Metoda stara jak świat. Ale dalej popularna wśród przestępców

DDoS jest stosunkowo prostą metodą. Polega ona na jednoczesnym zasypaniu atakowanego systemu tysiącami wejść, czy fachowo mówiąc - próśb o wykonanie danej usługi. Do obsługi każdej prośby potrzebna jest pewna ilość zasobów serwera. Ponieważ maszyny te nie są studniami bez dna, w końcu nie wytrzymują i zaczynają się "wieszać", a wraz z nimi cały system. Jeśli obsługiwał on jakąś stronę internetową czy portal, ta po prostu przestawała działać.

Zazwyczaj spotęgowanie ataku opiera się o przejęcie kontroli nad grupą komputerów (tzw. zombie), co znacznie ułatwia cały proces. Pierwszym atakiem na tak wielką skalę było wykorzystanie wirusa MyDoom 1 lutego 2004 roku. Ofiarą była firma informatyczna SCO, dwa dni później z ręki tego samego programu szkody poniósł sam Microsoft. W Polsce również zdarzały się podobne ataki – w maju 2007 roku przeprowadzono atak DDoS na oficjalną stronę policji.

Minęło jednak półtorej dekady. Pojawiły się smartfony, wirtualna i rozszerzona rzeczywistość, kryptowaluty, ransomware - słowem świat poszedł do przodu. A okazuje się, że DDoS nie tylko nie został wysłany na śmietnik historii, ale wciąż jest tak samo popularny.

Tylko w 2017 roku stworzony przez firmę OVH system automatycznego przejmowania i neutralizacji DDoS wykrywał średnio 1800 ataków dziennie. To daje ok. 50 000 miesięcznie. Co ciekawe, ta sama technologia wykazała, że "najspokojniejszy" był 16 marca z wynikiem 981 odnotowanych ataków, a rekord roku przypadł na 4 października ubiegłego roku – 7415 ataków.

Jak dodaje Mariusz Politowicz, certyfikowany inżynier rozwiązań Bitdefender, w Polsce mamy do czynienia z 9-10 incydentami w ciągu godziny. W ubiegłym roku średnia siła ataku wynosiła 1 Gbit/s, co w zupełności wystarczy, żeby sparaliżować dowolną rodzimą firmę.

Jednak nie tylko branża handlowa jest zagrożona. Według firmy Akamai Technologies, zajmującej się m.in. przechowywaniem danych, w drugiej połowie 2017 roku ataki na serwery gamingowe wyniosły odpowiednio 86 i 79 proc. spośród wszystkich zagrożeń tego typu. Co ciekawe, najczęsciej atakowaną grą pozostaje "Minecraft". Powód jest prozaicznie prosty – pieniądze. Serwery popularnych gier generują dochód, więc każdy atak to strata dla rywala i szansa, że gracze przejdą "do nas".

Kto by jednak pomyślał, że inne sektory mogą spać spokojnie, ten grubo się myli. GitHub, jeden z najsłynniejszych hostingów dla programistów na świecie. Hakerzy zaatakowali go dwa razy w przeciągu marca bieżącego roku. Podczas pierwszego "szturmu" ruch osiągnął przepustowość 1,35 terabajta na sekundę – co jest wynikiem kilkaset razy wyższym niż w przypadku normalnego ruchu.

Atak na serwer GitHub był możliwy dzięki nieprawidłowo skonfigurowanym serwerom Memcached. Usługa ta pomaga w zarządzaniu dużym ruchem na stronie. Hakerzy są jednak w stanie użyć Memcached jako "soczewkę" do wzmocnienia ataków na ukierunkowaną usługę online. Dzięki temu cyberprzestępcy atakują ofiary poprzez fałszywy adres UDP (User Datagram Protocol – protokół pakietów użytkownika) i wysłają zestaw danych do serwera, zmuszając go do przesłania aż 50 tysięcy razy więcej danych w odpowiedzi.

Najgorsza pora na biznes

Dlaczego właściwie ataki DDoS są tak popularne? Na to pytanie odpowiada Ewelina Hryszkiewicz z firmy Atman, operatora telekomunikacyjnego, działającego na rynku data center.

- Dzisiaj prawie każdy może przygotować atak DDoS i każdy może stać się jego ofiarą. Widać to doskonale także w Polsce, gdzie wielokrotnie byliśmy świadkami akcji wymierzonych przez cyberprzestępców na ww. instytucje: zarówno te duże, jak i mniejsze - tłumaczy Hryszkiewicz. - Ataki DDoS to coraz większe wyzwanie dla banków czy firm ubezpieczeniowych. Nawet chwilowa niedostępność serwisów wprost przekłada się na utratę zaufania klientów i niesie za sobą straty finansowe - dodaje.

Co ciekawe, firmie OVH udało się ustalić, w jakich godzinach ataki DDoS mają miejsce najczęściej. Clément Sciascia, ekspert tej firmy, wskazuje na końcówkę dnia.

- Większość ataków jest przeprowadzanych wieczorem, między godziną 19 a 21. Wczesny wieczór to najbardziej krytyczna pora dla większości platform gamingowych oraz e-commerce, które wówczas cieszą się największą popularnością. Kluczowa jest wysoka przepustowość, obsługująca zarówno pożądany ruch do serwerów, jak i ten niepożądany, będący atakiem. Przy czym na jakość usług - odczuwaną przez wszystkich użytkowników - wpływa nawet najmniejszy zator – podkreśla.

Skala ataków z 20 marca 2018 roku. Interaktywny model dostępny jest tutaj.

Po co tak właściwie przeprowadzanie ataków DDoS? Administratorzy faktycznie mogą wpłynąć na popularność danego serwera, ale w innych branżach motywacje już się trochę różnią. We wspomnianym wcześniej e-commerce dochodzi na przykład do wymuszeń. Po ataku haker wysyła maila do ofiary z "propozycją" okupu. Oczywiście w kryptowalutach. Tutaj warto przypomnieć, żeby nigdy nie płacić szantażystom - nie mamy gwarancji, że dadzą nam spokój, a tylko utwierdzą się w przekonaniu, że ich proceder jest opłacalny.

Eksperci wymieniają jeszcze trzeci, najbardziej chyba perfidny rodzaj ataku. Firmy zajmujące się rozwiązaniami z zakresu zabezpieczeń anty-DDoS zlecają ataki na wybrane firmy, a potem promują swoje rozwiązania ofiarom. Takie pokazywanie luk w zabezpieczeniach brzmi już jak niedźwiedzia przysługa.

Czy istnieje jakiekolwiek zabezpieczenie przed atakami DDoS? Oczywiście, potrzebne jest odpowiednie oprogramowanie, które będzie śledzić przepustowość naszej sieci. I interweniować, czyszcząc ruch ze sztucznie generowanych adresów IP i "udrażniać" przepustowość serwera. Oczywiście trzeba również zainwestować w odpowiedniego firewalla, który będzie chronił przed atakami hakerów. Dobrze mieć też stały monitoring, aby pozostać offline jak najkrócej.