Metoda stara jak świat. Ale dalej popularna wśród przestępców

Pewne rzeczy nigdy nie wychodzą z mody – sukienka typu "mała czarna", okulary Wayfarer i ataki DDoS. Hakerzy z upodobaniem korzystają z tej techniki od ponad 14 lat. I nie zanosi się na to, by odeszła do cyfrowego lamusa. Czemu? Bo jest, niestety, skuteczna.

DDoS jest stosunkowo prostą metodą. Polega ona na jednoczesnym zasypaniu atakowanego systemu tysiącami wejść, czy fachowo mówiąc - próśb o wykonanie danej usługi. Do obsługi każdej prośby potrzebna jest pewna ilość zasobów serwera. Ponieważ maszyny te nie są studniami bez dna, w końcu nie wytrzymują i zaczynają się "wieszać", a wraz z nimi cały system. Jeśli obsługiwał on jakąś stronę internetową czy portal, ta po prostu przestawała działać.

Zazwyczaj spotęgowanie ataku opiera się o przejęcie kontroli nad grupą komputerów (tzw. zombie), co znacznie ułatwia cały proces. Pierwszym atakiem na tak wielką skalę było wykorzystanie wirusa MyDoom 1 lutego 2004 roku. Ofiarą była firma informatyczna SCO, dwa dni później z ręki tego samego programu szkody poniósł sam Microsoft. W Polsce również zdarzały się podobne ataki – w maju 2007 roku przeprowadzono atak DDoS na oficjalną stronę policji.

Minęło jednak półtorej dekady. Pojawiły się smartfony, wirtualna i rozszerzona rzeczywistość, kryptowaluty, ransomware - słowem świat poszedł do przodu. A okazuje się, że DDoS nie tylko nie został wysłany na śmietnik historii, ale wciąż jest tak samo popularny.

Tylko w 2017 roku stworzony przez firmę OVH system automatycznego przejmowania i neutralizacji DDoS wykrywał średnio 1800 ataków dziennie. To daje ok. 50 000 miesięcznie. Co ciekawe, ta sama technologia wykazała, że "najspokojniejszy" był 16 marca z wynikiem 981 odnotowanych ataków, a rekord roku przypadł na 4 października ubiegłego roku – 7415 ataków.

Jak dodaje Mariusz Politowicz, certyfikowany inżynier rozwiązań Bitdefender, w Polsce mamy do czynienia z 9-10 incydentami w ciągu godziny. W ubiegłym roku średnia siła ataku wynosiła 1 Gbit/s, co w zupełności wystarczy, żeby sparaliżować dowolną rodzimą firmę.

Jednak nie tylko branża handlowa jest zagrożona. Według firmy Akamai Technologies, zajmującej się m.in. przechowywaniem danych, w drugiej połowie 2017 roku ataki na serwery gamingowe wyniosły odpowiednio 86 i 79 proc. spośród wszystkich zagrożeń tego typu. Co ciekawe, najczęsciej atakowaną grą pozostaje "Minecraft". Powód jest prozaicznie prosty – pieniądze. Serwery popularnych gier generują dochód, więc każdy atak to strata dla rywala i szansa, że gracze przejdą "do nas".

Kto by jednak pomyślał, że inne sektory mogą spać spokojnie, ten grubo się myli. GitHub, jeden z najsłynniejszych hostingów dla programistów na świecie. Hakerzy zaatakowali go dwa razy w przeciągu marca bieżącego roku. Podczas pierwszego "szturmu" ruch osiągnął przepustowość 1,35 terabajta na sekundę – co jest wynikiem kilkaset razy wyższym niż w przypadku normalnego ruchu.

Atak na serwer GitHub był możliwy dzięki nieprawidłowo skonfigurowanym serwerom Memcached. Usługa ta pomaga w zarządzaniu dużym ruchem na stronie. Hakerzy są jednak w stanie użyć Memcached jako "soczewkę" do wzmocnienia ataków na ukierunkowaną usługę online. Dzięki temu cyberprzestępcy atakują ofiary poprzez fałszywy adres UDP (User Datagram Protocol – protokół pakietów użytkownika) i wysłają zestaw danych do serwera, zmuszając go do przesłania aż 50 tysięcy razy więcej danych w odpowiedzi.

Najgorsza pora na biznes

Dlaczego właściwie ataki DDoS są tak popularne? Na to pytanie odpowiada Ewelina Hryszkiewicz z firmy Atman, operatora telekomunikacyjnego, działającego na rynku data center.

- Dzisiaj prawie każdy może przygotować atak DDoS i każdy może stać się jego ofiarą. Widać to doskonale także w Polsce, gdzie wielokrotnie byliśmy świadkami akcji wymierzonych przez cyberprzestępców na ww. instytucje: zarówno te duże, jak i mniejsze - tłumaczy Hryszkiewicz. - Ataki DDoS to coraz większe wyzwanie dla banków czy firm ubezpieczeniowych. Nawet chwilowa niedostępność serwisów wprost przekłada się na utratę zaufania klientów i niesie za sobą straty finansowe - dodaje.

Co ciekawe, firmie OVH udało się ustalić, w jakich godzinach ataki DDoS mają miejsce najczęściej. Clément Sciascia, ekspert tej firmy, wskazuje na końcówkę dnia.

- Większość ataków jest przeprowadzanych wieczorem, między godziną 19 a 21. Wczesny wieczór to najbardziej krytyczna pora dla większości platform gamingowych oraz e-commerce, które wówczas cieszą się największą popularnością. Kluczowa jest wysoka przepustowość, obsługująca zarówno pożądany ruch do serwerów, jak i ten niepożądany, będący atakiem. Przy czym na jakość usług - odczuwaną przez wszystkich użytkowników - wpływa nawet najmniejszy zator – podkreśla.

Skala ataków z 20 marca 2018 roku. Interaktywny model dostępny jest tutaj.

Po co tak właściwie przeprowadzanie ataków DDoS? Administratorzy faktycznie mogą wpłynąć na popularność danego serwera, ale w innych branżach motywacje już się trochę różnią. We wspomnianym wcześniej e-commerce dochodzi na przykład do wymuszeń. Po ataku haker wysyła maila do ofiary z "propozycją" okupu. Oczywiście w kryptowalutach. Tutaj warto przypomnieć, żeby nigdy nie płacić szantażystom - nie mamy gwarancji, że dadzą nam spokój, a tylko utwierdzą się w przekonaniu, że ich proceder jest opłacalny.

Eksperci wymieniają jeszcze trzeci, najbardziej chyba perfidny rodzaj ataku. Firmy zajmujące się rozwiązaniami z zakresu zabezpieczeń anty-DDoS zlecają ataki na wybrane firmy, a potem promują swoje rozwiązania ofiarom. Takie pokazywanie luk w zabezpieczeniach brzmi już jak niedźwiedzia przysługa.

Czy istnieje jakiekolwiek zabezpieczenie przed atakami DDoS? Oczywiście, potrzebne jest odpowiednie oprogramowanie, które będzie śledzić przepustowość naszej sieci. I interweniować, czyszcząc ruch ze sztucznie generowanych adresów IP i "udrażniać" przepustowość serwera. Oczywiście trzeba również zainwestować w odpowiedniego firewalla, który będzie chronił przed atakami hakerów. Dobrze mieć też stały monitoring, aby pozostać offline jak najkrócej.