DoS/DDoS útoky neslábnou
Cílem útoku DoS (z anglického Denial of Service) je znefunkčnit cílovou síťovou službu (obvykle internetové stránky) a zabránit, aby ji ostatní uživatelé mohli využívat. Kromě zahlcení požadavky může útočník využít zranitelnosti na úrovni aplikací, které tím de facto „rozbije“. Pro provozovatele napadené služby to přináší reálnou finanční ztrátu: přichází o objednávky, ztrácí důvěru zákazníků.
Nejjednodušší je zasílání velkého množství požadavků, které ovládnou síťový provoz. Stačí i jednoduchý příkaz ping, který normálně slouží k ověření síťového spojení. Časté je také využívání požadavků s podvrženou IP-adresou, cílový počítač se pak snaží spojit s neexistujícími nebo nefunkčními adresami a čekající žádosti o spojení blokují legitimní uživatele.
DDoS a armáda oživlých mrtvol
Pokud útok přichází z jednoho zdroje, může být jednoduché ho identifikovat. Nebezpečnější je proto distribuovaná varianta DDoS (z anglického Distributed Denial of Service), při které útok směřuje z většího počtu rozptýlených počítačů. Těch jsou běžně jednotky až desítky tisíc.
Jak hackeři dosáhnou ovládnutí tak velkého počtu strojů? Jednou z možností je to, že cílové počítače infikují malwarem, který obsahuje parametry útoku, který v daný čas a na daný cíl provede automaticky.
Počítač ovšem může být napaden tak, že v něm poběží na pozadí rezidentní program, který jej přemění na tzv. zombie. Pojmenování, které je inspirováno hororovou literaturou a znamená oživlou mrtvolu, je docela výstižné. Jakmile zombie získá od svého řídicího počítače pokyn, „probudí“ se, stane se z něj aktivní bot a zahájí útok podle aktuálně předaných parametrů. A hororové chvíle tak může zažít i majitel postiženého cíle. Skupina zombie počítačů ovládaných současně pro stejný účel se často označuje jako botnet. Botnety neslouží jen DDoS útokům, ale třeba také rozesílání spamu nebo k falešnému klikání na reklamy. Botnety mohou být často používány opakovaně pro různé útoky.
I běžný osobní počítač se tak může stát součástí DDoS útoků a jeho majitel to nemusí ani zaznamenat. Napadeny mohou být nejen počítače, ale i jiná zařízení, která obsahují firmware schopný síťové komunikace. S rozvojem internetu věcí takových chytrých on-line zařízení stále přibývá. Na rozdíl od osobních počítačů nebo mobilních telefonů se jejich firmware aktualizuje obvykle jen výjimečně, a tak se v posledních letech pro hackery objevilo nové pole působnosti. Začali k DDoS útokům zneužívat také kamery, DVD rekordéry, domácí routery, chytré televize nebo ledničky. Rozšíření počtu ovládnutelných zařízení umožnilo vést útoky o dříve nevídané síle. Třeba v Japonsku se podařilo ovládnout síť bezpečnostních kamer a získat botnet, který měl padesát tisíc „zotročených“ zařízení.
Cui bono?
Kdo má z toho prospěch? Na klasickou otázku římského práva můžeme odpovědět, že nejčastějším motivem jsou peníze. Existuje zde trh s DoS/DDoS útoky, kdy hackeři mají k dispozici řadu botnetů, jejichž sílu nabízejí za úplatu. Cena závisí na délce a intenzitě útoků a lze je pořídit již od 5 dolarů. Zákazníky jsou v tomto případě především ti, kdo se snaží oběť z nějakých důvodů poškodit, často z konkurenčních důvodů.
V loňském roce cena za útok poklesla, snížil se mírně i počet útoků, patrně v souvislosti s tím, že hackeři začali více využívat výpočetní sílu botnetů na těžbu kryptoměn. Jednotlivé útoky ale zesílily a jejich průměrná délka se prodloužila na více než dvojnásobek – z 95 na 218 minut. Některé útoky trvají ale mnohem déle, často i řadu dní.
Motivem může být i politických boj, jak dokládají útoky na webové stránky politických stran a osobností. V ohrožení může být i kritická infrastruktura státu a útoky na ni mohou být součástí elektronicky vedené války. Není tajemstvím, že některé státy mají vojáky vycvičené na boj v kyberprostoru a DoS/DDoS útoky budou zcela jistě patřit do jejich zbraňového arzenálu.
Častější než bychom čekali
Útoky se nevyhýbají ani České republice. Útoky na banky nebo na zpravodajské servery, které proběhly v minulosti, získaly velkou publicitu, ale útoky na méně známé cíle probíhají na denním pořádku. Spolehlivé statistiky asi nelze získat, protože ne vždy jsou útoky správně identifikovány a podchyceny. V každém případě je Česká republika cílem desítek DoS/DDoS útoků denně a jsme v tom asi o jeden řád jako cíl „populárnější“ než sousední Slovensko.
DoS/DDoS útoky jsou u nás z velké části vnitrostátní záležitostí, přibližně čtvrtina útoků na české cíle směřuje zevnitř České republiky. Přibližně stejně silným zdrojem je Čína, která je jako globálním hráč číslo 1 zodpovědná za polovinu všech DoS/DDoS útoků ve světě.
Obrana vyžaduje spolupráci
První krok pro ochranu by měl učinit každý sám. Především je potřeba, aby server i síť měly dostatečnou rezervu pro náhlý nárůst požadavků. Spolehlivě by měla fungovat i provozovaná on-line aplikace. Častý je útok na webové formuláře a útok může vypadat třeba tak, že robot útočníka vloží za hodinu milion položek do nákupního košíku.
Další úroveň obrany by měl poskytnout provozovatel infrastuktury, kde servery leží, a měl by disponovat nějakým efektivním anti-DoS/DDoS systémem, který by měl být schopen co největší část nežádoucího provozu odfiltrovat.
I když poskytovatelé IT služeb normálně konkurují, pokud jde o síťovou bezpečnost, jsou schopni se domluvit a spolupracovat. Díky tomu máme například bezpečnostní projekt FENIX. Ten funguje od roku 2013 a popudem pro jeho vznik byl právě masivní útok na česká on-line média. Jeho hlavním cílem je ochránit partnery a jejich zákazníky v případě kritických situací. Především v případě DoS/DDoS útoků má zaručit fungování infrastruktury členů a zajistit dostupnost důležitých internetových služeb.
Autor: Alexander Lichý