Ataki sieciowe coraz popularniejsze. Od szukania luk po ataki rozproszone

Ataki DDoS, w wyniku których przeciętny internauta  ma problemy z dostępem do żądanej strony z roku na rok stają się coraz większym utrapieniem dostawców treści i przedsiębiorców. Aby uzmysłowić sobie skalę problemu, warto zajrzeć do raportów „State of the Internet Security” http://bit.ly/1HTAE98 publikowanych co kwartał przez firmę Akamai, która obsługuje ok. 30% ruchu w Internecie.

Ostatni z dostępnych raportów dotyczy I kwartału 2015 r. i informuje, że w badanym okresie liczba ataków DDoS zwiększyła się o 117% w porównaniu do I kwartału 2014 r. Zmienił się też ich charakter – natężenie zmniejszyło się o 39%, a czas trwania wzrósł o 43%. Typowe ataki obserwowane w I kwartale br. trwały ok. 24 godz., a generowany podczas nich ruch nie przekraczał 10 Gb/s. Oczywiście nie obyło się bez wyjątków. Osiem spośród odnotowanych ataków osiągnęło natężenie ponad 100 Gb/s, a największy oscylował w okolicach 170 Gb/s.

Najczęstsze cele i skala problemu

Najwięcej ataków (35%) przeprowadzono na przedsiębiorców z szeroko pojętej branży gier komputerowych. Drugą pozycję (25%) zajął sektor technologiczny, w tym firmy oferujące oprogramowanie. Trzecie miejsce (14%) przypadło dostawcom Internetu i operatorom telekomunikacyjnym. Atakom DDoS może jednak ulec firma z każdej branży i to niezależnie od swojej wielkości. Przewidując zagrożenia, które z dużym prawdopodobieństwem mogą wystąpić w 2015 r., eksperci współpracujący z Fundacją Bezpieczna Cyberprzestrzeń na drugim miejscu – tuż za phishingiem i ex-aequo z malware’em na Androida – umieścili właśnie ataki DDoS na podmioty komercyjne. Niewiele dalej uplasowały się ataki DDoS na administrację publiczną, wykorzystywane niekiedy jako forma protestu przeciwko rządowym decyzjom.

Wróćmy jeszcze do raportów Akamai i zobaczmy, jak liczba rejestrowanych przez tę firmę ataków zmieniała się na przestrzeni ostatnich lat. Wiemy już, że w I kwartale 2015 r. zaobserwowano wzrost tej liczby o 117% w stosunku do I kwartału 2014 r. Jeżeli sięgniemy do raportu obejmującego pierwsze miesiące zeszłego roku i porównamy go z analogicznym raportem z 2013 r., zauważymy, że w tym przypadku liczba ataków zwiększyła się o 47%. Weźmy jeszcze raport dotyczący I kwartału 2013 r. – według ekspertów z Akamai w badanym okresie liczba ataków DDoS wzrosła o 22% w porównaniu do I kwartału 2012 r. Widać wyraźnie, że z roku na rok cyberprzestępcy coraz częściej stosują tego typu ataki. Aby zrozumieć, dlaczego tak się dzieje, warto wiedzieć, jak przebiegała ich ewolucja.

Rozwój ataków DDoS

Z pierwszymi atakami, które można zaliczyć do tej kategorii, administratorzy usług sieciowych zetknęli już w latach 90. ubiegłego wieku. Dostęp do Internetu nie był wtedy jeszcze tak powszechny jak dzisiaj, a cena połączeń zniechęcała do działań na szeroką skalę. Pamiętacie jeszcze te pikające modemy? Atakujący skupiali się więc na wyszukiwaniu luk w oprogramowaniu sieciowym (a konkretnie w warstwie sieciowej i transportowej według modelu OSI). Wykorzystanie znalezionych podatności polegało na wysyłaniu odpowiednio spreparowanych pakietów z pojedynczego urządzenia i prowadziło do sparaliżowania przetwarzających je systemów. Na początku XXI wieku – wraz z nadejściem ery Web 2.0 – więcej uwagi zaczęto przykładać do luk w aplikacjach internetowych i powiązanych z nimi usługach. Stanowią one ostatnią, siódmą warstwę modelu OSI (https://pl.wikipedia.org/wiki/Model_OSI), dlatego upowszechnione wówczas ataki na logikę aplikacji w literaturze fachowej (i omawianych wcześniej raportach Akamai) nazywane są atakami Layer 7 DDoS, w odróżnieniu od ataków na infrastrukturę sieciową, które znane są jako Layer 3/4 DDoS.

Spadek kosztów dostępu do Internetu pozwolił też cyberprzestępcom na zastosowanie bardziej prymitywnych tak zwanych „siłowych” metod. Okazało się bowiem, że łatwiej i taniej można przeciążać serwery nieustającymi żądaniami pochodzącymi z wielu komputerów jednocześnie. Standardowe ataki odmowy dostępu do usługi ustąpiły miejsca atakom rozproszonym. Do ich przeprowadzania zaczęto wykorzystywać botnety – sieci urządzeń zainfekowanych złośliwym programem, który umożliwia sprawowanie zdalnej kontroli nad zarażonymi komputerami bez wiedzy ich użytkowników. Takie programy, nazywane botami, są rozprzestrzeniane na kilka sposobów, w szczególności za pomocą spamu i ataków drive-by download. Ta druga metoda opiera się na wykorzystywaniu luk w zabezpieczeniach aplikacji zainstalowanych na komputerze ofiary i sprowadza się do pobrania złośliwego programu z odpowiednio spreparowanej strony internetowej.

Ataki bazujące na botnetach do dziś nie straciły na popularności. Mało tego, dynamiczny rozwój Internetu i gwałtowny wzrost liczby podłączonych do niego urządzeń zlikwidowały większość barier technicznych zapobiegających takim atakom. Zwiększyła się przepustowość wykorzystywanych łącz, a cyberprzestępcy nauczyli się amplifikować ruch bez znacznego zwiększania zasobów. Koszty wynajęcia botnetu z biegiem lat znacznie się obniżyły. Przeprowadzenie kampanii DDoS wymierzonej w konkurencyjną firmę czy politycznego przeciwnika nie wymaga obecnie dużej inwestycji – wystarczy kilkadziesiąt dolarów. Na cyberprzestępczych forach łatwo też można kupić gotowe pakiety, lub skorzystać z darmowych narzędzi np. Low Orbit Ion Cannon, którymi może się posłużyć nawet osoba z minimalną wiedzą. Oczywiście istnieją sposoby na zmniejszenie ryzyka, omówimy je w kolejnych tekstach na blogu.

Brak komentarzy :

Prześlij komentarz