DDoS atakų anatomija: kas, kaip ir kodėl?

2000 metų vasarį tuomet itin populiarus paieškų variklis „Yahoo“ 2-3 valandas buvo neprieinamas vartotojams iš viso pasaulio. Dar tą pačią ir kelias artimiausias dienas sutriko buy.com, „eBay“, CNN, „Amazon“, „ZDNet“, „E*trade“ ir „Datek“ svetainių veikla. Visi tinklalapiai buvo nepasiekiami nuo pusvalandžio iki 3 valandų.

Tai yra pirmoji visame pasaulyje pagarsėjusi vadinamųjų DDoS (Distributed Denial of Service) atakų banga. Šių atakų metu tarnybines stotis, kuriose buvo patalpintos svetainės, užplūdo gausybė užklausų, pro kurias negalėjo prasiveržti paprastų vartotojų bandymai prisijungti prie svetainių ir pasinaudoti jų paslaugomis. Atakos pobūdis (koordinuotas puolimas iš daugelio po pasaulį pasklidusių kompiuterių) ir jos tikslas (neleisti aptarnauti įprastinių klientų) tapo pavadinimo pagrindu: paskirstytoji atsisakymo aptarnauti ataka, arba DDoS.

Nors tuomet svetainės buvo atakuojamos be jokių įspėjimų, be šantažo ir reikalavimo, nukentėjusioms svetainėms jos pridarė nemažai nuostolių. Tuo tarpu patys piktadariai, panašu, niekaip iš to nepasipelnė. Gal tik išsibandė technologijas ir įgijo patirties.

Kompiuterinės piktadarystės krauna milijonus

O štai šiais laikais, praėjus 13 metų nuo pirmų pagarsėjusių tinklalapių puolimų, svetainių atakavimas DDoS būdu tapo tikrų tikriausiu verslu, kuriame dalyvauja ne šiaip rūsyje užsidarę sociopatai su puikiais technologiniais sugebėjimais. Dabar šiame pogrindiniame versle sukasi programišiai, kuriantys kompiuterius zombiais paverčiančius virusus, tų virusų pirkėjai, paskleidžiantys skaitmeninę infekciją ir perimantys dalinę visų infekuotų kompiuterių kontrolę bei galintys užsiundyti juos ant bet kokio interneto adresą turinčio taikinio ir užsakovai, nurodantys taikinį, pageidaujamą atakos laiką, trukmę ir intensyvumą.

Šioje nusikalstamoje grandinėje juda nemaži pinigų srautai – virusų kūrėjų klientai yra atakų vykdytojai, kurie savo ruožtu pinigus gauna iš atakų užsakovų. O šie gali užsiimti savo taikinių šantažavimu: nesusimokėsi? Na ir neateis niekas į tavo svetainę. Paprastai tokio grasinimo ir parodomosios atakos pakanka, kad auka nuspręstų, jog pigiau yra susimokėti, nei valandomis ar net dienomis būti neprieinamu internete. „Atakas rengiantys programišiai ir įsilaužėliai nėra mėgėjai. Tokios organizuotos grupuotės iš internetinių atakų uždirba milijonus, o jų veiksmai yra suplanuoti, apgalvoti, sustyguoti ir išskaidyti po visą pasaulį“, - sakė „Teo“ tinklo technologijų tarnybos vadovas Darius Didžgalvis.

„Norint išsinuomoti kompiuterių tinklą DDoS atakoms atlikti pakanka nueiti į juodąją rinką, susirasti kokį nors žmogelį, pasiūlyti jam 200 dolerių už tai, kad jo botnetas iš 100 000 kompiuterių atakuotų vieną ar kitą taikinį, tarkim, vieną parą. O sumokėjus daugiau ataką galima vykdyti savaitę“, - interviu portalui delfi.lt dar praėjusį mėnesį sakė bendrovės „Fortinet“ kibernetinio saugumo ekspertas Guillome'as Lovet.

Trečiadienį nuo DDoS tipo atakos nukentėjo ir delfi.lt portalas - redakcijai buvo atsiųstas laiškas, reikalaujantis pašalinti straipsnį apie tai, kaip buvo perkami balsai už "Eurovizijos" dainų konkurso dalyvius, o praėjus maždaug valandai, reikalavimo nepaisius, prasidėjo ataka, kelioms valandoms sutrikdžiusi portalo darbą.

Kaip kuriami zombių tinklai?

Zombių tinklas (botnetas) prasideda nuo specializuoto piktavališko programos kodo sukūrimo, kurio tikslas – perimti dalį užkrėsto kompiuterio kontrolės. Toks piktavališkas kodas gali būti platinamas pačiais įvairiausiais būdais – elektroniniu paštu kaip prie laiško prisegta rinkmena, kaip iš interneto atsisiunčiama programa. Būna atvejų, kai toks kodas paslepiamas interneto svetainėje ir neklaustas įsidiegia į vartotojo kompiuterį, kai tik šis apsilanko specialiai kompiuterių infekavimui paruoštoje svetainėje. Kartais nutinka ir taip, kad programišiai sugeba užkrėsti įprastas, patikimas svetaines, kuriomis esame pratę pasitikėti, o šios po infekavimo į mūsų kompiuterius pradeda diegti piktybinius elementus ir paverčia juos zombiais. „Tokiuose tinkluose gali būti iki kelių dešimčių milijonų užgrobtų kompiuterių. DDoS atakos stiprumas daugiausiai priklauso nuo valdomo botneto dydžio“, - teigė D. Didžgalvis.

Infekuoto kompiuterio šeimininkas gana dažnai net nepastebi, kad jo kompiuteryje vyksta per atstumą valdomi procesai – zombiais kompiuterius verčiančių virusų kūrėjai nenori, kad infekcija būtų atpažinta, todėl jokių akivaizdžių pėdsakų nepalieka. Vartotojai infekcijos dažnai nepastebi net ir tuomet, kai iš jų kompiuterio aktyviai vykdomos atakos prieš kokias nors tarnybines stotis.

Tiesa, DDoS atakos – ne vienintelė užduotis, kurią atlieka zombiai. Užkrėstų kompiuterių resursai gali būti išnaudojami ir brukalų siuntinėjimui, ir virtualios valiutos BitCoinų generavimui, ir vartotojų asmeninės informacijos – pavyzdžiui, prisijungimo prie elektroninės bankininkystės sistemos duomenų – vagystėms.

Saugumo ekspertai vienbalsiai tvirtina: geriausias būdas norint apsisaugoti nuo kompiuterinių infekcijų – visuomet, kai tik tai įmanoma, atsinaujinti programinę įrangą. Mat programinės įrangos – operacinės sistemos, naršyklių, taikomųjų programų – kūrėjai paprastai ganėtinai operatyviai reaguoja į aptiktas saugumo spragas jų įrangoje ir išleidžia atnaujinimus. Atvejų, kai pasinaudojama ką tik atrastomis arba kūrėjams dar nežinomomis saugumo spragomis pasitaiko labai nedaug, didžioji dalis piktavalių programų bando skverbtis per ganėtinai senas saugumo spragas.

Papildoma priemonė apsaugai nuo kompiuterio infekcijų yra antivirusinės programos.

Kaip apsisaugoti nuo atakų

D. Didžgalvio teigimu, jeigu ataka rengiama per botnetą, kurio kompiuteriai daugiausiai yra užsienyje, paprasčiausias būdas apsiginti yra apriboti atakuojamo serverio ar duomenų centro tarptautinį interneto srautą. Tiesa, tokio gynybos būdo trūkumas yra tas, jog serveryje esanti informacija nebus pasiekiama užsienyje esančių vartotojų

„Atakas galima stabdyti ir pasitelkus interneto ryšio operatorių valdomus DDoS atakų „filtravimo“ sprendimus. Tai itin sudėtingi ir didelių investicijų reikalaujantys technologiniai ryšio įrengimai, sugebantys identifikuoti ir iš duomenų srauto atskirti DDoS informacijos srautą ir jį užblokuoti. Dėl savo sudėtingumo ir brangumo, įprastai visas interneto srautas nėra jais saugomas. Sprendimai diegiami norint apsaugoti atskirus serverius (svetaines) ar tinklo dalis (pvz., atskirų bendrovių tinklus)“, - sakė D. Didžgalvis.

Politiniai užsakymai

Kibernetinės atakos domina ne vien finansinių interesų turinčius nusikaltėlius. Žiniasklaida ne kartą yra skelbusi apie valstybės finansuojamas organizacijas, kurios vykdo toms valstybėms naudingas kibernetines atakas. Ir neretai būtent tokių militarizuotų kompiuterių ekspertų veikla būna pati pavojingiausia – pavyzdžiui, JAV ir Izraelio slaptųjų kibernetinių tarnybų sukurti virusai „Stuxnet“ ir „Flame“ labai tikslingai infekavo Artimųjų Rytų valstybėse esančius tam tikrų institucijų kompiuterius. Daugiausiai infekuotų kompiuterių buvo Irane. Budapešto technologijų ir ekonomikos universiteto atstovai apie „Flame“ yra sakę: „tai – be jokios abejonės sudėtingiausia piktybiniais tikslais naudojama programinė įranga, su kuria yra tekę susidurti mūsų praktikoje“. Tuo tarpu „Stuxnet“, manoma, sugadino apie 1000 Irano Natanzo urano sodrinimo gamyklos centrifugų kaitaliojant jų sukimosi greitį – tokiu būdu centrifugose atsiranda vibracija, sukelianti gedimus.

Valstybės finansuojamų programišių, iš kurių sudaryti „kibernetinės kariuomenės“ daliniai, turi ne tik JAV ir Izraelis – tokiais garsėja ir Kinija, Rusija, Šiaurės Korėja, Iranas.

Europos Sąjunga turi agentūrą ENISA (European Network and Information Security Agency), oficialiai atliekančią informacinių tinklų apsaugos funkciją. Panašią „kibernetinę policiją“ - Nusikaltimų elektroninėje erdvėje tyrimo valdybą – turi ir Lietuva.

Politinės potekstės būta DDoS atakose prieš Estiją, kuomet kilo triukšmas dėl Bronzinio kario statulos perkeldinimo iš Talino centro į karių kapines – puolimą prisipažino vykdžiusi Kremliaus remiama jaunimo organizacija „Naši“. Plataus masto koordinuotas DDoS puolimas buvo vykdytas ir prieš Gruzijos institucijų tarnybines stotis 2008 metų karo tarp Rusijos ir Gruzijos metu.

Lietuvos kibernetinio saugumo ekspertai mano, kad Lietuvai pradėjus pirmininkauti ES taip pat galime sulaukti nepageidaujamo dėmesio iš kaimynų.

   

Facebook komentarai