Stare ataki wracają do łask

Do łask wracają - ze względu na niski koszt i wysoką efektywność - ataki DDoS.

Cyberataki to już codzienność. W 2017 r. WannaCry rozpowszechniał się w internecie jakby nie było żadnych zabezpieczeń zdolnych do powstrzymania wirusa. Wystarczyła luka bezpieczeństwa systemu Windows zwana EthernalBlue. Analitycy Cisco szacują, że malware zarobił ok. 143 tys. dol. A mowa tylko o wpłatach bitcone z tytułu okupu (za raportem Annual Cybersecurity Raport 2018, Cisco). Niewiele, biorąc pod uwagę skalę jaką WannaCry osiągnął. To poziom zysków na tyle niski, że rząd USA i wielu badaczy - piszą analitycy Cisco - wierzą, że malware był zasłoną dymną dla realizacji zupełnie odmiennego celu niż wyłudzanie okupu - wymazywania danych. Same skutki dla firm, które musiały sobie poradzić z wirusem i zablokowanym dostępem do danych były bez wątpienia znacząco wyższe. Tego samego roku w sieci pojawił się kolejny wirus. W czerwcu NotPetya, wykorzysujący tę samą lukę w systemie co WannaCry, rozpowszechniał się głównie na Ukrainie, wpływając na działalność ok. 2000 firm.

To właśnie głównie duże ataki wzbudzają zainteresowanie mediów i opinii publicznej. Co nie oznacza, że na co dzień w cyberprzestrzeni panuje spokój. Hakerzy i cyberprzestępcy nieustannie szukają nowych sposobów na przejecie kontroli na infrastrukturą, wyłudzenie okupu, na zastraszenie lub paraliż firm, organizacji, administracji publicznej.

Tak jak w 2017 r. tematem numer jeden pozostawał malware, tak w 2018 r. i 2019 r. na horyzoncie pojawiło się nowe zagrożenie. "Wielkość ataków DDoS rośnie w alarmującym tempie na całym świecie, co ma istotne konsekwencje dla operatorów sieci każdej wielkości, od globalnych dostawców usług po nowe przedsiębiorstwa" - piszą autorzy raportu "Cloud in the crosshairs. Netscout's 14th Annual Worldwide Infrastructure Security Raport" i dowodzą, że ataków DDoS doświadczyło 39 proc. badanych przedsiębiorstw.

Skąd taka popularność DDoS? - Za każdym tego typu atakiem stoi chęć zarobku lub "potrzeba" zaszkodzenia komuś. W pierwszym przypadku model wygląda tak - nie radzisz sobie z atakiem, a chcesz mieć spokój - zapłać atakującemu. Znane są też sytuacje, w której atakujący świadczył również usługi ochrony przed atakami DDoS. Drugi model to działanie na szkodę np. konkurencji. Podstawowe ataki są dostępne za kilka dolarów (5-10 USD) za godzinę. Chcemy uderzyć z większą siłę, płacimy więcej - mówi w rozmowie z Interią Marek Makowski, kierownik ds. rozwoju produktów cyberbezpieczeństwa w Exatelu.

Liczba przedsiębiorstw, które doświadczyły ataków DDoS wzrosła do 42 proc. w przypadku firm z większą liczbą pracowników niż 1000 osób. W międzyczasie więcej niż 30 procent respondentów zgłosiło okupowanie oprogramowania w ub.r. To poziom podobny zresztą do tego z 2017 roku.

Przedsiębiorstwa odnotowały również znaczący wzrost wymuszeń okupu za ataki DDoS. Zgłoszone ataki w tej kategorii skoczył z szóstego miejsca na trzecie, podwajając się z 17 proc. w 2017 roku do 34 proc. w 2018 roku. Rośnie nie tylko popularność ataków DDoS, ale również ich skala. "Po raz pierwszy w historii, atak DDoS przekroczył 1 Tbp/s. Kilka dni później, atak 1.7 Tbp/s został zarejestrowany. Oficjalnie weszliśmy w erę ataków terabajtowych. Zaobserwowaliśmy dramatyczny i stały wzrost rozmiaru i złożoności ataku DDoS. W tym roku 91 proc. przedsiębiorstw, które doświadczyły ataku DDoS wskazało, że jeden lub więcej ataków całkowicie nasyciło ich przepustowość internetu" - piszą autorzy raportu.

Jak działają atakujący? Wyobraźmy sobie, że atakowana usługa to duże centrum handlowe do którego prowadzi szeroka droga. W normalnych warunkach klienci spokojnie dojeżdżają i wyjeżdżają z niego. I nagle, nie wiadomo skąd, do naszego centrum przyjeżdża 1 000 razy więcej aut i ludzi. Tworzą się korki, parkingi są przepełnione. Ludzie nie mogą ani wjechać, ani wyjechać. Wszystko staje. - Aby atak DDoS był skuteczny, musimy po prostu osiągnąć górną granicę możliwości łącza lub aplikacji/serwera. Atakujący używa "komputery/urządzenia zombie", które wcześniej przejął i które teraz wykonują jego komendy. Mogą nimi być laptopy, ale także kamerki internetowe, głośniki bezprzewodowe, lodówki, drukarki, elektroniczne nianie, kawiarki, kuchenki... Innymi słowy wszystko, co łączy się z internetem. Każdy z nich osobno to za mało, by atak był skuteczny. Ale jeśli w jednym czasie 300 000 urządzeń IoT z całego świata zacznie się łączyć do jednego, wybranego serwera - to otrzymamy typowy atak DDoS - tłumaczy Makowski.

IoT to nazwa zbiorcza, która określa wszystkie przedmioty z naszego otoczenia, które łączą się ze sobą nawzajem lub z siecią internet. Już dziś jest ich dużo - to smartwatche, czujniki, głośniki. W większości wypadków przy ich zakupie kierujemy się ich możliwościami oraz ceną. Rzadko kiedy patrzymy, czy posiadają wsparcie techniczne. Czy producent zapewnia aktualizacje bezpieczeństwa. I w końcu czy same urządzenie w ogóle było projektowane tak, by być bezpieczne (np. tak, by nie korzystało ono z technologii uznawanej oficjalnie za przestarzałą lub skompromitowaną). To znajduje swoje odzwierciedlenie w statystykach. Pokazują one, że urządzenia szeroko pojętego IoT są zwykle słabo zabezpieczone (trudno o inną sytuację, rynek konkuruje przede wszystkim ceną). To oznacza, że przejęcie kontroli nad nimi i wykorzystanie do ataków takich jak np. DDoS, będzie nadal łatwe i efektywne kosztowo. A to znów sprawia, że popularność DDoS będzie rosła.

Światowe trendy wskazują, że prawdopodobieństwo ataku rośnie z roku na rok. Atak ten jest obarczony niskim ryzykiem wykrycia sprawcy. Rośnie też liczba słabo zabezpieczonych urządzeń, które w stosunkowo łatwy sposób można przejąć i wykorzystać do ataku DDoS. W efekcie ataki wolumetryczne należą do tych najbardziej efektywnych kosztowo. - Oznacza to, że pytaniem nie jest, czy dana firma zostanie zaatakowana, a raczej, kiedy. Kilku-, kilkunastogodzinne przerwy w działaniu sieci zawsze generują straty. A odpowiednio przeprowadzony atak może wyłączyć znaczną część wystawionej do internetu infrastruktury. Przywracanie jej do pełnej funkcjonalności zajmuje dużo czasu. Niekiedy wiąże się też z utratą części danych. Co gorsze - ataki DDoS to często "zasłona dymna" do innych działań hackerskich. Zajęci szkodliwym ruchem możemy nie zauważyć np. wycieku danych - ocenia ekspert Exatela.

Czy można się przed tym bronić? - Skuteczną metodą ochrony przed atakami DDoS jest usługa świadczona przez dostawcę internetu. Niechciany ruch powinien zostać wyczyszczony zanim dotrze do docelowego serwera - mówi Makowski. Najprostszym mechanizmem obrony jest tzw. blackholling, czyli "wycięcie" całego ruchu kierowanego w stronę celu - tego złego, jak i tego dobrego. Skutki dla atakowanego są w tym wypadku odczuwalne - traci on kontakt ze światem. Dlatego coraz więcej firm wybiera ochronę aktywną, który filtruje ruch. Zły nadal jest odrzucany, ale dobry spokojnie przechodzi dalej - mówi Makowski.

Usługa ochrony przed atakami DDoS u operatorów telekomunikacyjnych jest świadczona w modelu abonamentowym. Różnią się narzędzia, które wpływają na cenę samej usługi - Obecnie na rynku króluje kilka międzynarodowych rozwiązań. Ale postęp technologii powoduje, że liczba graczy rośnie. Nowoczesne rozwiązania bazują na warstwie programowalnej - tak jak stworzony przez nas anty-DDoS TAMA. Ich przewagą jest lepsza skalowalność i elastyczność. Warto wspomnieć, że są też lepiej dostosowane pod względem specyfiki danego regionu czy możliwości finansowych rynku. A szczególnie w przypadku np. infrastruktury krytycznej. Ważne jest także bezpieczeństwo samego rozwiązania i zaufanie do jego twórcy - przypomina Makowski.

wb

Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze