Wydawałoby się, że tacy giganci internetowego biznesu jak Yahoo czy Amazon.com zabezpieczyli swoje serwisy przed każdym możliwym atakiem. Drugi tydzień lutego rozwiał to złudzenie.
Na pierwszy ogień, w poniedziałek, poszło Yahoo – po próbach utrzymania działalności musiało na trzy godziny zawiesić funkcjonowanie serwisu. W kolejnych dniach “pod nóż” trafili następni: Amazon.com, CNN, eBay, Buy.com, E*Trade, ZDnet oraz szereg mniejszych, niekoniecznie związanych z branżą komputerową witryn. Wszyscy zastanawiali się, jak to możliwe, że kolejne serwisy pomimo znajomości losu Yahoo były unieruchamiane z równą łatwością.
Przyczyna okazała się prosta – forma przeprowadzonego ataku (Distributed Denial of Service) nie była może zupełnie nowa, jednak nigdy nie zastosowano jej na taką skalę. Co ciekawe, oprogramowanie, które posłużyło do przeprowadzenia wzmiankowanych ataków ( The Tribal Flood Network (TFN), Trin00, Stachlendracht oraz TFN2K ) było od pewnego czasu znane i bez większego problemu dostępne w Sieci. Ze względu na to, że większość tych programów pracuje w środowisku maszyn uniksowych (z wyjątkiem TFN2K), do ataku wykorzystano słabo zabezpieczone sieci akademickie USA i Europy, gdzie maszyn uniksowych pracuje najwięcej.
Typowy atak Denial of Service polega na zablokowaniu pojedynczej usługi sieciowej bądź zawieszeniu pracy całego serwera, tak by konieczna była interwencja operatora. Atak typu DoS może również polegać na przeciążeniu połączenia sieciowego przez taką ilość zapytań, by odwołania rzeczywistych użytkowników do serwera nie mogły zostać obsłużone – i odmianę takiego właśnie ataku przeprowadzono przeciwko amerykańskim serwisom. Podstawową wadą typowego ataku DoS jest względna łatwość “namierzenia” sprawcy, gdyż jest on przeprowadzany z jednej, konkretnej maszyny w sieci. Oczywiście pakiety “agresora” wysyłane są ze sfałszowanym (spoofing) adresem sieci, aby utrudnić wyśledzenie nadawcy. Większość routerów ma jednak filtry uniemożliwiające wyprowadzenie takiego ataku z obsługiwanej przez nie sieci.
Praca zbiorowa
Zmodyfikowana wersja DoS – Distributed Denial of Service (DDoS) wprowadza kilka istotnych innowacji, znacznie zwiększających jego skuteczność i utrudniających jego zablokowanie. Przede wszystkim atak przeprowadzany jest z wielu komputerów, i to w sposób skoordynowany, jednocześnie. Ponadto maszyna, z której uruchamiany jest atak, w ogóle w nim nie uczestniczy, co znakomicie utrudnia jej namierzenie.
W tym momencie nasuwa się zasadnicze pytanie: dlaczego namierzenie komputerów, które bezpośrednio prowadziły atak typu DoS, nie pozwala w tym przypadku zidentyfikować jego autora? Otóż właściciele, użytkownicy bądź operatorzy takich maszyn w ogóle nie są świadomi, iż zostały one w takim celu wykorzystane! Ich komputery zostały zarażone przez odmianę wirusa internetowego (robaka, ang. worm), którego zadaniem nie była destrukcja lokalnie przechowywanych danych, ale uczestnictwo w ataku przeprowadzonym na inny komputer włączony do Sieci. Wykrycie uczestniczącego w ataku “współlokatora” jest tym bardziej utrudnione, że jest możliwe takie skonfigurowanie robaka, by po otrzymaniu określonego sygnału bądź wykryciu próby namierzenia odinstalował się i usunął ślady swej bytności w systemie.
Typowa sieć DDoS składa się z czterech elementów funkcjonalnych: agresora (attacker), zarządcy (master node), żołnierzy (daemon node) oraz, oczywiście, ofiary. Agresor, jak już wspomnieliśmy, w samym ataku nie uczestniczy, a jedynie wysyła sygnał do jego rozpoczęcia, i to nie bezpośrednio do żołnierzy, a do zarządcy (może ich być dla pewności kilku). Dopiero ten uruchamia i koordynuje atak według zaprogramowanego uprzednio schematu. Rozmiar takiej sieci może wynosić od kilkunastu do tysięcy maszyn (sugestywnie określanych w anglojęzycznej prasie mianem zombie ) – sieć, która zablokowała na ponad dwa dni działanie systemów komputerowych Uniwersytetu stanu Minnesota, liczyła ponad 227 maszyn.
Hakerzy? Ależ skąd!
Skoro już wiadomo, w jaki sposób dokonano ataku, pozostaje pytanie, kto i dlaczego jest jego sprawcą? Jako że w Sieci znaleźć można każdą chyba spiskową teorię dziejów, również i w tym przypadku zabraknąć takowej nie mogło. Otóż pewien amerykański adwokat, Jim Warren, wysunął tezę, iż rząd Stanów Zjednoczonych nie tylko skwapliwie wykorzystał okazję do zaprezentowania, jak groźny jest cyberterroryzm, ale i przyczynił się do powstania owej okazji. “To niezwykle zastanawiające, że natychmiast po złożeniu przez administrację Clintona deklaracji wojny z cyberterroryzmem… mamy niespodzieëwaną serię ataków DoS przeciwko samej śmietance sieciowego biznesu”. Zwolennicy tej teorii podkreślają, że FBI kontaktowało się z niektórymi serwisami (np. ZDnetem), zanim jeszcze zostały przez kogoś zaatakowane. Jak to zazwyczaj w takich przypadkach bywa, zapominają oni jednak wspomnieć, że owe kontakty ze strony FBI miały postać ostrzeżenia przed atakiem…
Tak czy inaczej nie tylko dla administracji rządowej USA ta fala ataków stała się przysłowiową manną z nieba. Większość firm, tworzących oprogramowanie mające cokolwiek wspólnego z zabezpieczaniem komputerów i sieci, w ciągu paru dni ogłosiła, że to właśnie ich produkt pozwoli w przyszłości uniknąć podobnych niespodzianek. Te uczciwsze przyznawały, że proponowane rozwiązanie jest tylko częściowe – gdyż jednego, cudownego lekarstwa na tę chorobę nie ma. Większość ekspertów jest zgodna, że odpowiednie środki zaradcze muszą zostać wprowadzone nie tylko u operatorów sieciowego biznesu, ale również (a może przede wszystkim) u dostawców usług sieciowych i w sieciach akademickich. To właśnie komputery ze słabo zabezpieczonych sieci uniwersytetów w Los Angeles, Santa Barbara i Stanforda stanowiły podstawę lutowych ataków.
Na całej tej historii z całą pewnością skorzystają również towarzystwa ubezpieczeniowe, które od razu zanotowały gwałtowny wzrost zainteresowania ubezpieczeniami przeciwko skutkom ataków hakerskich. Wśród najrozmaitszych przypuszczeń co do powodów owych ataków najbardziej prawdopodobna wydaje się teza, że żadnego powodu nie było – tak jak ma to miejsce w przypadku większości przejawów wandalizmu.
—
| Info Grupy dyskusyjne Uwagi i komentarze do artykułu: # Pytania techniczne do zagadnień poruszanych w tekście: # Internet: Dittrich DDoS Pagehttp://staff.washington.edu/dittrich/misc/ddos/ Distributed Denial of Services Attackshttp://www.evinci.com/whitepapers.asp Security Considerations for Network Attacks http://www.microsoft.com/technet/security/dosrv.asp DDoS Attack Mitigationhttp://staff.washington.edu/dittrich/misc/ddos/elias.txt CERT Coordination Centerhttp://www.cert.org/advisories/CA-2000-01.html Cisco DDoS News Flashhttp://www.cisco.com/warp/public/707/newsflash.html DDoS FAQ http://www.securityportal.com/direct.cgi?/research /ddosfaq.html |
