DDoS – Distributed Denial of Service jest atakiem na usługę sieciową bądź cały system informatyczny, mającym na celu zajęcie wszystkich wolnych zasobów serwerowych. Przeprowadza się go z kilku komputerów i serwerów “zombie” tworzących w infrastrukturze ofiary tzw. botnety. Firmy doświadczające takiej aktywności często nie zdają sobie z tego sprawy, choć wywołuje ona szereg niepokojących objawów . Atak DDoS mogą zwiastować takie objawy, jak brak dostępności witryny internetowej lub wydłużony czas jej wczytywania, niespodziewany wzrost wiadomości spamowych, spadek wydajności sieci bądź długoterminowa odmowa dostępu do usług internetowych. Sygnałem ostrzegawczym powinien być też wzrost liczby zapytań do działów obsługi klienta. Jeśli stwierdzimy, że którakolwiek z wymienionych sytuacji ma miejsce w naszej firmie, istnieje bardzo duże prawdopodobieństwo, że znaleźliśmy się na celowniku cyberprzestępcy — wyjaśnia Ewelina Hryszkiewicz, Product Manager z ATM, operatora ogólnopolskiej sieci ATMAN.
Piętnastoletni egzekutor
Pierwszy atak DDoS przeprowadzono już w 1999 roku. Wymierzono go w serwer IRC Uniwersytetu Minnesoty, a jego efektem było zainfekowanie 227 komputerów połączonych siecią lokalną. Atak o znacznie większej skali odnotowano zaledwie rok później, a stał się on tematem medialnym ze względu na swoje pokłosie. Spowodował paraliż witryn takich firm, jak Yahoo.com, eBay, AOL, Amazon czy CNN, a poniesione w jego wyniku straty oszacowano na przeszło 1,7 mld dolarów. Sprawcę ujęto w dość niespodziewany sposób, bowiem policja natrafiła na jego ślad za pośrednictwem wpisu na jednej z grup dyskusyjnych, gdzie cyberprzestępca postanowił pochwalić się swoim wyczynem. MafiaBoy, gdyż taki pseudonim nosił haker, był piętnastoletnim Kanadyjczykiem.
Infekcje wywoływane atakami DDoS cyklicznie zwiększały swoją częstotliwość, gdyż ataki przeprowadzane w ten sposób stały się doskonałą metodą wywierania wpływów i wymuszania pieniędzy od firm niezdolnych do stworzenia i realizacji skutecznej strategii obronnej. W 2005 roku “robak” o nazwie Zotob infekując systemy z rodziny Windows, wyrządził szkody na ponad 250 tys. komputerów oraz dotkliwie zaatakował sieć amerykańskiej stacji CNN. Z kluczowych wydarzeń związanych z aktywnością cyberprzestępców wykorzystujących DDoS warto jeszcze przywołać rok 2010 i ataki grupy Anonymous na serwery szwajcarskiego banku PostFinance, a także VISĘ, PayPay, MasterCard czy Amazona. W następnym roku ofiarą innych hakerów pada PlayStation Network, gdzie przeprowadzony atak odwraca uwagę producenta od kradzieży danych należących do 100 mln użytkowników usług SONY. W 2012 roku broń w postaci DDoS-owej agresji trafia w ręce arabskich ekstremistów, którzy paraliżują serwisy amerykańskich banków, takich jak Bank of America, JPMorgan Chase czy PNC Bank.
W roku 2014 dochodzi do ataku o rekordowej skali. O ile jak dotąd wysyłane w celu zajęcia zasobów serwerowych zapytania nie przekraczały przepustowości wynoszącej 8 gigabitów na sekundę (Gb/s), tak strony Apple Daily i PopVote zaatakowano z natężeniem 500 Gb/s. To najmocniejsza agresja w historii światowego Internetu – tutaj mająca jednak podłoże polityczne. Wspomniane serwisy oficjalnie wspierały stanowisko protestujących przeciwko niedemokratycznym wyborom w Hongkongu, główne podejrzenia padły więc na internetowych aktywistów wynajętych przez chiński rząd.
Napad na listonosza
Głównym problemem popularności ataków DDoS jest fakt, że ich przeprowadzenie wbrew początkowym domysłom nie wymaga ani dużego doświadczenia, ani wybitnego talentu. Prowadzi to do dużej dysproporcji pomiędzy łatwością ich dokonywania a trudnością obrony przed nimi. Teoretycznie sprawcą takiego ataku może być każdy pobieżnie zaznajomiony z technikami informatycznymi nastolatek. Firma Novetta przeprowadziła analizę taktyki hakerów próbujących wykorzystać lukę w silniku wyszukiwarki Elasticsearch. Zastosowała ona oprogramowanie open source, tworzące przynęty na ataki DDoS. Okazało się, że większość atakujących ma niewielkie umiejętności i opracowuje proste metody wykorzystania luki czy stworzenia infrastruktury DDoS. Zbudowanie przeciętnego botnetu nie jest zatem specjalnie wymagającym wyzwaniem.
Świetnym przykładem obrazującym taki stan rzeczy jest szereg DDoS-owych ataków na dostawców poczty e-mail, który miał miejsce na przestrzeni ostatnich dni. Zaczęło się od serwisu bezpiecznej poczty Protonmail, następnie ofiarami padły portale o podobnym formacie – Hushmail, Runbox, Zoho, VFEmail, Neomailbox oraz Fastmail. Dla atakujących to niezwykle wdzięczne ofiary – mają o wiele mniejszą skalę działania i doświadczenie niż pocztowi giganci, a tak samo jak oni świadczą usługi, których kluczowym aspektem jest nieprzerwana dostępność. Protonmail padając ofiarą po raz drugi, zdał sobie sprawę, jak ważna jest ochrona anty-DDoS i zorganizował publiczną zbiórkę. W 4 dni uzbierał 50 tysięcy dolarów na fundusz ochronny.
Do niedawna główny cel cyberprzestępców stanowiły witryny instytucji finansowych. Dzisiaj ich lista zainteresowań powiększyła się o wiele innych podmiotów. Na celowniku cyberprzestępców mogą się znaleźć zarówno sklepy internetowe, portale aukcyjne, jak wspomniani dostawcy poczty — komentuje Ewelina Hryszkiewicz z ATM.
IoT i Państwo Środka
Raport State of the Internet – Security Report przygotowany przez firmę Akamai wskazuje, że choć ataki DDoS dokonywane w tym roku mają mniejsze nasilenie jeśli chodzi o przepustowość, to trwają wielokrotnie dłużej. Następna różnica polega na tym, że w 2015 roku 20% wszystkich ataków przeprowadzono w oparciu o protokół SSDP (Simple Service Discovery Protocol), podczas gdy w roku ubiegłym w ogóle go nie wykorzystywano.
Hakerzy postanowili wykorzystać fakt, że z protokołu SSDP korzystają wszystkie urządzenia komunikujące się w technologii Internet of Things. Dzięki niemu mogą one wzajemnie odnajdywać się w sieci i koordynować wszelką aktywność. Niestety, większość użytkowników tych urządzeń nie konfiguruje tego protokołu prawidłowo, przez co może być on dosyć łatwo użyty przez hakerów do przeprowadzenia różnego rodzaju ataków. Z DDoS włącznie.
Urządzenie IoT funkcjonuje na zasadzie odblasku. Atakującego niemal nie sposób namierzyć, gdyż narzędzie IoT działa w przyjętym scenariuszu w pełni anonimowo. Prognozowany w najbliższej przyszłości przyrost urządzeń komunikujących się przy wykorzystaniu tej technologii oraz zmiana hakerskich trendów wraz z początkiem bieżącego roku nakazuje sądzić, że Internet of Things będzie coraz częściej wykorzystywanym obszarem dla działań przestępczych.
Raport Akamai informuje, że najwięcej odnotowanych w I kwartale 2015 roku ataków DDoS (23,4%) pochodziło z Chin. Są one swego rodzaju hakerskim rajem, bowiem nie docierają tam żadne światowe organizacje zwalczające cyberprzestępczość. Namierzenie i ukaranie atakującego koordynującego swoje działania z tego rejonu świata jest w wielu przypadkach niewykonalne.
Perspektywa firmy
Dla firmy dotkniętej atakiem DDoS konsekwencje mogą okazać się bardzo dotkliwe. Paraliż serwerów oznacza zatrzymanie ciągłości funkcjonowania oraz brak dostępu do ważnych informacji. Niesie to za sobą poważne straty finansowe a często również spadek zaufania klientów, którzy tracą poczucie bezpieczeństwa.
Badania przeprowadzone przez ATM S.A. dowiodły jak ważna jest kwestia nieprzerwanej ciągłości w dostępie do danych. Aż 78% menedżerów badanych firm uznało ją za kluczową, choć – co ciekawe – 75% z nich nigdy nie zetknęło się z pojęciem Business Continuity Management.
W przypadku instytucji finansowych przygotowanie do obrony przed tego typu atakami jest obligatoryjne. Komisja Nadzoru Finansowego z końcem ubiegłego roku wystosowała dokument zwany Rekomendacją D, który wymusza wdrożenie zaleceń odnośnie utrzymania bezpieczeństwa środowiska informatycznego.
Oczywiście idąc za wnioskami postawionymi wcześniej, celem hakerów nie będą padać jedynie te instytucje, a skuteczne rozwiązanie pozwalające odpierać ataki DDoS powinny znaleźć się na wyposażeniu nawet mniejszych firm, niezależnie od branży, w której działają. Te, które współpracują z operatorami telekomunikacyjnymi lub data center, nie są skazane na siebie – mogą skorzystać z usług poprawiających bezpieczeństwo, świadczonych przez swojego operatora.
Raporty i prognozy donoszą, że liczba ataków DDoS będzie systematycznie wzrastać, a zainteresowanie cyberprzestępców potencjałem technologii IoT zdaje się potwierdzać te podejrzenia. Firmy są zatem zobowiązane kompleksowo poznać istotę tych ataków oraz przybrać właściwą linię obrony. Raport przygotowany przez IDC w sierpniu 2015 donosi, że wartość rynku rozwiązań dla bezpieczeństwa branży IT w 4 państwach środkowoeuropejskich (Polsce, Czechach, Węgrach i Rumunii) wzrośnie do 685 mln dolarów. Polski rynek będzie stanowił aż połowę wymienionej wartości i zanotuje wzrost na poziomie 7%. Według specjalistów IDC zewnętrzne ataki hakerskie są na szczycie listy największych niebezpieczeństw zaraz za niecelowymi wyciekami danych spowodowanych przez pracowników.
Pozostaje pytanie, jaką drogę postanowią obrać hakerzy i na ile adaptacja kolejnych technologii uczyni ich działania trudniejszymi do odparcia.