Artykuły dotyczące tematu: Stephen Mulhearn

dodany: 27.06.2013 | tagi: , , , ,

Działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS – wywiad ze Stevenem Mulhearnem

0
Wywiad

Na przestrzeni kilku ostatnich lat ataki DDoS stały się bardzo popularną formą cyberprzestępczości. Przy okazji konferencji NGSec, która odbyła się w Warszawie 12-13 czerwca 2013, zapytaliśmy Stephena Mulhearna z firmy Fortinet o to, jak chronić się przed tego typu atakami, ich ewolucję oraz o działalność Anonymous na świecie na przestrzeni ostatnich lat. Pytaliśmy także o najsłynniejsze, najgroźniejsze i najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous.

Steve Mulhearn_1Stephen Mulhearn – Director of Product Management, Fortinet. Steve ma ponad 25-letnie doświadczenie w branży sieciowej i telekomunikacyjnej. Uczestniczył w narodzinach wielu firm technologicznych, w tym Ascend Communications, Arbor Networks, Sandvine i Redseal Networks. Od 15 lat koncentruje się na bezpieczeństwie, a od 10 lat jest aktywnie zaangażowany w dostarczanie rozwiązań do ochrony przed atakami DDoS. Był pierwszym międzynarodowym pracownikiem technicznym w Arbor Networks, a przez 4,5 roku jako Dyrektor Techniczny brał udział w tworzeniu rozwiązania DDoS uznanego jako standard na rynku dostawców usług. Steve dołączył do Fortineta w 2012 roku jako Dyrektor ds. Zarządzania Produktem i jest odpowiedzialny za rodzinę rozwiązań FortiDDoS.

 

Jaką strategię należy objąć chcąc uchronić witrynę przed możliwością / skutkami ataku DDoS?

Istnieje wiele metod zapobiegania atakom DDoS, które pozwalają na utrzymanie ciągłości usługi. Pierwszą z nich jest świadomość, że istnieje możliwość wyczerpywania się zasobów oraz umieszczenie dedykowanych rozwiązań w miejscu, gdzie będą proaktywnie chronić i wykrywać potencjalne ataki lub niedobory zasobów (które wspólnie stanowią takie samo zagrożenie jak niedostępność usługi). Drugą metodą jest znalezienie i analiza możliwych luk w systemie. Tak często jak słabe punkty są wykorzystywane do przeprowadzenia ataków hakerskich, tak samo w łatwy sposób mogą zostać wyeliminowane lub zabezpieczone przed zagrożeniami. Wreszcie, należy zrozumieć w jaki sposób przebiega sam atak. Jeśli atak DDoS jest w toku, to często zakładamy, że jest to awaria systemu. I to często nie jest przypadek. Z tego względu, że zanim zdążymy podjąć jakiekolwiek działania mające na celu wykrycie ataku, DDoS ustępuje bądź zostaje czasowo zawieszony, uniemożliwia to przeprowadzenie skutecznego dochodzenia.

Jak urządzenie / oprogramowanie odpowiedzialne za ochronę przed DDoS odróżnia atak od pożądanego ruchu?

Systemy służące do ograniczania ataków DDoS mają jeden wspólny cel: zachowanie ciągłości usług. Często użytkownicy nie zdają sobie sprawy w jaki sposób ochrona przed DDoS jest realizowana. Ale z naszego punktu widzenia ma to kluczowe znaczenie, ponieważ łagodzenie ataku DDoS – jeżeli jest wykonane nieprawidłowo – może spowodować atak DDoS. Dlatego zawsze radzę, aby urządzenia bezpieczeństwa raportowały nie tylko charakterystykę ataku, ale także metody zaangażowane do walki z atakiem DDoS.

W jaki sposób najczęściej cyberprzestępcy pozyskują komputery-zombie tworzące później botnety zaangażowane w ataki DDoS?

Istnieje kilka sposobów. Najczęściej używaną i wciąż popularną metodą infekowania, jest wysłanie e-maila ze złośliwą zawartością, często podszywając się pod osobę, którą użytkownik zna i której ufa, a której komputer już należy do botnetu. Twórcy złośliwego oprogramowania często ukrywają swój kod w Internecie, w miejscach, skąd może on być łatwo i nieświadomie pobrany. Hakerzy skanują również serwery, aby poznać otwarte porty i aplikacje, a następnie użyć znanej podatności tej aplikacji, by przejąć kontrolę nad serwerem i załadować złośliwy kod.

Jak nietechniczny użytkownik może sprawdzić, czy nie jest częścią takiego botnetu – na co powinien zwracać uwagę, jakie zachowania komputera powinny go niepokoić?

Kiedy używamy komputera w niewielkim stopniu lub wcale, a aktywność karty sieciowej jest wysoka, to już jedna z poważnych oznak, ale nie jedyna. Niestandardowe procesy działające na systemie to następne ostrzeżenie.

Ataki DDoS są groźne same w sobie, ale jeszcze groźniejsze w połączeniu z innymi technikami, jakie to techniki i jak możemy się chronić?

Ataki DDoS są często wykorzystywane do zamaskowania prawdziwej intencji ataku, jak to miało miejsce w przypadku Sony. Z punktu widzenia atakującego, celem jest znalezienie łatwo wyczerpywalnych zasobów, aby unieruchomić usługę, naszym wyzwaniem jest zrozumienie polityki bezpieczeństwa i działających procesów. Często udaje nam się zdefiniować surową politykę, ale stopień jej stosowania jest znikomy. Innymi słowy: my definiujemy politykę bezpieczeństwa, jednak w praktyce staje się zupełnie inna.

Czy po atakach nagłaśnianych za sprawą działalności Anonymous nie powstała swego rodzaju „moda” na taki rodzaj szkodliwej działalności?

Myślę, że działalność Anonymous z pewnością pokazała jakie możliwości dają ataki DDoS. Jednak ich akcje są w pewnym sensie anomalią do innych tego typu działań. Przeważnie ofiary cyberprzestępców nie mają pojęcia przez kogo i dlaczego zostały zaatakowane. Anonymous działają inaczej – z wyprzedzeniem zapowiadają, kto będzie ofiarą, kiedy i jak zaatakują. Wprawdzie nadal stosują metody, których nie ujawniają, ale w istocie ostrzegają swoje ofiary, niemalże drwiąc sobie z nich.

Co sądzi Pan o uznaniu ataków DDoS jako legalnej formy protestu w Internecie?

Uważam, że istnieje wiele innych legalnych i mniej konfliktowych sposobów protestu, niż te, podczas których używa się cyberprzestępczości jako platformy do wyrażania przeciwu.

Co jest największą przeszkodą w procesie śledzenia / zatrzymywania przestępców zajmujących się atakami DDoS?

Myślę, że największą przeszkodą w walce z cyberprzestępczością jest łatwość z jaką można przeprowadzić atak DDoS. W Internecie dostępne są aplikacje, które pozwalają to zrobić. W praktyce często takie aplikacje zawierają szkodliwe oprogramowanie i chociaż to my jesteśmy zainteresowani wykorzystaniem botnetu czy też wszczęciem ataku, sami możemy łatwo stać się częścią czyjegoś botnetu. Tak więc ze względu na ogromną liczbę ataków, które są nie lada wyzwaniem, organy ścigania koncentrują swoje działania na tych najgroźniejszych realizowanych przez najlepiej zorganizowane organizacje cyberprzestępcze.

Najsłynniejsze, najgroźniejsze, najbardziej niszczycielskie w skutkach ataki DDoS, prócz akcji Anonymous?

Wiele osób zakłada, że im większa skala ataku tym jest on groźniejszy. Jednak nie zawsze tak jest. Wszyscy koncentrują się na wielkości ataku, podczas gdy rzeczywistą miarą powinna być jego skuteczność. Przeprowadzona niedawno przez Spamhaus akcja jest dobrym tego przykładem: atak przekraczał natężenie 300 Gb/s (według niektórych doniesień), a został pomyślnie złagodzony. Faktem jest, że większość dostawców usług telekomunikacyjnych dysponuje dziś środkami zapobiegawczymi przed masowymi atakami przestrzennymi, przede wszystkim w celu ochrony własnej infrastruktury. Jednak to ukierunkowane ataki, które są bardziej skuteczne, często pozostają niezauważone.

Według mnie najgroźniejszymi ataki w ostatnim czasie były ataki na amerykańskie banki – przeprowadzone w sposób niezwykle inteligentny były w stanie skutecznie zablokować usługi wielu instytucji w tym samym czasie.

Jak Pana zdaniem mogą ewoluować ataki typu DDoS – czego możemy spodziewać się w przyszłości?

Haktywiści oraz inni internetowi przestępcy mają do dyspozycji niezliczoną ilość narzędzi i technologii służących do rozpoczęcia ataku DDoS. Naszym wyzwaniem jest znalezienie proaktywnych metod ich wykrywania. Uważam, że w ten sposób możemy zrozumieć prawdziwy problem – nie mam na myśli tylko analizy poziomu ruchu, ale także prawdziwych zachowań klientów i sesji. Jeśli przeniesiemy tę analizę do działania serwisu, to w momencie pojawienia się zagrożenia wyczerpania zasobów, należy zastosować w sposób inteligentny metody ograniczające. Wiemy, że hakerzy będą starali się obejść każde zabezpieczenie, które zastosujemy, dlatego zagrożenia wiecznie pozostają w ruchu.

Byliśmy świadkami jak powstawały ataki na 7 warstwę jak i również wprowadzania metod łagodzących przed skomasowanymi atakami wolumerycznymi. Naszym wyzwaniem jest zrozumienie oraz rozwój metod wykrywania jako narzędzia nowej generacji, które nie tylko reagują na zagrożenia, ale przede wszystkim wykrywają je, zanim spowodują straty, bez względu na to, jakie technologie zostały wykorzystane przez hakerów.