Artykuły dotyczące tematu: ddos

dodany: 27.06.2013 | tagi: , , , ,

Działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS – wywiad ze Stevenem Mulhearnem

0
Wywiad

Na przestrzeni kilku ostatnich lat ataki DDoS stały się bardzo popularną formą cyberprzestępczości. Przy okazji konferencji NGSec, która odbyła się w Warszawie 12-13 czerwca 2013, zapytaliśmy Stephena Mulhearna z firmy Fortinet o to, jak chronić się przed tego typu atakami, ich ewolucję oraz o działalność Anonymous na świecie na przestrzeni ostatnich lat. Pytaliśmy także o najsłynniejsze, najgroźniejsze i najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous.

Steve Mulhearn_1Stephen Mulhearn – Director of Product Management, Fortinet. Steve ma ponad 25-letnie doświadczenie w branży sieciowej i telekomunikacyjnej. Uczestniczył w narodzinach wielu firm technologicznych, w tym Ascend Communications, Arbor Networks, Sandvine i Redseal Networks. Od 15 lat koncentruje się na bezpieczeństwie, a od 10 lat jest aktywnie zaangażowany w dostarczanie rozwiązań do ochrony przed atakami DDoS. Był pierwszym międzynarodowym pracownikiem technicznym w Arbor Networks, a przez 4,5 roku jako Dyrektor Techniczny brał udział w tworzeniu rozwiązania DDoS uznanego jako standard na rynku dostawców usług. Steve dołączył do Fortineta w 2012 roku jako Dyrektor ds. Zarządzania Produktem i jest odpowiedzialny za rodzinę rozwiązań FortiDDoS.

 

Jaką strategię należy objąć chcąc uchronić witrynę przed możliwością / skutkami ataku DDoS?

Istnieje wiele metod zapobiegania atakom DDoS, które pozwalają na utrzymanie ciągłości usługi. Pierwszą z nich jest świadomość, że istnieje możliwość wyczerpywania się zasobów oraz umieszczenie dedykowanych rozwiązań w miejscu, gdzie będą proaktywnie chronić i wykrywać potencjalne ataki lub niedobory zasobów (które wspólnie stanowią takie samo zagrożenie jak niedostępność usługi). Drugą metodą jest znalezienie i analiza możliwych luk w systemie. Tak często jak słabe punkty są wykorzystywane do przeprowadzenia ataków hakerskich, tak samo w łatwy sposób mogą zostać wyeliminowane lub zabezpieczone przed zagrożeniami. Wreszcie, należy zrozumieć w jaki sposób przebiega sam atak. Jeśli atak DDoS jest w toku, to często zakładamy, że jest to awaria systemu. I to często nie jest przypadek. Z tego względu, że zanim zdążymy podjąć jakiekolwiek działania mające na celu wykrycie ataku, DDoS ustępuje bądź zostaje czasowo zawieszony, uniemożliwia to przeprowadzenie skutecznego dochodzenia.

Jak urządzenie / oprogramowanie odpowiedzialne za ochronę przed DDoS odróżnia atak od pożądanego ruchu?

Systemy służące do ograniczania ataków DDoS mają jeden wspólny cel: zachowanie ciągłości usług. Często użytkownicy nie zdają sobie sprawy w jaki sposób ochrona przed DDoS jest realizowana. Ale z naszego punktu widzenia ma to kluczowe znaczenie, ponieważ łagodzenie ataku DDoS – jeżeli jest wykonane nieprawidłowo – może spowodować atak DDoS. Dlatego zawsze radzę, aby urządzenia bezpieczeństwa raportowały nie tylko charakterystykę ataku, ale także metody zaangażowane do walki z atakiem DDoS.

W jaki sposób najczęściej cyberprzestępcy pozyskują komputery-zombie tworzące później botnety zaangażowane w ataki DDoS?

Istnieje kilka sposobów. Najczęściej używaną i wciąż popularną metodą infekowania, jest wysłanie e-maila ze złośliwą zawartością, często podszywając się pod osobę, którą użytkownik zna i której ufa, a której komputer już należy do botnetu. Twórcy złośliwego oprogramowania często ukrywają swój kod w Internecie, w miejscach, skąd może on być łatwo i nieświadomie pobrany. Hakerzy skanują również serwery, aby poznać otwarte porty i aplikacje, a następnie użyć znanej podatności tej aplikacji, by przejąć kontrolę nad serwerem i załadować złośliwy kod.

Jak nietechniczny użytkownik może sprawdzić, czy nie jest częścią takiego botnetu – na co powinien zwracać uwagę, jakie zachowania komputera powinny go niepokoić?

Kiedy używamy komputera w niewielkim stopniu lub wcale, a aktywność karty sieciowej jest wysoka, to już jedna z poważnych oznak, ale nie jedyna. Niestandardowe procesy działające na systemie to następne ostrzeżenie.

Ataki DDoS są groźne same w sobie, ale jeszcze groźniejsze w połączeniu z innymi technikami, jakie to techniki i jak możemy się chronić?

Ataki DDoS są często wykorzystywane do zamaskowania prawdziwej intencji ataku, jak to miało miejsce w przypadku Sony. Z punktu widzenia atakującego, celem jest znalezienie łatwo wyczerpywalnych zasobów, aby unieruchomić usługę, naszym wyzwaniem jest zrozumienie polityki bezpieczeństwa i działających procesów. Często udaje nam się zdefiniować surową politykę, ale stopień jej stosowania jest znikomy. Innymi słowy: my definiujemy politykę bezpieczeństwa, jednak w praktyce staje się zupełnie inna.

Czy po atakach nagłaśnianych za sprawą działalności Anonymous nie powstała swego rodzaju „moda” na taki rodzaj szkodliwej działalności?

Myślę, że działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS. Jednak ich akcje są w pewnym sensie anomalią do innych tego typu działań. Przeważnie ofiary cyberprzestępców nie mają pojęcia przez kogo i dlaczego zostały zaatakowane. Anonymous działają inaczej – z wyprzedzeniem zapowiadają, kto będzie ofiarą, kiedy i jak zaatakują. Wprawdzie nadal stosują metody, których nie ujawniają, ale w istocie ostrzegają swoje ofiary, niemalże drwiąc sobie z nich.

Co sądzi Pan o uznaniu ataków DDoS jako legalnej formy protestu w Internecie?

Uważam, że istnieje wiele innych legalnych i mniej konfliktowych sposobów protestu, niż te, podczas których używa się cyberprzestępczości jako platformy do wyrażania przeciwu.

Co jest największą przeszkodą w procesie śledzenia / zatrzymywania przestępców zajmujących się atakami DDoS?

Myślę, że największą przeszkodą w walce z cyberprzestępczością jest łatwość z jaką można przeprowadzić atak DDoS. W Internecie dostępne są aplikacje, które pozwalają to zrobić. W praktyce często takie aplikacje zawierają szkodliwe oprogramowanie i chociaż to my jesteśmy zainteresowani wykorzystaniem botnetu czy też wszczęciem ataku, sami możemy łatwo stać się częścią czyjegoś botnetu. Tak więc ze względu na ogromną liczbę ataków, które są nie lada wyzwaniem, organy ścigania koncentrują swoje działania na tych najgroźniejszych realizowanych przez najlepiej zorganizowane organizacje cyberprzestępcze.

Najsłynniejsze, najgroźniejsze, najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous?

Wiele osób zakłada, że im większa skala ataku tym jest on groźniejszy. Jednak nie zawsze tak jest. Wszyscy koncentrują się na wielkości ataku, podczas gdy rzeczywistą miarą powinna być jego skuteczność. Przeprowadzona niedawno przez Spamhaus akcja jest dobrym tego przykładem: atak przekraczał natężenie 300 Gb/s (według niektórych doniesień), a został pomyślnie złagodzony. Faktem jest, że większość dostawców usług telekomunikacyjnych dysponuje dziś środkami zapobiegawczymi przed masowymi atakami przestrzennymi, przede wszystkim w celu ochrony własnej infrastruktury. Jednak to ukierunkowane ataki, które są bardziej skuteczne, często pozostają niezauważone.

Według mnie najgroźniejszymi ataki w ostatnim czasie były ataki na amerykańskie banki – przeprowadzone w sposób niezwykle inteligentny były w stanie skutecznie zablokować usługi wielu instytucji w tym samym czasie.

Jak Pana zdaniem mogą ewoluować ataki typu DDoS – czego możemy spodziewać się w przyszłości?

Haktywiści oraz inni internetowi przestępcy mają do dyspozycji niezliczoną ilość narzędzi i technologii służących do rozpoczęcia ataku DDoS. Naszym wyzwaniem jest znalezienie proaktywnych metod ich wykrywania. Uważam, że w ten sposób możemy zrozumieć prawdziwy problem – nie mam na myśli tylko analizy poziomu ruchu, ale także prawdziwych zachowań klientów i sesji. Jeśli przeniesiemy tę analizę do działania serwisu, to w momencie pojawienia się zagrożenia wyczerpania zasobów, należy zastosować w sposób inteligentny metody ograniczające. Wiemy, że hakerzy będą starali się obejść każde zabezpieczenie, które zastosujemy, dlatego zagrożenia wiecznie pozostają w ruchu.

Byliśmy świadkami jak powstawały ataki na 7 warstwę jak i również wprowadzania metod łagodzących przed skomasowanymi atakami wolumerycznymi. Naszym wyzwaniem jest zrozumienie oraz rozwój metod wykrywania jako narzędzia nowej generacji, które nie tylko reagują na zagrożenia, ale przede wszystkim wykrywają je, zanim spowodują straty, bez względu na to, jakie technologie zostały wykorzystane przez hakerów.

dodany: 09.05.2013 | tagi: , , ,

Winny atakom DDoS na Allegro i banki złapany?

8

Wczoraj Policjanci z komendy wojewódzkiej we Wrocławiu zatrzymali mieszkańca Legnicy (Dolny Śląsk) w związku z atakami DDoS – w tym wypadku sprawa dotyczy ataków na Allegro oraz banków ING Bank Śląski i mBank. Atakującym zainteresował się Wydział do walki z Przestępczością Gospodarczą, w związku z żądaniem okupu w zamian za zaprzestanie ataków.

Szantażysta żądał zaledwie 50 tysięcy złotych w wirtualnej walucie bitcoin – kwota ta nie jest duża w porównaniu do szacowanych strat, które spowodował atakujący – wartość szkód oszacowano na około 8 milionów złotych.

Pojmany legniczanin przeprowadzał największe ataki od kwietnia, przy czym pierwsze na Allegro zostały odnotowane już w lutym tego roku. Jak podaje Policja do zatrzymania doszło w wyniku współpracy Wydziału do Walki z Przestępczością Gospodarczą wraz z atakowanymi.

Podczas zatrzymania zarekwirowano dwa komputery, a także telefony komórkowe. 32-letniego legniczanina po przesłuchaniu zwolniono. Rzeczniczka Allegro zapowiedziała roszczenia wobec strat finansowych, gdyż wskutek tych ataków 20-30% użytkowników serwisu nie miało dostępu do niego dostępu przez okres pięciu dni.

W przypadku potwierdzenia zarzutów, podejrzanemu grozi więzienie.

 

dodany: 05.04.2013 | tagi: , , ,

Komentarz firmy Fortinet na temat ataków DDoS w związku z atakiem na mBank

1

Dzisiaj rano klienci mBnaku doświadczyli problemów z dostępem do serwisu (zobacz newsa: Serwisy www BRE Banku niedostępne). Bank nie zamieścił jeszcze oficjalnej informacji o przyczynach przerw w działaniu, ale idąc tropem ostaniach wydarzeń na allegro.pl, zakładamy, że miały one związek z atakami DDoS. Poniżej zamieszczamy komentarz Sebastiana Krystynieckiego – inżyniera systemowego w firmie Fortinet, na temat ataków DDoS w związku z awarią banku.

 

1.      Jakie zagrożenia i konsekwencje niosą ze sobą ataki DDoS dla końcowego klienta banku?

Fundamentalnym problemem z jakim spotyka się klient atakowanego banku jest oczywiście ograniczenie lub też wręcz brak dostępu do swoich środków finansowych. W dzisiejszych czasach bardzo często nie jest to tylko niedogodność, a raczej poważny problem. Z jednej strony, z emocjonalnego punktu widzenia, budzi to zrozumiały niepokój i powoduje nadszarpnięcie zaufania do danej instytucji. Z drugiej strony zaś, może owocować realnymi stratami finansowymi, wynikającymi choćby tylko z braku możliwości dokonania przelewu na czas.

2.      Jak instytucje finansowe powinny się zabezpieczać przed tego typu atakami?

Wachlarz możliwości jakimi dysponują działy IT instytucji finansowych jest bardzo szeroki. Stosowane modele ochrony koncentrują się wokół kilku głównych obszarów i kombinacji poszczególnych metod: ochrony już po stronie dostawcy łącz (wadą może być tutaj z jednej strony koszt, z drugiej zaś np. przerzucenie ciężaru potencjalnego ataku DDoS na własną infrastrukturę sieciową), wykorzystania dedykowanych usług, które mogą buforować naszą sieć w sytuacji ataku (wada: nieprzewidywalność kosztów – atakowany płaci za wolumen ruchu przed którym jest chroniony) czy w końcu wykorzystania własnej infrastruktury sieciowej. Problem w tym ostatnim przypadku polega na tym, że dość często (w ponad 60%), wykorzystuje się rozwiązania typu firewall, IPS oraz zwykłe routery i switche, czyli sprzęt, który ma zupełnie inne przeznaczenie i wydajność zoptymalizowaną do innego rodzaju zadań.

3.      Jakie środki ostrożności powinien zachować bank do momentu ustalenia źródła ataku i przywrócenia sprawności serwisu?

Bardzo istotna jest transparentna i sprawna polityka informacyjna. Po pierwsze nawet zwykły komunikat informujący o problemach technicznych może uspokoić nieco sytuację – choćby z tej przyczyny, iż jasno pokazuje, że ktoś czuwa nad zaatakowaną infrastrukturą. W konsekwencji może to również ograniczyć pojawiającą się wtedy zawsze hiperaktywność użytkowników,  którzy zaniepokojeni brakiem dostępu do serwisu co chwilę próbują się do niego odwoływać, niejednokrotnie pogłębiając i tak już kryzysową sytuację.

4.      Z jakimi stratami finansowymi powinien liczyć się bank?

Faktycznie trudno sobie wyobrazić lepszą ilustrację dla stwierdzenia: „czas to pieniądz” niż instytucja bankowa. Tutaj każda chwila przestoju to realne i policzalne straty finansowe, nie mówiąc już o stratach związanych z zachwianiem zaufania i osłabieniem marki. Statystyki mają dość dużą rozpiętość, natomiast w przypadku instytucji finansowych 80% z nich twierdzi, że koszt ten przekracza 10 tysięcy dolarów na godzinę. W skrajnych sytuacjach, może osiągać nawet 100 tysięcy dolarów na godzinę.

5.      Jak powinni zachować się klienci banku?

Kluczowe jest tutaj zachowanie spokoju i ograniczenie aktywności internetowej, skierowanej bezpośrednio w stronę atakowanej instytucji. Masowy niepokój sam w sobie może wywołać drugi, niezależny DDoS. Warto zawsze w takiej sytuacji alternatywnie skorzystać z tradycyjnych metod komunikacji i skontaktować się z infolinią banku.

6.      Jakie są statystyki podobnych ataków?

Statystycznie rzecz ujmując, mniej niż 10% to ataki DDoS o wolumenie większym od 10 Gbps. Co istotne ponad 75% ataków generuje ruch mniejszy niż 1 Gbps. Jeśli chodzi o ich czas, to mniej niż 30% trwa ponad 24h i tylko około 10% trwa ponad tydzień.

Dotykamy tutaj bardzo ważnej kwestii. Jak widać, coraz rzadziej mamy do czynienia z atakami wolumetrycznymi, obecnie cechują się one raczej wysoką precyzją i ukierunkowaniem na konkretne systemy czy też usługi. Dlatego właśnie bardzo istotne jest stosowanie takich zabezpieczeń, które pozwolą na granularną ochronę przed atakami DDoS, nawet w oparciu o kryteria warstwy 7 modelu OSI/ISO.

dodany: 05.04.2013 | tagi: , , ,

Będą rekompensaty od Allegro za wczorajszą awarię

0

Wczoraj wieczorem serwis allegro.pl podał oficjalny komunikat dotyczący rekompensat za przerwy w działaniu.

 

Za aukcje zakończone 2013-04-04 od godz. 16:29:00 do godz. 16:34:59 zostaną przyznane refundacje (zwrot prowizji + opłat za wystawienie).

Aukcje kończące się w godz. 16:35:00 do godz. 18:00:59 oraz od 18:10:00 do 18:37:59 zostaną przedłużone o 24h

– napisał Łukasz Korek z Zespołu Allegro.

 

Przypominamy, że portal aukcyjny od kilku dni boryka się z problemami spowodowanym atakami DDoS oraz zmianami w strefie DNS.

 

Sprawdźcie poprzednie wiadomości:

Ataki DDoS paraliżują Allegro – trwa druga fala

Kolejne rekompensaty od Allegro za popołudniowe problemy z dostępem 2 kwietnia

Problemów allegro.pl ciąg dalszy – DDoS, zabezpieczenia i DNS

dodany: 05.04.2013 | tagi: , , ,

Serwisy www BRE Banku niedostępne

1

Niedawno pisaliśmy o niedostępności stron banku Nordea i odpowiedzialności banku w kwestii komunikacji problemów, a dziś od rana niedostępne są serwisy www BRE Banku (w tym mBank). Na tę chwilę nie ma oficjalnych informacji na temat przyczyn – nie wiemy, czy jest to kolejny z serii atak DDoS, czy po prostu awaria. Wydarzenia z ostatnich dni, które dotknęły Allegro.pl od razu rodzą podejrzenia, że jest to atak, ale nie powinniśmy chyba wyciągać zbyt pochopnych wniosków.

Przedstawiciele mBanku na bieżąco rozwiewają wątpliwości klientów w kwestii wypłat z bankomatów, sesji międzybankowych i działania mLinii – robią to za pośrednictwem portalu społecznościowego Facebook.com. Niestety nie informują o przyczynach problemów ani o planowanym powrocie serwisów.

Informujemy, że obecnie strona informacyjna oraz serwis transakcyjny mBanku mogą być niedostępne. Trwają prace nad jak najszybszym przywróceniem dostępu. Klienci mogą realizować bieżące operacje za pośrednictwem operatów mLinii pod numerem telefonu 801300800 – opłaty za wykonywanie czynności będą zwracane automatycznie. Uprzejmie przepraszamy za utrudnienia.

dodany: 04.04.2013 | tagi: , , ,

Problemów allegro.pl ciąg dalszy – DDoS, zabezpieczenia i DNS

20

Dziś od rana znowu pojawiły się sygnały o niedostępności serwisu aukcyjnego allegro.pl. Niedostępność wywołana jest/była (niektórzy użytkownicy mają już dostęp do serwisu) zmianami w strefie DNS allegro.pl. Choć określenie „zmiany” nie jest tu chyba trafne… strefa dla wielu była po prostu pusta, a jak wiadomo brak rekordu A oznacza niemożliwość odwiedzenia witryny.

dig

Zmiany w strefie DNS wynikają z procesu zabezpieczania się allegro.pl przed atakami DoS i DDoS – jest to zatem następstwo wydarzeń ostatnich dni.

Allegro.pl wybrało najprawdopodobniej rozwiązania firmy PROLEXIC. Już wczoraj wieczorem można było znaleźć w strefie DNS allegro.pl następujące informacje:

Czekamy zatem na oficjalne komuniaty allegro.pl. Tymczasem na profilu Facebook serwisu aukcyjnego brak jasnych informacji, ale za to sporo głosów rozczarowanych użytkowników.

dodany: 03.04.2013 | tagi: , ,

Kolejne rekompensaty od Allegro za popołudniowe problemy z dostępem 2 kwietnia

0

Zespół Allegro poinformował o kolejnych rekompensatach za wczorajsze problemy z dostępem do serwisu. Informowaliśmy o przedłożeniu akcji kończących się podczas porannej fali ataków (zobacz newsa: Ataki DDoS paraliżują Allegro – trwa druga fala). Po południu wystąpiły kolejne problemy.

 

W związku z drugą awarią i zgodnie z zasadami rekompensat za awarie techniczne, oferty trwające i kończące się 2 kwietnia między 10:16:00 a 16:21:59 przedłużymy o 24 godziny. Przepraszamy za utrudnienia

– poinformował serwis.

 

Dodatkowo serwis potwierdza, że obie awarie były wynikiem zmasowanych ataków DDoS, ale sytuacja została już opanowana i obecnie portal działa poprawnie.

 

Źródło grafiki: allegro.pl

dodany: 29.03.2013 | tagi: , ,

Jak chronić się przed atakami DDoS

2
DDoS

Wielowarstwowa strategia zabezpieczeń, ochrona serwerów DNS i monitorowanie infrastruktury IT oszczędzą firmom wielu zmartwień i kosztów związanych z atakami typu denial of service.

Ataki DDoS wywodzące się od prostych ataków wywołujących odmowę usługi (ang. denial of service) uruchamianych z jednego komputera – wraz z szybkim rozpowszechnieniem się botnetów – ewoluowały do rangi jednego z największych zagrożeń w sieci. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Firma Verizon w swoim raporcie z 2012 roku na temat dochodzeń w sprawie utraty danych („2012 Data Breach Investigations Report”) nazwała te ataki „bardziej zatrważającymi niż inne zagrożenia, autentyczne czy tylko wyobrażone”.

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

Jak wynika z najnowszych badań, ataki DDoS narastają nie tylko pod względem częstotliwości, ale też zajmowanej przepustowości łączy i czasu trwania. Na przykład dekadę temu ataki 50-gigabajtowe trafiały się kilka razy na rok. Teraz do takich ataków dochodzi niemal co tydzień. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorach i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne. Poza tym ataki stają się bardziej inteligentne, bo są teraz lepiej kontrolowane. Zamiast uruchamiać skrypt, zalewając ilością danych, atakujący rozpoczynają operację, a następnie dobierają obiekt oraz typ ataku do oczekiwanego wyniku.

Pewne jest, że ataki DDoS będą stopniowo narastać. Coraz więcej przedsiębiorstw zaprzęga do pracy urządzenia mobilne, a jak zauważył FortiGuard Labs (dział firmy FORTINET zajmujący się badaniami zagrożeń sieciowych), botnety mobilne, jak np. Zitmo, mają wiele cech i funkcji wspólnych z tradycyjnymi botnetami działającymi na komputerach. Zespół FortiGuard Labs przewiduje, że w 2013 roku na światło dzienne wyjdą nowe formy ataków denial of service, wykorzystujące zarówno pecety i urządzenia mobilne.
Z zagrożeniem wiążą się także potężne koszty. Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Poza utraconymi przychodami z powodu awarii, firmy będą musiały ponosić koszty związane z analizami IT i odzyskiwaniem danych, utratą wydajności pracy, karami finansowymi za niedotrzymanie umów o poziomie usług oraz narażoną na szwank reputacją marki.

Ewolucja ataków DDoS uwydatnia naglącą potrzebę, by przedsiębiorstwa przyjmowały strategie bezpieczeństwa, które zapewnią im profesjonalną ochronę. Istnieją sposoby, dzięki którym firmy mogą aktywnie zwiększyć poziom zabezpieczenia i ograniczyć ryzyko ataków. Zamiast starać się o całkowitą eliminację wszelkiego ruchu DDoS, strategia walki z tego typu atakami powinna raczej koncentrować się na utrzymaniu usług – szczególnie tych o kluczowym znaczeniu – przy minimalnym poziomie zakłóceń. Aby to osiągnąć, firmy mogą zacząć od oceny swojego środowiska sieciowego i opracowania planu reakcji na zagrożenia. Plan powinien uwzględniać między innymi strategie tworzenia kopii zapasowych i odzyskiwania danych po awarii, dodatkową obserwację oraz metody przywracania usług tak szybko i sprawnie, jak to możliwe.
Trzy najważniejsze kroki, których wymaga aktywna ochrona, to wdrożenie wielowarstwowej strategii zabezpieczeń, ochrona serwerów DNS i innych elementów sieci oraz monitorowanie i utrzymanie kontroli nad infrastrukturą IT.

Wielowarstwowe zabezpieczenia

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały antyspoofing, uwierzytelnianie klientów, określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

Rozważając zastosowanie specjalistycznych rozwiązań chroniących przed DDoS, organizacje muszą upewnić się, że pozwolą im one nie tylko wykrywać ataki DDoS w warstwie aplikacji i skutecznie blokować typowe lub niestandardowe techniki i wzorce ataków DDoS, ale również będą potrafiły „uczyć się” rozpoznawania zarówno akceptowalnych, jak i nieprawidłowych wzorców ruchu w oparciu o analizowany strumień danych. Takie profilowanie ma ogromne znaczenie, bo pozwala szybciej wykrywać i ograniczać zagrożenia, zmniejszając liczbę fałszywych alarmów.
Aby uzyskać większą sprawność operacyjną, firmy powinny również szukać rozwiązań zabezpieczających przed DDoS, które zapewnią zaawansowane funkcje wirtualizacji i geolokalizacji.

Dzięki wirtualizacji administratorzy mogą tworzyć i nadzorować wiele niezależnych domen bezpieczeństwa za pomocą pojedynczego urządzenia, co pozwala zapobiegać oddziaływaniu ataków realizowanych w jednym segmencie sieci na pozostałe. Mechanizm ten dobrze sprawdza się również podczas obrony – zamiast polegać na jednym zestawie reguł, administratorzy IT mogą z wyprzedzeniem zdefiniować ich więcej, co daje możliwość wykorzystania tych bardziej rygorystycznych w sytuacji, gdy pierwotne zasady okażą się niewystarczające.

Technologie geolokalizacji z kolei pozwalają firmom blokować złośliwy ruch przychodzący z nieznanych lub podejrzanych źródeł zagranicznych. Ogranicza to obciążenia i zużycie energii przez serwery usługowe, eliminując ruch z regionów poza geograficznym obszarem działania firmy.

Ochrona serwerów DNS

W ramach ogólnej strategii bezpieczeństwa organizacje muszą chronić swoje kluczowe zasoby oraz infrastrukturę. Wiele firm utrzymuje własne serwery DNS w celu zapewnienia sobie obecności w Internecie i właśnie ich serwery często są pierwszym celem ataków DDoS. Po uderzeniu w serwery DNS atakujący mogą łatwo sparaliżować operacje sieciowe organizacji poprzez blokadę jej usług.

Monitorowanie i utrzymywanie kontroli nad infrastrukturą

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Istotne jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym.

Organizacje muszą zachowywać czujność i monitorować swoje systemy przed atakiem, w jego trakcie, a także już po nim. To żadna tajemnica, że posiadanie pełnego obrazu środowiska IT pozwala administratorom wykrywać odchylenia od normy w ruchu sieciowym i szybko ujawniać ataki. Taka analiza zapewnia informacje i możliwości analityczne potrzebne do wdrażania odpowiednich środków minimalizacji ryzyka i zapobiegania zagrożeniom. Najlepsze zabezpieczenia obejmują ciągłe i zautomatyzowane monitorowanie poprzez system alertów, które pozwalają na reakcję w razie wykrycia ruchu DDoS.

Ważne jest posiadanie precyzyjnego systemu monitorowania i kontroli w całej sieci. Pomaga to administratorom dotrzeć do źródeł ataku i blokować ruch nadmiarowy, umożliwiając jednocześnie swobodny przepływ danych produkcyjnych. Taki system daje również możliwość prowadzenia dogłębnych analiz w czasie rzeczywistym oraz przeglądania danych historycznych. Co istotne, zaawansowane techniki śledzenia ataków mogą umożliwić zidentyfikowanie ich adresów źródłowych, co w konsekwencji pozwala na kontakt z administratorem odpowiedniej sieci.

Na nowo skupić się na biznesie

Ataki DDoS – podobnie jak inne zagrożenia bezpieczeństwa – będą ewoluować, stając się coraz bardziej nieprzewidywalne. Podlegająca ciągłym modyfikacjom natura technologii DDoS będzie wymagała, by firmy dokonywały zmiany podejścia do zagrożeń, wykazując się większą dalekowzrocznością i korzystaniem z bardziej aktywnych zabezpieczeń.

Dlatego organizacje już dziś muszą udoskonalać swoje plany reagowania awaryjnego i oceniać odporność własnej infrastruktury sieciowej na zagrożenie atakami DDoS. Muszą też zacząć wzmacniać zabezpieczenia kluczowych serwerów i szeregować dane względem ważności. Co więcej, konieczne jest wdrażanie rozwiązań służących do zarządzania i monitorowania, które zapewnią im całościową wiedzę o wszystkich zakamarkach własnej sieci. Wreszcie administratorzy IT powinni mieć możliwość implementowania niezawodnych zabezpieczeń, które szybko zidentyfikują źródło zagrożenia, zminimalizują oddziaływanie ataku i przywrócą działanie usług tak szybko, jak to możliwe.

Tylko w ten sposób firmy będą mogły przestać obawiać się paraliżujących ataków DDoS i w pełni skupić się na swojej działalności.

dodany: 27.03.2013 | tagi: , ,

Największy atak DDoS na świecie to efekt starcia tytanów

15

W internetowym świecie zawrzało po tym, jak rozpoczęto ataki na organizację Spamhaus, która zajmuje się ratowaniem świata przed mailami-śmieciami.

Istnieje prawdopodobieństwo, że źródłem ataku może być znana firma hostingowa – Cyberbunker, która od dłuższego czasu figuruje na czarnej liście SBL (z ang. Spamhaus Black List). Nazwa firmy nie jest przypadkowa, gdyż swoją główną siedzibę ma w bunkrze, który powinien przetrwać nawet atak nuklearnego podmuchu.

cyberbunker-entrance

Powód wpisania

Przyczyna jest bardzo prosta – grupie Spamhaus nie spodobało się, że CyberBunker oferuje bezpieczne, anonimowe konta hostingowe – jedynym obostrzeniem korzystania z nich jest kategoryczny zakaz używania ich do propagowania dziecięcej pornografii oraz tematów powiązanych z terroryzmem.

Sęk w tym, że Spamhaus nie był nigdy w stanie udowodnić firmie  CyberBunker, iż właśnie konta przez nich oferowane są używane do cyberprzestępczości. W przeszłości właśnie z tego powodu jeden z większych holenderskich dostawców Internetu – A2B – w październiku 2011 roku zignorował czarną listę Spamhaus dla adresów IP należących do CyberBunker i wtedy zaczęła się wojna, w rezultacie której A2B także trafiło na czarną listę SBL (z ang. Spamhaus Black List) z powodu rzekomego wspierania działalności spammingowej. Trwało to 2 dni, dopóki A2B nie wstrzymał ruchu sieciowego od CyberBunker.

Ostoja anonimowości i tak nadal funkcjonowała, gdyż CyberBunker miał zapewnioną łączność z Internetem poprzez innych dostawców. Mimo to A2B złożyło wniosek na Policję o ukaranie Spamhaus, gdyż wpisanie ich na listę było bezprawne. Poza tym wg dostawcy, Spamhaus powinien rozwiązać ten problem bezpośrednio z CyberBunker, a nie na pośrednim providerze.

Steve Linford – założyciel Spamhaus bronił się stwierdzeniem, że jego ugrupowanie nie musi każdego przypadku związanego ze spamowaniem zgłaszać na policję,  tylko taki incydent kończy się dodaniem na listę SBL. Poza tym Linford jest zdumiony, że po dodaniu na czarną listę wpisów związanych z CyberBunker, żaden z ich klientów nie złożył zażalenia.

Erik Bais – dyrektor A2B zaznaczał, iż nie chciał uzyskać w ten sposób roszczeń finansowych, czy doprowadzić do zamknięcia działalności Spamhaus – chciał po prostu odblokować adresy, które nie były prowodyrem spamowania.

Linford w odpowiedzi na zarzuty odpowiedział 6 października 2011 roku, że na listę trafił tylko jeden zakres adresów IP (178.249.152.0/21 ) należących do A2B, a oskarżenie o blokadę wszystkich adresów było wg niego kłamstwem.

Bais dodał też, że otrzymał informacje od innych dostawców Internetu odnośnie skarg na działania Spamhaus.

 

Zemsta?

Później sprawa ucichła, aż do marca tego roku. Od dwóch tygodni odnotowano ataki DDoS na Spamhaus. Nie byłoby w tym nic niezwykłego, gdyby nie fakt, iż nigdy w historii Internetu ataki tego typu nie były przeprowadzone na tak dużą skalę. Ich siła podczas kulminacji wynosiła około 300 gigabitów na sekundę! Dla porównania, ostatnie ataki na amerykańskie banki były pięciokrotnie słabsze. Wcześniej  odnotowany „rekord” miał miejsce w 2010 roku, gdzie siła ataku wynosiła 100Gb/s.

Mało tego…  Poproszony o pomoc CloudFlare, który próbował powstrzymać najazd niezliczonych komputerów, sam przy okazji stał się celem.

Wskutek ataków na serwery DNS należących do Spamhaus ucierpiały niektóre serwisy internetowe, m.in. Netflix:

netflix sitedown

Wielu użytkowników skarżyło się na brak możliwości skorzystania z serwisu.

[edit]

W dniu dzisiejszym Spamhaus pochwalił się, że ich system został już w pełni przywrócony, przy czym Quentin Jenkins z ugrupowania podaje też, że ataki nadal trwają, tyle że są wyraźnie mniejsze. Sama działalność ich serwisu trwa nieprzerwanie od 12 lat. Obecnie na liście SBL znajduje się 127 pozycji związanych z incydentem:

Część listy SBL zawierającej najnowsze wpisy od CyberBunker

Część listy SBL zawierającej najnowsze wpisy od CyberBunker

Jenkins zaznacza też, że nie są w stanie na chwilę obecną wskazać sprawcy ataków, gdyż jest kilku podejrzanych. Jednymi z nich ma być właśnie CyberBunker, które rzekomo wynajęło Rosjan. CyberBunker nie odpowiedział na prośbę BBC o skomentowanie tego posądzenia. Jest to zapewne spowodowane faktem, że Jordan Robson – dyrektor generalny CyberBunker, ogłosił, iż nie ma zamiaru reagować (jak to sam określił) na dziecinne zachowania  Spamhaus. Na chwilę obecną, od rana nie funkcjonuje też główna strona CyberBunker.com.

Domena cb3rob.net jest powiązana z CyberBunker, stąd podejrzenie o atakach.

whois cyberbunker

 

Część klientów CyberBunker to nasi wschodni sąsiedzi – być może któryś z nich nie pogodził się z faktem dotarcia ze swoim spamem do mniejszej liczby odbiorców:

Część informacji o domenie hostingowanej przez CyberBunker

Część informacji o domenie DRUGSTOREWIQI.COM hostingowanej przez CyberBunker

Wcześniej w odpowiedzi na zarzuty Jenkins wspomniał o rozbiciu cyberszajki działającej w Rosji, która korzystała z usług CyberBunker.

Telewizji RT udało się skontaktować z rzecznikiem CyberBunker – Olafem Kamphuis. Z przeprowadzonego wywiadu wynika, że atak przeprowadziła grupa ludzi zrzeszonych pod stophouse.com, która skupia swoje działania przeciw Spamhouse. Niestety obecnie ich forum także nie jest dostępne. Swój przekaz zamieścili na stronie http://www.republic-cyberbunker.org. Olaf zaznaczył też, że taktyka Spamhaus jest porównywalna z działaniami mafii i to się właśnie teraz na nich zemściło.

Jak zwykle w walce ucierpieli najmniej winni. Mimo braku oficjalnych skarg, komuś bardzo nie spodobały się poczynania Spamhaus, w skutek czego uraczono ich megaatakami DDoS. Prawda zapewne leży gdzieś pośrodku, w końcu CyberBunker w swoim regulaminie nie ma nic przeciw spamowaniu.