W zeszłym tygodniu pojawił się atak DDoS, który objął 80 dużych stron i usług internetowych. Najbardziej uderzyło nas to, że stojący za atakiem przestępcy przeprowadzili go nie przy użyciu jakichś szczególnie wyszukanych czy najnowocześniejszych środków, lecz utworzyli z urządzeń konsumenckich, które posiadały połączenie z internetem, swoistą armię. W dzisiejszym poście omówię to, co jest w tej sprawie najważniejsze, oraz wyjaśnię, dlaczego incydent ten dotyka każdego z nas.
Atak
21 października wielu Amerykanów zdziwiło się, że najpopularniejsze strony internetowe przestały działać. Nie można było oglądać filmów w serwisie Netflix, przeprowadzać transakcji poprzez usługę PayPal, ani grać na konsolu Sony PlayStation. Co więcej, nie działał także Twitter – nie było więc jak pożalić się światu.
Ogólnie 85 dużych stron działo powoli lub wcale.
Jak się okazało, źródłem problemu była seria trzech ataków na infrastrukturę amerykańskiego internetu. W pierwszym rzucie ucierpiało wybrzeże wschodnie, w drugim — użytkownicy w Kalifornii oraz na środkowym zachodzie, a także Europa. Skutki trzeciej fali zostały złagodzone przez firmę Dyn, która świadczy usługi DNS i która była głównym celem wszystkich trzech ataków.
Atakami zostały objęte usługi muzyczne, medialne oraz wiele innych zasobów. Firma Amazon została potraktowana w sposób specjalny: strona firmowa została na jakiś czas unieruchomiona w wyniku oddzielnego ataku w Europie Wschodniej.
DNS i DDoS
Jak to możliwe, że działanie tak wielu stron zostało zakłócone poprzez przeprowadzenie tylko trzech ataków? Najpierw należy zrozumieć, czym jest DNS.
System nazw domenowych (ang. Domain Name System, DNS) to system, który łączy przeglądarkę z szukaną stroną. Każda strona posiada swój adres cyfrowy, czyli jej określone miejsce, a także jego przyjaźniejszą wersję — adres URL. Na przykład strona plblog.kaspersky.com posiada adres IP 93.159.228.22.
Serwer DNS działa jak książka adresowa — informuje on przeglądarkę o cyfrowej lokalizacji strony. Jeśli serwer DNS nie odpowiada na żądania, przeglądarka nie wie, jak załadować stronę. To dlatego dostawcy DNS (zazwyczaj ci więksi) stanowią ważną część krytycznej infrastruktury internetu.
Tutaj przechodzimy do ataków DDoS. Atak distributed-denial-of-service (DDoS) zalewa wybrany serwer żądaniami dotąd, aż spięte z nim strony i usługi przestaną działać. Aby przeprowadzić skuteczny atak DDoS, przestępca musi wysłać ogromną liczbę żądań, dlatego potrzebuje wielu urządzeń. W tym przypadku zazwyczaj jest używana armia zhakowanych komputerów, smartfonów, gadżetów i innych urządzeń, które łączą się z internetem. Razem (ale bez zgody i wiedzy ich właścicieli) urządzenia te tworzą botnety.
Atak na firmę Dyn
Właśnie tak to się zadziało: ktoś użył ogromnego botnetu przeciwko firmie Dyn. Składały się na niego dziesiątki milionów urządzeń — kamery IP, routery, drukarki i inne inteligentne gadżety Internetu Rzeczy. Zalały one stronę firmową transmisją rzędu 1,2 terabitów na sekundę. Szacowane szkody wynoszą około 110 milionów dolarów. Jednak przestępcy nie mieli żadnych żądań.
Wydaje się, że ich celem był atak sam w sobie; nie pozostawili po sobie żadnych śladów. Do incydentu przyznali się hakerzy z grup New World Hackers i RedCult. Ponadto ugrupowanie RedCult zapowiedziało powtórzenie ataków tego typu w przyszłości.
Dlaczego powinno to obchodzić także Ciebie?
Nawet jeśli incydent Dyn nie dotknął Cię osobiście, nie oznacza to, że nie brałeś w nim udziału.
Aby utworzyć botnet, przestępcy potrzebują wielu urządzeń posiadających połączenie z internetem. Ile posiadasz takich urządzeń? Policzmy: telefon, smart TV, DVR, kamera internetowa… Może jeszcze termostat i lodówka? Zhakowane gadżety służą dwóm osobom jednocześnie: właścicielom, dla których działają jak zwykle, i przestępcom, na których zlecenie atakują także strony internetowe. Miliony takich urządzeń zamroziły stronę Dyn.
Tak gigantyczny botnet został utworzony przy użyciu szkodliwego programu Mirai, które wyszukiwało urządzenia IoT i próbowało złamać hasła na wszystkim, co znalazło. Ludzie zazwyczaj nie zmieniają ustawień domyślnych ani haseł na swoich urządzeniach, więc można je stosunkowo łatwo zhakować — w ten sposób zostały one wcielone do armii komputerów-zombie kierowanych przez program Mirai i jemu podobne.
A to oznacza, że telewizor, który łączy sie z internetem, może należeć do takiego botnetu, a Ty o tym nie wiesz.
We wrześniu tego roku ktoś użył oprogramowania Mirai do zdjęcia bloga dziennikarza zajmującego się bezpieczeństwem IT, Briana Krebsa, zalewając serwer żądaniami wysyłanymi z 380 000 urządzeń-zombie rzędu 665 gigabitów na sekundę. Dostawca próbował zatrzymać tę sytuację, ale ostatecznie się poddał, a blog wrócił do życia po interwencji Google w kwestii zabezpieczeń.
Wkrótce po tym ataku na podziemnym forum użytkownik o pseudonimie Anna-senpai opublikował kod źródłowy zagrożenia Mirai, z którego skorzystało wielu cyberprzestępców wszelkiej maści. Od tamtej pory liczba botów związana z Mirai nieustannie zwiększa się; atak Dyn pojawił się w niecały miesiąc później.
Zagrożenie dla urządzeń Internetu Rzeczy
DDoS to bardzo popularny rodzaj ataków, a wykorzystywanie w nich inteligentnych urządzeń jest dla przestępców atrakcyjne — jak już wspomnieliśmy, Internet rzeczy jest pełen błędów i luk. I to się w najbliższej przyszłości nie zmieni.
Twórcy inteligentnych gadżetów niewiele robią, aby zabezpieczyć swoje urządzenia, i nie wyjaśniają użytkownikom, że przed rozpoczęciem korzystania należy zmienić hasło na kamerze, routerze, drukarkach i innych urządzeniach. Co więcej, niektóre na to nie zezwalają. To sprawia, że urządzenia należące do IoT są idealnymi celami ataków.
Z internetem łączy się między 7 a 19 miliardów urządzeń. Według ostrożnych szacunków w ciągu kolejnych pięciu lat liczba ta wzrośnie do 30–50 miliardów. Niemal pewne jest, że większość tych urządzeń nie będzie odpowiednio chroniona. Poza tym gadżety zhakowane przez szkodliwe oprogramowanie Mirai wciąż są aktywne — a każdego dnia do tej armii botów dołączają kolejne.
Jakie są prognozy na przyszłość?
Przestępcy często wykorzystują botnety do atakowania kluczowej infrastruktury przemysłowej — stacje elektroenergetyczne, ujęcia wody i… tak, dostawców DNS. Według badacza zajmującego się bezpieczeństwem, Bruce’a Schneiera, ktoś „uczy się, jak zdjąć cały internet” przy użyciu potężnych i nieustannych ataków DDoS.
Botnety stają się coraz większe i można przypuszczać, że gdy takie ataki testowe zostaną zakończone, rozpocznie się atak na pełną skalę. Wyobraź sobie równoczesne przeprowadzenie dziesiątek takich ataków, jaki przydarzył się firmie Dyn, a zrozumiesz, jakie może to wyrządzić szkody. Wszystkie kraje straciłyby dostęp do swojego internetu.
Jak nie stać się częścią botnetu
Jedna osoba nie sprawi, że botnety przestaną zawładać internetem — ale razem możemy zrobić wiele, zapobiegając wcieleniu do nich naszych urządzeń. Najlepiej jest zacząć od siebie, tak aby Mirai i podobne szkodliwe programy nie mogły kontrolować obcego sprzętu. Jeśli każdy tak zrobi, armie botnetów skurczą się do nieznacznych rozmiarów.
Aby drukarka, router lub lodówka nie przeszła na złą stronę internetu, postępuj zgodnie z naszymi wskazówkami:
- Nie pozostawiaj haseł domyślnych na urządzeniach. Używaj solidnych kombinacji, których nie można tak łatwo zhakować.
- W razie możliwości aktualizuj oprogramowanie firmowe na wszystkich gadżetach — zwłaszcza w tych starszych.
- Starannie dobieraj inteligentne urządzenia. Zastanów się, czy naprawdę musi ono łączyć się z internetem. Jeśli tak, przed zakupem poczytaj opinie o urządzeniu. Jeśli posiada ono hasło, którego nie można zmienić, wybierz inny model.