Czy Twój komputer to zombie? 10 rzeczy, które musisz wiedzieć o atakach DDoS i ochronie przed nimi

To, że ataki DDoS mogą stanowić poważny problem dla firm, nie ulega wątpliwości. Przygotowaliśmy krótkie kompendium zawierające podstawowe informacje o tego typu atakach i możliwych do zastosowania sposobach ochrony.

1. Atak w pigułce

Celem ataków DoS (ang. Denial of Service) jest uniemożliwienie dostępu do określonej usługi. Sposób ich przeprowadzania ewoluował w czasie, ale koncepcja pozostała niezmienna. Obecnie mamy do czynienia głównie z atakami w postaci rozproszonej (czyli DDoS, ang. Distributed Denial of Service). Widać też starania o zwiększenie przepustowości ataków bez znacznego zwiększania zasobów atakujących, co można osiągnąć, wykorzystując np. otwarte serwery DNS – mówimy wówczas o atakach DRDoS (ang. Distributed Reflected Denial of Service).

2. Paraliż usług na kilku poziomach

Wzięta na cel usługa może zostać zablokowana na kilka sposobów. Po pierwsze, przeciążeniu może ulec infrastruktura serwerowa. Serwery, przystosowane do obsługi mniejszej ilości żądań, będą się zachowywać jak wąskie drzwi, przez które próbuje przecisnąć się zbyt wielu ludzi naraz. Po drugie, w przypadku mniejszych serwisów utrzymywanych w centrach danych większych firm hostingowych skończyć się mogą udostępnione dla nich zasoby (pasmo albo transfer). Po trzecie, może dojść do przeciążenia infrastruktury sieciowej. Jeżeli nadchodzący ruch okaże się zbyt duży, urządzenia sieciowe (routery, firewalle) nie będą w stanie go obsłużyć.

3. Co mają do tego zombie?

Do przeprowadzania ataków DDoS są wykorzystywane botnety, czyli sieci komputerów zainfekowanych szkodliwym backdoorem (inaczej botem). Backdoor pozwala sprawować zdalną kontrolę nad zarażonymi maszynami, które z tego właśnie powodu są nazywane komputerami zombie. Infekcji mogą ulec zarówno maszyny użytkowników indywidualnych, jak i urządzenia wchodzące w skład sieci korporacyjnych. Sumaryczna moc obliczeniowa botnetów może być ogromna, dlatego stanowią one skuteczne narzędzie do realizacji szeregu działań przestępczych, od wysyłania spamu do atakowania sieci firmowych.

4. Jak duże mogą być botnety?

Na początku tego roku Interpol rozbił siatkę cyberprzestępców kontrolujących ponad 3 mln komputerów w ramach botnetu o nazwie Ramnit. Innym dużym botnetem zamkniętym w ostatnim czasie był ZeroAccess, który liczył 1,9 mln maszyn na całym świecie. Podobną liczbę komputerów kontrolował Cutwail. Warto też wspomnieć o Mariposie, której przed laty udało się zainfekować co najmniej 10 mln urządzeń. Natomiast wielkość Stormu, jednego z pierwszych botnetów działających w oparciu o sieć peer-to-peer, wahała się między 250 tys. a 50 mln komputerów.

5. Co robić, by nie ulec infekcji?

W celu ochrony przed backdoorami, które mogłyby dołączyć nasze komputery do sieci zombie, zarówno w domowych, jak i firmowych sieciach warto stosować sprawdzone rozwiązania antywirusowe z wbudowanym firewallem. Nie wolno też zapominać o regularnym aktualizowaniu systemu operacyjnego i zainstalowanych w nim aplikacji. Korzystając z Internetu, trzeba kierować się zdrowym rozsądkiem – jedną z podstawowych zasad jest nieotwieranie załączników od nieznanych nadawców i nieklikanie w podejrzane linki, nawet te pochodzące od znajomych.

6. Liczba ataków DDoS wzrasta

Z udostępnionego w tym miesiącu raportu firmy Akamai wynika, że liczba ataków DDoS w drugim kwartale br. zwiększyła się o 7,13% w stosunku do pierwszego kwartału. Jeżeli natomiast porównamy ją z liczbą ataków w analogicznym okresie 2014 r., to okaże się, że wzrosła ona aż o 132,43%. Na uwagę zasługuje wydłużenie się czasu trwania ataków z 17 godz. do ponad 20. Chociaż średnie ich natężenie zmniejszyło się o 11,47%, to jednocześnie podwoiła się liczba ataków, podczas których wygenerowano ruch przekraczający 100 Gb/s.

7. Atak może mieć znaczący wpływ na Twoją firmę

Media z reguły informują tylko o największych, najbardziej wyrafinowanych atakach, trzeba jednak pamiętać, że ofiarą takich działań może stać się niemal każda firma. W branżach uzależnionych od dostępu do zasobów sieciowych, jak bankowość czy e-handel, nawet krótka przerwa w świadczeniu usług może negatywnie wpłynąć na przychody. Należy się liczyć nie tylko z utratą klientów w danym momencie i spadkiem wydajności pracowników na skutek niedostępności systemów, ale też z bardziej trwałymi konsekwencjami obejmującymi pogorszenie wizerunku marki. Warto też wspomnieć o wyższych kosztach operacyjnych związanych z nasileniem prac zmierzających do unormowania sytuacji. W przypadku złamania postanowień umów gwarancji jakości świadczonych usług, firma może być również zmuszona do zapłacenia kary finansowej.

8. Nie musisz być bezbronny

Obrona przed atakami DDoS powinna skupiać się na różnych płaszczyznach. Należy zacząć od oceny środowiska sieciowego i opracowania kompleksowej strategii ochrony uwzględniającej zarówno warstwę sieciową, jak i aplikacyjną. Aby przeciążyć serwer, cyberprzestępcy mogą posłużyć się pozornie legalnymi żądaniami dostępu do aplikacji, dlatego tak istotne jest wdrożenie systemu monitorowania i kontroli na każdym poziomie infrastruktury. Z uwagi na rosnącą popularność ataków wzmocnionych (DRDoS) warto odpowiednio skonfigurować swoje serwery DNS. Kolejnym krokiem powinna być implementacja w siedzibie firmy dedykowanych narzędzi do ochrony przed różnymi rodzajami DDoS.

9. Outsourcing usług minimalizujących skutki ataków

Wiele ataków można powstrzymać, stosując odpowiednią konfigurację sieci i udostępnianych aplikacji webowych (warto zwrócić uwagę zwłaszcza na rozwiązania typu Web Application Firewall). W przypadku naprawdę dużych ataków pomocy mogą udzielić zewnętrzne firmy specjalizujące się w ich odpieraniu. W niektórych przypadkach okazuje się to mniej kosztowne niż usuwanie skutków niedostępności tych usług.

10. DDoS a odpowiedzialność karna

Warto też wiedzieć, że na gruncie polskiego prawa istnieje możliwość ukarania przestępców odpowiedzialnych za przeprowadzenie ataku DDoS. Ma tutaj zastosowanie art. 268 Kodeksu karnego, który w §1 głosi: Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Podobne brzmienie ma §1 art. 268a, który dotyczy zakłócania procesu przetwarzania informacji. W obu przypadkach kara pozbawienia wolności może wzrosnąć do lat 5, jeśli dojdzie do wyrządzenia znacznej szkody majątkowej. Co istotne, ściganie tego typu przestępstw odbywa się na wniosek pokrzywdzonego. Karze podlega też tworzenie narzędzi umożliwiających ataki DDoS. Mówi o tym §1 art. 269b: Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa (…) podlega karze pozbawienia wolności do lat 3.

Brak komentarzy :

Prześlij komentarz