszą stronę pobierając ją z francuskiego serwera.

Pamiętajmy także o tym, aby odseparować serwis internetowy od serwera pocztowego -- jeśli obie usługi znajdują się fizycznie na tym samym serwerze, to w trakcie ataku DDoS na stronę WWW (najczęstszy rodzaj ataku DDoS) nasza poczta także przestanie działać, a my nie będziemy nawet w stanie poinformować swoich klientów o ew. przestoju w sprzedaży. Istnieje wiele sposobów na darmowy i wydajny hosting swojej poczty internetowej.

Przyzwyczajmy również naszych klientów do alternatywnych kanałów komunikacji. Kiedy z jakiegoś powodu awarii ulegnie serwer WWW, klienci powinni wiedzieć, że można nas także znaleźć na Facebooku lub Twitterze. Kiedy strona TVN24 przestała działać, stacja dalej publikowała wiadomości na swoim facebookowym profilu.

Na koniec, pamiętajmy, że atak DoS (Denial of Service) aby był skuteczny, wcale nie musi wymagać wielu atakujących. Błędnie i nieoptymalnie stworzony serwis internetowy może zostać "zawieszony" przez jednego użytkownika przy pomocy tylko i wyłącznie przeglądarki internetowej. Dlatego warto zadbać o to, aby tworzone na zamówienie webaplikacje poddawane były regularnym testom bezpieczeństwa przez wykwalifikowany zespół.”