Irské štěstí dostalo s DDoS útoky na frak

  |   Virus Lab

Irský deník The Irish Independent minulý týden informoval o vyřazení několika vládních stránek a serverů po masivních DDoS útocích. John Leyden z listu The Register v souvislosti s tímto případem upozornil na možnou souvislost s útoky na diskusní fórum boards.ie a irskou Národní loterii. Tato spekulace zřejmě vychází z tvrzení hackerů, že první útok měl být pouhým začátkem „národního bezpečnostního auditu“.

1454329343_Wmf_sdtpa_servers_2009-01-20_36.jpg

Původci a mystifikace

Nicméně, zpráva rovněž tvrdí, že dalšími oběťmi byly zpravodajské servery a finanční instituce. Bylo by naivní domnívat se, že by špičky hackerské skupiny úmyslně mystifikovaly a je vysoce nepravděpodobné, že by mohlo jít o nějaký druh oficiálně schváleného testu.

Mohlo by samozřejmě jít o chvástání nějaké vysoce postavené neoficiální skupiny, která prohlašuje, že může zaútočit na jakýkoli cíl, který si zamane. V takovém případě by mohly být implicitní odkazy na některé články o nedávných útocích na BBC: reportér BBC Rory Cellan-Jones tvrdí, že ho kontaktovala americká skupina New World Hacking, která tvrdí, že se soustředí na útoky na Islámský stát a že toto byly jednoduše zkušební cíle, na kterých si skupina chtěla otestovat své schopnosti. To by asi dávalo smysl. Ale nezdá se příliš pravděpodobné, že by stejná skupina prováděla „neoficiální testování“ na tolika cílech v Irsku.

Faktem je, že i když došlo k navázání kontaktu s údajnými útočníky, v době psaní tohoto textu nemáme o okolnostech jejich počínání dostatek informací. Konec konců, rovněž incident, který mířil na BBC, zůstává neobjasněn a pokud je nám známo, jakákoli spojitost s jinými známými útoky je přinejlepším spekulativní.

Útok na Národní loterii je v době psaní těchto řádků „dosud v šetření“. I když nemohu s jistotou tvrdit, že nemá souvislost s žádným z dalších incidentů, mám tendenci srovnávat DDoS útoky s ransomwarem, protože ten se často využívá za účelem vydírání. To znamená, že může být použit v jiných souvislostech, jako jsou motivační haktivismy (aktivismy hackerskými metodami, které by podle mého odhadu zahrnovaly útoky na fundamentalistické sítě), ale jednoduše i k proslavení hackerů. Přesto, hazardní hry jsou klasickým cílem pro DDoS útoky, a jejich účelem je vydírání.

Naval prachy

Vzpomínám si, jak jsem byl začátkem tisíciletí poněkud zaskočen, když jsem na jedné konferenci o bezpečnosti zaslechl, kolik peněz stojí zabezpeční online kasin přes DDoS útoky. Bylo to v době, kdy DDoS útoky byly poměrně novým jevem a známé incidenty z té doby směřovaly spíše proti velkým firmám jako je Microsoft, Yahoo !, eBay a podobně. A tak, když už jsem nebyl nijak zvlášť překvapen tímto fenoménem – po všech těchto útocích jsem úzce spolupracoval na workshopech o technikách, jak potírat útoky prostřednictvím programů Stacheldraht a Trin00 – jsem si kladl otázku, jaké mají útočníci priority. Samozřejmě jim dávalo smysl soustředit se na stránky s hazardními hrami – jako známý americký bankovní lupič Willie Sutton věděli, že jde o místo, kde je docela dost peněz – a proto to také dělají. Říkal jsem si, že k ochraně těchto cílů by bylo nejlepší využívat peníze vybrané na daních, ale v té době jsem byl spíš takový idealista.

DDoS a DDoeSn't

Lehce se mě dotýká, že v řadě článků bývají rozporuplné a nepřesné informace o tom, co to je vlastně DDoS útok. Nabízím tedy velmi stručné shrnutí.

DoS je zkratka Denial of Service – odmítnutí služby, tedy jakékoli. Nemusí jít nutně o útok (můžeme jím nazvat odmítnutí služby, pokud web přestane správně pracovat, protože nezvládá nápor počtu lidí, kteří se na něj snaží dostat), ale když nastane – a to je definice, která se používá nejčastěji – často jde o útok na webovou stránku, jehož výsledkem je, že oprávnění uživatelé bez ohledu na to, jaké služby jsou na webu nabízeny, se k nim nemají možnost dostat, nebo přístup do systému a k těmto službám není spolehlivý.

DDoS znamená Distributed Denial of Services. Jde o akci, kdy DoS útoky přichází z více stran: běžně se využívají u systémů napadených malwarem, jehož prostřednictvím lze kontrolovat používání počítače – tedy botnetem.

Jak zabránit zahlcení webu

Sdílený útok (nebo jiná škodlivá akce, jako je třeba spamová kampaň) znamená, že nejen že je specifická škodlivá akce zesílena (to znamená, že se vynásobí počtem využívaných systémů), ale útoku se hůře čelí kvůli mnohočetnosti zařízení, z nichž přichází.

Chcete-li popsat jednoduchý příklad, jeden typ DoS útoku neustále posílá žádosti o spuštění služby na webu, takže web je zahlcen počtem žádostí a není schopen reagovat včas (nebo vůbec) na oprávněné žádosti od skutečných uživatelů. Dokonce i jeden domácí počítač může odeslat velké množství žádostí za sekundu. Nicméně, pokud je server překonfigurován tak, že dokáže odmítnout žádosti od takového počítače, je tím problém vyřešen. Ale v případě, že škodlivé žádosti nebo pakety (jednotky dat) přicházejí z tisíců počítačů ve stejný okamžik, přerušení spojení s jedním z těchto počítačů ničemu nepomůže. Komplikuje to i hledání původce útoku (osoby, která ovládá zařízení, jež byla použita v provedení útoku). V takovém případě musí poskytovatel služby najít jiné způsoby, jak rozlišit útok od legitimního provozu webu. Naštěstí existuje mnoho možností, jak odfiltrovat „škodlivý provoz“, ale existuje mnoho druhů DDoS útoků, takže to vyžaduje neustálé zdokonalování zabezpečení sítí a poskytovatelů online služeb.

Příležitost, prostředky a motivace

Již jsme se dotkli několika důvodů, proč by někdo měl mít zájem provádět DDoS útoky: vydírání („Zaplať mi, nebo zahltím vaše webové stránky a nikdo je nebude moci používat.“ - vysílatelé významných sportovních událostí se často setkávají s žádosti o výpalné za ochranu) a haktivismus („Nelíbí se mi, co píšete na vašem webu, takže ho zablokuji.“). Jde o běžnou aktivitu skupin se společným politickým přesvědčením, jež útočí na weby, které provozují skupiny nebo organizace jiného politického vyznání s protichůdnými názory. Ve skutečnosti je tento druh vzájemného souboje tím, co se často označuje jako „kybernetická válka“.

Další motivy k útoku mohou zahrnovat pomstu, nebo snahu o poškození pověsti konkurenta a zabránit mu tak v realizaci nějakého obchodu. I když jde běžnější jev, než by měl být, „legitimní“ společnosti často zaplatí botmastery, aby provedli DDoS útoky na jejich konkurenty, stejně jako je běžné, že zločinecké gangy používají určitých prostředků proti jiným, konkurenčním gangům.

Závěrem

V každodenním životě bývá DDoS útok zajímavou událostí pro média, protože znemožněním přístupu k nějaké konkrétní službě způsobuje řadě lidí velké osobní problémy.

Ale může jít i o víc. Zaznamenal jsem DDoS útok popsaný jako „atak bez hackingu“. Vnímám ho jako DDoS útok, který sám o sobě neslouží k instalaci malwaru nebo krádeži dat, které mají způsobit škodu majiteli daného počítače, nýbrž využít toto zařízení k dalším útokům formou botnet sítě. To znamená, že může mít vliv na vás a váš počítač, aniž byste o tom vůbec mohli tušit.

Pokud je váš počítač napaden malwarem, může se stát, že bude zneužit k různým nekalým účelům, včetně DDoS útoků. A to i tehdy, kdy nepředpokládáte přímý dopad tohoto škodlivého programu na  funkčnost vašeho počítače, bezpečnost vašich osobních dat či bankovního účtu. Máte tedy dobrý důvod přemýšlet, na jaké odkazy a stránky klikáte a mít naistalovaný kvalitní bezpečnostní software.

David Harley,

výzkumník společnosti ESET, Irsko



Dvojklik