W przekazach medialnych można usłyszeć, że współczesna działalność przestępcza w dużej mierze przenosi się do Internetu. Myśląc o nielegalnych działaniach w sieci, zwykle mamy na myśli włamania na konta czy próby wyłudzenia pieniędzy poprzez fałszywe zbiórki charytatywne. Okazuje się, że pomysłowość i skala działania cyberprzestępców może przypominać w swojej charakterystyce funkcjonowanie mafii. Przykładem ataku, który potrafi dosłownie sparaliżować funkcjonowanie danego serwisu, powodując przy tym niezwykle kosztowne straty finansowe, jest DDoS.
Wskazuję, na czym polega atak DDoS, jak przedsiębiorstwa mogą się chronić przed tego typu działaniami i które podmioty są najczęstszym celem ataku. Wyjaśniam, dlaczego ryzyko atakami DDoS będzie w ciągu najbliższych lat systematycznie rosnąć.
Spis treści
Atak DDoS na serwer – czym jest?
DDoS to skrótowiec od anglojęzycznego terminu distributed denial of service, co w najprostszym przekładzie translacyjnym oznacza: rozproszona odmowa usługi. Choć tak zaprezentowane tłumaczenie nie oddaje do końca charakteru i powagi sytuacji, to należy zdawać sobie sprawę z tego, że skutki ataku mogą być bardzo wyraźne. Ataki DDoS paraliżują systemy łączności oraz serwisy internetowe, a to dzięki skoordynowanej ofensywie dużej grupy botnetów. Komputery-zombie dosłownie szturmują serwery ofiary, paraliżując wybrane systemy komputerowe. Reperkusjami ataku są nie tylko przerwy w działalności danej strony internetowej, ale również bezpośrednie straty finansowe firmy. Przerwa w działaniu systemu transakcyjnego przekłada się na mniejszą liczbę potencjalnych klientów, co może zakończyć się w skrajnych przypadkach bankructwem podmiotu. DDoS może posłużyć hakerom do:
- przestępczego eliminowania konkurencji,
- zastraszania kolejnym atakiem (żądają okupu),
- szantażowania firm w Internecie,
- nielegalnych działań politycznych i terrorystycznych.
Przebieg ataku DDoS w Internecie – jak wygląda?
Do ataku DDoS wykorzystuje się dużą liczbę komputerów szturmujących w jednym momencie system ofiary. Atak DDoS rozpoczyna się ofensywą z bardzo wielu lokalizacji jednocześnie i charakteryzuje się natarczywymi, powtarzalnymi i fałszywymi próbami skorzystania z usługi danego serwisu. Mogą być to m.in. próby wielokrotnego wywoływania i odświeżania danej strony internetowej. W wyniku rychłego wyczerpania dostępnych zasobów (co przy tak dużej liczbie żądań jest zjawiskiem normalnym) strona internetowa przestaje odpowiadać. Serwer bez wolnych zasobów techniczno-sieciowych (brak pamięci operacyjnej, minimalna wydajność procesorów czy zajęte pasmo sieciowe) traci swoją zdolność normalnego do funkcjonowania, przez co dochodzi do zawieszenia usługi. Reasumując, atak DDoS przebiega w kilku krokach:
- normalne funkcjonowanie serwera,
- skoordynowany atak zainfekowanych urządzeń z wielu miejsc jednocześnie,
- wysycenie przepustowości lub przeciążenie działania serwera i jego przerwanie.
Kto bierze udział w ataku DDoS?
Z atakiem DDoS wiąże się funkcjonowanie komputerów-zombie. To urządzenia, które zostały zainfekowane przy użyciu specjalnego oprogramowania malware. Użytkownicy, posiadający zawirusowane sprzęty, bardzo często nie zdają sobie sprawy z tego, że ich urządzenie bierze udział w ataku. Urządzenia podłączone do sieci, które atakują ofiarę, są nie bez przyczyny określane mianem zombie. Oznacza to, że potencjalnym atakującym może nieświadomie zostać każdy z nas – stąd też niebagatelna rola w chronieniu swojego urządzenia przez złośliwym oprogramowaniem pochodzącym z sieci. Oczywiście, atak wymaga pewnej koordynacji działań, dlatego stoi za nim jedno centralne urządzenie, które należy do cyberprzestępcy.
Czy atak DDoS jest przestępstwem?
Celem ataku DDoS może być szantaż lub wymuszenie na podmiocie wykonania określonych czynności. Cyberprzestępcy żądają okupu w zamian za zaprzestanie ataków. Bezpośredni skutek ofensywy DDoS to wywołanie dezaktywacji serwera, usług lub sparaliżowanie całej infrastruktury sieciowej danej firmy. Zgodnie z funkcjonującymi zapisami prawnymi nie tylko w UE, ale także m.in. w Stanach Zjednoczonych, takie działanie jest traktowane jak przestępstwo. Jednym z najbardziej charakterystycznych ataków DDoS w historii Polski było skoordynowane działanie grupy Anonymous, która dokonała blokady polskich stron rządowych w kontekście planowanego uchwalenia międzynarodowego porozumienia ACTA. To dowód na to, że atakami DDoS mogą być nie tylko próby paraliżu działania przedsiębiorstw, ale także i instytucji państwowych.
Do czego może zostać użyty atak DDoS?
Atakami DDoS określane są zarówno niewielkie przedsięwzięcia cyberprzestępców, jak i olbrzymie operacje paraliżujące największych graczy na świecie. Brak stabilności działania niewielkiego sklepu internetowego lub serwisu informacyjnego to problem na stosunkowo niedużą skalę. Nie oznacza to, że atak nie może dotknąć także tych najmniejszych podmiotów. Najpoważniejsze skutki ofensywy DDoS dotyczą przede wszystkim serwisów aukcyjnych czy firm brokerskich. Przedsiębiorstwa tego typu nie mogą sobie pozwolić na choćby niewielki przestój w wykonywaniu usług (podobnie jak usługi pocztowe), gdyż każda minuta zwłoki skutkuje nieodwracalnymi stratami pieniężnymi.
Skąd wynika wzrastająca liczba ataków DDoS?
60 minut nieprzerwanego działania DDoS można zakupić za kilkadziesiąt dolarów amerykańskich. To stosunkowo niewielka cena za to, aby wyeliminować – lub czasowo sparaliżować – działania konkurencyjne. Koszty, które muszą ponieść ofiary ataku, są jeszcze większe. Mowa o niemierzalnych finansowo stratach wizerunkowych, utracie prestiżu i zmniejszeniu zaufania do podmiotu. Sukcesywny rozwój złośliwych aplikacji, a także zwiększająca się liczba użytkowników sieci, pozwala sądzić, że ataki DDoS na serwery, w tym także rządowe, będą coraz częstszym przedsięwzięciem realizowanym przez cyberprzestępców oraz przez agencje wywiadowcze państw.
Jak się bronić przed atakami DDoS?
Do obrony przed atakami distributed denial of service służą nowoczesne technologie zabezpieczające, które analizują ryzyko w czasie rzeczywistym i dokonują przekierowywania nadmiernego obciążenia poza witrynę. Wykorzystują one swojego rodzaju filtry, które są w stanie rozróżnić ruch organiczny, od planowanego i skoordynowanego ataku. Oprogramowanie zwiększa bezpieczeństwo za pomocą:
- jednostek filtrujących usługę www,
- technik wykrywających złośliwy ruch sieciowy,
- możliwości przywracania ruchu na stronie,
- nieprzerwanego, całodobowego działania (usługa ochrony w czasie rzeczywistym),
- oczyszczania ruchu, który został zakwalifikowany jako potencjalnie niebezpieczny.
Pionierami w rozwoju nowoczesnych technologii ochrony przed DDoS są m.in. platformy Exatel i OVH – jeśli chcesz dowiedzieć się o nich więcej, to polecam przejrzenie informacji o tych usługach, a o ewentualnych wątpliwościach odpowie biuro obsługi klienta danej firmy.
Jak zwiększyć bezpieczeństwo przed zagrożeniem?
W Internecie znajdziemy usługi pozwalające na filtrowanie ruchu, dzięki wykorzystaniu korekty rekordów DNS. Każdy pojedynczy ruch, dzięki tym narzędziom, jest odpowiednio analizowany pod kątem ewentualnego zagrożenia. Stuprocentowa ochrona przed ofensywą DDoS jest jednak praktycznie niemożliwa, a sukcesywny rozwój zagrożeń może niebawem spowodować całkowite przekroczenie możliwości obronnych systemów IT. Pamiętaj, aby korzystać wyłącznie z takich usług i platform sieciowych, które posiadają możliwość ustanowienia pełnej ochrony łączy. Ważne jest również uzyskiwanie raportów po potencjalnym ataku – aby sprawdzić, czy atak został przeprowadzony z zagranicy, czy z Polski.
