Internet v ohrožení virů

7. 9. 2009

Sdílet

 Autor: Redakce

První díl: Jak zničit internet
Druhý díl: Jak zničit internet - Rozdělme kontinenty
Třetí díl: Co bude až Google nebude

Internet neslouží jen jako informační médium, ale bohužel také jako spletitá počítačová síť pro šíření virů. Zavirovaný počítač připojený k internetu je jako neřízená střela země-vzduch - nikdy nevíte, kdo bude první obětí šíření viru nebo jeho hrubé síly, kterou představuje několik tisíc zavirovaných počítačů. Měli jste někdy zavirovaný počítač? A věříte, že mohl být jedním z mnoha, který obsahoval program, co měl za úkol ochromit internet? Nemožné? Nikoliv.

Ničení počtvrté

minulém díle jsme se věnovali konspirační teorii, co by bylo, kdyby jednoho krásného dne Google zanikl. Pro některé z vás jistě pohroma nebo minimálně dobré téma k odpolední kávě. I dnešní téma zní trošku jako konspirační teorie, ale není tomu tak. Stačí si připomenout zprávy z 12. listopadu loňského roku, kdy byl internet napaden ničivou silou 40 Gbps a zahltil sítě sedmdesáti poskytovatelů internetu. (Jen tak mimochodem, tento datový tok se rovná rychlosti stažení jednoho filmového DVD za sekundu.)

36 procent poskytovatelů bylo na nějaký čas vystaveno více než 1Gbps tokem nesmyslných dat, který tak vyřadil jejich sítě z provozu. Je pravda, že tyto informace nejsou podloženy skutečnými důkazy, protože internetoví poskytovatelé se většinou za přiznání napadení velice stydí a znamená pro ně negativní reklamu. Proto tyto výpadky skryjí buď za lidský faktor, nebo jiného dodavatele, například poruchu elektrické rozvodné sítě.

Jednalo se o DDoS (Distributed Denial of Service), česky distribuované odmítnutí služby. Je to technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu, nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele. Terčem útoku mohou být tedy jak jednotlivé servery, tak i samotná síť. Při napadení serveru se extrémně zvedne zatížení procesoru, a ten tak není schopen vyřizovat další požadavky systému. Služby, které server poskytuje, jsou pak nedostupné. Pokud se jedná o napadení samotné sítě, jde o zaplavení provozu náhodnými daty, které brání protékání skutečných dat. Síť se pak jeví jako extrémně pomalá nebo nedostupná. Slangově řečeno, ucpou se dráty.

Tyto útoky jsou prováděny z několika desítek i stovek napadených počítačů nebo serverů, které pak v jeden okamžik spustí útok. Výsledkem je brutální síla, která nemá konkurenci.

Vznik brutální síly

Pro vytvoření co nejsilnějšího útoku je potřebná příprava a distribuce havěti na co nejvíce systémů, ze kterých bude útok proveden. Existují tři hlavní oblasti, které lze zneužít. Za prvé je to samotný systém, nejlépe ten, který nemá omezení uživatelskými právy. Určitě ve svém okolí znáte mnoho uživatelů, kteří mají administrátorská práva a žádné heslo. Takový systém je velice jednoduše napadnutelný a uživatel ani nemusí tušit, že v jeho počítači číhá program, který čeká na povel z řídícího centra.

Za druhé, bezpečnostní chyba systému. Ta se může objevit všude, ať jde o systém s Linuxem, Windows nebo jiným operačním systémem. Velká móda hledání chyb začala s příchodem Windows NT/2000, kdy se tento systém stal velice rozšířeným. Zaujatí administrátoři jiných systému se snažili dokázat, že tento obrázkový systém je plný chyb. Dobré technologie, které ale nebyly dotáhnuty do konce díky špatnému konceptu, například ActiveX, pomohly k tvorbě virů a červů, které dokázaly těchto chyb zneužít.

Ovládací prvek ActiveX je malý balíček spustitelného kódu, který si mohou uživatelé Internet Exploreru stáhnout a spustit v počítači. Nejznámější z nich je nejspíše ověření pravosti systému při provádění aktualizací skrze webové rozhraní ve Windows XP. Původně byl tento prvek navrhován jen pro lepší práci s multimédii a spouštění Windows Media Playeru, Flashe nebo Quicktime přímo v okně prohlížeče.

Za třetí, nová generace uživatelů, která je schopna cokoliv odklepnout, jen aby získala co nejrychleji jakýkoliv program. S žádoucím softwarem se pak může stáhnout havěť, o které uživatel neví, a ta pak čeká a čeká, až se probudí k životu.

Samotný útok

Tvůrce škodlivého programu využívá mnoho metod, jak zjistit, zda je havěť dostatečně rozšířena. Z napadených počítačů a/nebo serverů může takový program odesílat malinké množství dat, které v sobě obsahují data typu „ano, jsem připraven k útoku, stačí poslat rozkaz". Pokud těchto oznámení přijme dostatek, může spustit útok. Ten ale nepouští od sebe, ale z několika napadených počítačů, které slouží jako obsluhovače útoku. Ty mají i význam pro skrytí útočníkovy identity. Čím více je těchto řídících počítačů, tím jsou hůře vypátratelné. Kdyby útočník prováděl útok od sebe, stal by se velice jednoduše vypátratelným, protože by se zjistilo, že útok směřuje jen z jednoho počítače, který lze najít podle IP adresy. Poskytovatel internetu by si pak v rozsahu svých IP adres takového útočníka našel a odhalil jej.

Obsluhovače útoku předají signál napadeným počítačům a ty začnou škodit. Ohromné množství dat proudí do jednoho cíle. Ten je buď nedokáže zpracovat, nebo jsou datové linky přetíženy. Pokud si představíte, že sto počítačů odesílá data rychlostí jeden megabit za vteřinu, což je síla útoku o stomegabytovém připojení, a útok směřuje na server, který je umístěn na desetimegabajtové lince, je jasné, že je kapacita linky několikanásobně přetížena.

Realita

Jestliže se útočník snaží ochromit síť, použije k tomu techniku zahlcení sítě. Shození nějakého serveru je prakticky bez účinku. Datové sítě jsou řešeny většinou zařízeními, která mají svůj vlastní malý operační systém a ten je odladěn jen a pouze pro obsluhu sítě. Pokud by měli poskytovatelé internetu na řízení provozu na síti servery s Windows nebo Linuxem, tak by je tato technologie vyšla poměrně draho. Servery nejsou vhodným řešením kvůli nedostatečnému výkonu, a když už tento výkon mají, jsou zatraceně drahé. Navíc byste museli připočítat hodiny techniků, kteří by se o tyto servery museli starat.

Další argument je ve skladnosti a ve spotřebě. Jedno zařízení optimalizované na řízení síťového provozu je daleko menší než server, který spotřebuje desetkrát více elektrické energie. Ano, existují servery, které řídí síťový provoz, ale ty jsou většinou použity pro středně malé podnikové sítě nebo začínající síťaře. Když si domů pořídíte ADSL připojení, technik vám donese modem ve velikosti dvou krabiček od cigaret. Představte si, jak byste ho hnali, kdyby vám chtěl do obýváku nainstalovat server.

Ochromení internetu

Kdo ví, jestli jednoho dne vznikne program, který se rozšíří na tisíce počítačů a bude se snažit zahltit několik životně důležitých prvků internetu. Například by mohl zasáhnout DNS servery, o kterých jsme psali v prvním díle tohoto seriálu. Kdyby vznikla síla této kapacity, jen máloco by odolalo takovému náporu. Ochrana před těmito útoky spočívá především v nasazování co nejinteligentnějších síťových zařízení s tím nejlepším operačním systémem, které budou umět typ tohoto útoku co nejlépe odfiltrovat. Dnes taková zařízení sice existují, ale vždy se na nějaké síti najde prvek, který touto ochranou nedisponuje nebo ji má vypnutou.

Ochrana před útoky

Vždy platí pravidlo, že je lepší problémům předcházet, než je posléze řešit. Samotná prevence začíná u potenciálně napadnutelných počítačů, které útoky řídí nebo je přímo aplikují. Proto by každý měl mít na paměti pár základů počítačové gramatiky, která povede k používání hesel a ověřených programů spojených s prováděním aktualizací jak systému, tak i antiviru. Chráněný a zabezpečený počítač je prakticky nenapadnutelný a nemůže potenciálnímu útočníkovi sloužit jako opěrný bod pro start své akce. Čím více takto chráněných počítačů bude, tím méně prostoru zbude útočníkům na realizaci útoků.

Proto nelze věčně napadat správce sítí a poskytovatelů připojení k internetu, aby neustále investovali do nových prvků infrastruktury, které budou moci těmto útokům předejít. Tyto prvky jsou velice drahé na pořízení a potřebují velice mnoho výpočetního výkonu, protože je třeba na síťovém provozu hlídat opravdu každý bajt komunikace.

Závist je to nejhorší

Útoky nemusí sloužit jen pro uspokojení útočníkova ega, kolikrát za ním může stát i konkurenční boj. Představte si dva internetové obchody, které si vzájemně konkurují. Jeden z majitelů se rozhodne konkurenci zničit útokem přes internet. Osloví několik hackerů, kteří mají vybudované zázemí a mohou posloužit dostatečnou silou. Stačí pak několik dnů nedostupnosti internetového obchodu a konkurence začne pociťovat úbytek zákazníků, ztrátu důvěry a možná i zánik, kdežto druhá strana nestíhá vyřizovat objednávky. Zdá se to jako dobrá investice či novodobá hrozba vydírání pro konkurenci? Zaplať a nebudeme útočit!

Realita na Slovensku

Pro vytvoření kvalitního útoku je potřeba datový tok zhruba 2 Gbit/s. Za předpokladu, že útočník chce takovýto útok udržet co nejdéle při životě, musí infikovat co nejvíce počítačů. Nejen pro zmiňovanou sílu útoku, ale také proto, aby uživatelé napadených počítačů nejlépe vůbec nepoznali, že jejich systém je jedním z mnoha, které se podílejí na útoku. Když si vezmeme příklad datového toku již zmiňovaných 2 Gbit/s, tak na 10 000 počítačů připadá 200 kbit/s, což je datový tok, který se dá přirovnat k zatížení internetového připojení při poslechu kvalitního internetového rádia - přiznejte si, kdo z vás tuto maličkou zátěž ihned pozná?

Jeden z největších zaznamenaných útoků vůbec potkal naše východní sousedy. V zájmu zachování jistého ohledu na férovost a nepošpinění firem záměrně neuvádíme jejich názvy.

Klient jisté společnosti začal pociťovat útoky na své servery kolem srpna roku 2006 s rozmezím datového toku 200 až 900 Mb/s. Jednalo se přitom o mix všech možných typů DDoS útoků. Klient se proto rozhodl hledat bezpečnostní řešení v tom, že přesune své servery do server housingu (umístění vlastních serverů do velkých serveroven s dimenzovaným internetovým připojením). Útoky nepřestaly až do dubna 2007, poté se začaly objevovat s frekvencí jednou za týden. Tyto útoky se ale podařilo úspěšně odfiltrovat a klient byl mimo ohrožení.

V polovině léta 2007 (konkrétně 2. června) však nastal obrat, kdy útok se silou 170 Mbit/s prověřil jak technologii ochrany Cisco Guard ve vlastnictví housingové firmy, tak i odolnost samotných serverů - útok byl odražen a odfiltrován. O několik hodin později útočník přidává na síle, ale ani datový tok 750 Mbit/s nevede k žádnému výpadku. Za další hodinu však datový tok 1 Gbit/s položí ochranu a jeden z poskytovatelů internetu na Slovensku blokuje veškerý datový tok směřující na zasažené servery až ve Frankfurtu, aby takto velký útok neochromil internet na celém Slovensku.

ICTS24

Změna IP adres

Firma změnila veřejné IP adresy, ale o den později se objevily nové útoky. Tentokráte s medvědí silou 6 Gbit/s. Po určité době a několika zásazích se housingová firma ocitla bez zahraniční konektivity - respektive s ohromnými výpadky. Ty postihly nejen napadené servery, ale i zbytek zákazníků, kteří zde měli umístěny svoje servery. Tento útok trval až do 24. června a vystoupal na neuvěřitelných 17 Gbit/s! Společnost nakonec přišla s řešením problému. Cestu k serverům na své síti rozvětvila přes několik dalších poboček a ty již byly schopny útoky odfiltrovat.

Útoky na internet nejsou fikcí, ale realitou. Málokdo se však pochlubí tím, že někdo dokázal cíleným útokem vyřadit jeho servery a způsobit nejen komplikace, ale i finanční ztráty. Tím spíš, že najít pachatele je často zcela nemožné.