Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Malware i DDoS – co mają ze sobą wspólnego?

Printer Friendly and PDF

leadJeszcze 15 lat temu w Polsce Internet wykorzystywany był przez ograniczone grono użytkowników. Korzystały z niego głównie uczelnie i firmy informatyczne. Obecnie trudno nam sobie wyobrazić życie bez dostępu do tego medium. Możliwość niedrogiego, szybkiego komunikowania się ludzi z całego świata, dostępu do informacji, zamawiania usług, robienia zakupów bez wychodzenia z domu, dostępu do konta bankowego, podglądu obrazu z kamer zainstalowanych w odległych miejscach nie jest już dobrodziejstwem dla wybranych. To część naszego codziennego życia. To, co jeszcze dwie dekady temu wydawało się niemożliwe, dziś już nikogo nie dziwi.

Któż z nas uwierzyłby kilkanaście lat temu w to, że możliwe będzie regulowanie przez Internet temperatury w domu, gdy akurat przebywa się poza nim. Obecnie jest stosunkowo niewiele istotnych ograniczeń technicznych. Liczy się pomysł i zasobność portfela. Razem z rozwojem sieci i coraz większą jej dostępnością pojawiły się niestety także nowe zagrożenia. W ostatnim czasie głośno było o masowej, spreparowanej korespondencji e-mail. Treść wiadomości łudząco przypominała oryginalne informacje wysyłane przez dostawców usług telekomunikacyjnych, pocztowych czy bankowych, a załącznikiem do nich było złośliwe oprogramowanie (ang. malware). Otwarcie takiego załącznika infekuje komputer ofiary (uruchamia złośliwe oprogramowanie) i umożliwia przejęcie nad nim kontroli. Możliwa jest kradzież danych uwierzytelniających dostęp do konta bankowego. Wiele osób dało się nabrać przestępcom. Najlepszym sposobem na sprawdzenie, czy nasz komputer nie jest zainfekowany, jest pobranie odpowiedniego – nawet darmowego – oprogramowania typu antimalware (np. MalwareBytes, K7 UltimateSecurity) i uruchomienie skanowania. Efekty takiej weryfikacji mogą naprawdę zaskoczyć. Po usunięciu złośliwego oprogramowania lub upewnieniu się, że nasz komputer był wolny od tego typu zagrożenia, możemy ze spokojem zalogować się do swojego konta bankowego, żeby sprawdzić, czy nasze oszczędności nie wyparowały.

Każdego dnia tysiące użytkowników bankowości elektronicznej, użytkowników portali zakupowych czy osób korzystających z możliwości zdalnej weryfikacji stanu central alarmowych w swoich domach łączą się poprzez przeglądarkę internetową ze stroną WWW usługodawcy. Wydajność infrastruktury technicznej oraz przepustowość łącza internetowego są szacowane na podstawie liczby klientów lub zakładanej liczby użytkowników serwisów internetowych. Jeśli jednak w tym samym momencie z dostępu do danej strony internetowej będzie chciało skorzystać kilkaset razy więcej użytkowników niż zwykle, mogą pojawić się kłopoty z wydajnością infrastruktury sieciowej lub serwerów WWW. Objawia się to zazwyczaj wydłużeniem się oczekiwania na wyświetlenie treści lub wyświetleniem komunikatu o braku możliwości połączenia ze stroną. Taka sytuacja może zostać spowodowana przez rzeczywistych użytkowników, np. chcących zalogować się do portalu firmy, która ogłosiła akcję promocyjną: „Dla pierwszych 100 osób, które zalogują się do swojego konta w naszym portalu w piątek trzynastego o godzinie 1000 i zarezerwują zabieg kosmetyczny, czekają nagrody”. Zwielokrotniony ruch wygenerowany przez internautów chcących skorzystać z promocji może doprowadzić do braku dostępności strony WWW. Do podobnego zdarzenia może dojść na przykład wówczas, gdy na pasku wiadomości znanego telewizyjnego kanału informacyjnego pojawi się informacja o kłopotach finansowych biura podróży – wielu klientów tego biura w tej samej chwili będzie chciało sprawdzić, czy podobna informacja jest na jego stronie internetowej, i znaczna liczba jednoczesnych prób wyświetlenia strony może doprowadzić do jej niedostępności. Identyczna sytuacja może wystąpić jednak nie tylko w wyniku świadomego działania użytkowników.

Stacje robocze zainfekowane złośliwym oprogramowaniem (o którym wspomniano wcześniej) najczęściej komunikują się z serwerami atakujących, którzy wcześniej wysłali spam z plikami infekującymi komputery – są to serwery Command & Control, zwane w skrócie C&C. Złośliwe oprogramowanie może nie tylko wysyłać do serwera C&C dane wykradzione z komputera (np. dokumenty, zdjęcia, filmy, loginy i hasła wykorzystywane w bankowości elektronicznej lub portalach pocztowych), ale również „oczekiwać na rozkazy” wydawane przez C&C. Komputery zainfekowane przez oprogramowanie typu malware i komunikujące się z tymi samymi C&C stanowią tzw. botnet – sieć komputerów będących pod kontrolą atakujących. W ten sposób za pomocą danego komputera, bez wiedzy jego właściciela mogą być wysyłane wiadomości e‑mail na adresy określone przez atakujących, a także nawiązywane połączenia z dowolnymi stronami WWW. Gdy botnet liczący setki tysięcy komputerów – a znane są i takie, które liczą ich miliony – otrzyma „rozkaz” otworzenia w tym samym czasie strony WWW należącej do jakiegoś banku, bankowa infrastruktura sieciowa i (lub) aplikacyjna może nie wytrzymać tak ogromnego obciążenia i dostęp do zasobów bankowych będzie niemożliwy. Jest to atak typu DDoS (ang. Distributed Denial of Service). Dynamiczną mapę bieżących ataków DDoS można obejrzeć m.in. na stronie http://www.digitalattackmap.com.

W jakim celu dokonywane są takie ataki? Po pierwsze, dosyć częstą praktyką jest grożenie zablokowaniem strony WWW i żądanie pieniędzy za zaniechanie ataku. Po drugie, taki atak może zostać przeprowadzony na zlecenie niezadowolonego klienta. Jeszcze kilka lat temu tego typu ataki były stosunkowo trudne do zrealizowania i kosztowne. Dziś, z uwagi na setki milionów komputerów i serwerów podłączonych do sieci Internet, kilkuminutowy atak DDoS można „zamówić” i „zakupić” już za kilka dolarów. Reklamę takiej usługi można obejrzeć np. na stronie http://ddosservices.blogspot.com.

Atak może zostać przeprowadzony również na zlecenie konkurencji. Niczym wyjątkowym nie są również ataki na użytkowników gier internetowych – przypuszczenie ataku DDoS na adres IP gracza powoduje jego czasowe wyeliminowanie z rozgrywki, co może wiązać się z określonymi korzyściami dla zlecającego atak.

ramka1

Każda firma umożliwiająca swoim klientom dostęp do usług poprzez sieć Internet może stanąć pewnego dnia przed dylematem, jak się obronić przed tego typu atakiem. Brak dostępności usług może wpłynąć negatywnie na reputację firmy i spowodować straty finansowe. Wiele organizacji – w szczególności tych o dużych przychodach – stosuje zabezpieczenia sieciowe, które mają zapobiegać włamaniom do sieci wewnętrznych. Jednak w pojedynkę mogą one nie chronić dostatecznie przed wolumetrycznymi atakami typu DDoS. Może to być związane z ograniczeniami przepustowości łączy internetowych. Dla przykładu, jeśli przy normalnym ruchu użytkowników serwisu WWW danej firmy wykorzystywane jest pasmo 50 Mbps (megabitów na sekundę), a firma wykorzystuje łącze o przepustowości 100 Mbps, to przy ataku DDoS o wolumenie 500 Mbps dostęp do strony WWW dla rzeczywistych użytkowników będzie ograniczony albo niemożliwy, nawet pomimo zastosowania wewnętrznych zabezpieczeń DDoS. Rzeczywisty ruch po prostu nie dotrze do serwerów usługodawcy. Innymi słowy ograniczona przepustowość łącza będzie wąskim gardłem – będzie hamować rzeczywisty, poprawny ruch. Poza tym profesjonalne i skuteczne rozwiązania minimalizujące wpływ ataków DDoS są zbyt kosztowne, by ich zakup był opłacalny dla niewielkich firm.

Co można zrobić, by uchronić się przed wpływem ataków DDoS? Można zakupić usługę przeciwdziałania atakom DDoS u operatora telekomunikacyjnego. Dzięki temu, że operatorzy mogą udostępniać taką infrastrukturę zabezpieczającą większej liczbie klientów, koszt jej zakupu i utrzymania rozkłada się na większą liczbę partycypujących. Ponadto operatorzy dysponują łączami internetowymi o ogromnych przepustowościach, z których tylko część udostępniają swoim klientom. Poszczególne ataki DDoS swoim wolumenem nie są w stanie zablokować łącz będących do dyspozycji dużych operatorów telekomunikacyjnych. Jaką przepustowość łącza powinna zamówić firma, która chciałaby być niezależna i na własną rękę stworzyć infrastrukturę zabezpieczającą, by chronić swoje zasoby przed atakami DDoS? Jeszcze dwa lata temu obserwowano ataki DDoS o wolumenie rzędu kilkuset megabitów na sekundę. Wartości te z roku na rok wzrastają z powodu powiększania się liczby komputerów/serwerów podłączonych do sieci Internet (wykorzystywanych do ataków po infekcji złośliwym oprogramowaniem), spadku cen szerokopasmowego dostępu do Internetu i związanego z tym wzrastającego popytu. Dziś największe ataki wolumetryczne osiągają wartość  kilkuset gigabitów na sekundę. Ze względu na to, że większość firm serwujących usługi poprzez Internet (np. banki) posiada dziś łącza o przepustowości od kilkudziesięciu do kilkuset megabitów na sekundę, wzrost kosztów związany z wykorzystaniem łącza o dużo większej przepustowości, np. kilkusetgigabitowego, byłby po prostu nieopłacalny.

Krzysztof Białek

Zabezpieczenia 5/2014

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony