Sosem látott DDoS-támadások jöhetnek
Az eddig látott legnagyobb DDoS-támadást mérték Brian Krebs blogjára. Az IT-biztonsági szakértő független oldala nemrég publikált egy alapos cikket az izraeli vDOS támadó szolgáltatásról, amely (Krebs szerint) az elmúlt években az egyes oldalakat megbénító támadások mögött állhat - csak 2016 áprilisa és júliusa között 227 millió percnyi támadást indított a vDOS, a szolgáltatás tehát ragyogóan skálázódott, kapacitását pedig meg tudta osztani egyszerre több kisebb oldal között is. A blogot érő támadás jó eséllyel e cikk közvetlen következménye, a vDOS mögött álló csapatból két fiatalt letartóztattak, erre lehetett bosszú a blog ellen indított támadási hullám.
A támadás egészen elképesztő méretet öltött, Krebs saját adatai szerint a csúcson az oldalra zúdított junk forgalom elérte a 620 gigabitet másodpercenként. A blog szerint a támadás egészen egyedi abban, hogy nem használta a korábban általánosnak számító "erősítő" módszereket, amelyek például az internetes időszerveket vagy névszervereket használják extra forgalom generálására. A Krebs oldalára irányított forgalmat "szinte kizárólag egy nagyon nagy, megtört eszközökből álló botnet generálta" - mondja a szerző.
Moose - egyike a sok támadásnak
A támadás műszaki szempontból is érdekes. A bejövő forgalomnak ugyanis csak egy részét képezte az általánosnak számító SYN, GET és POST üzenetekkel való bombázás. A forgalom jelentős részét inkább GRE (generic routing encapsulation) csomagok tették ki, ami DDoS-támadások esetében merőben szokatlan - mondja az Akamai DDos-guruja, Martin McKeay. Ez komoly aggodalomra ad okot, ilyen forgalmat ugyanis csak gigantikus botnetekkel lehet generálni, sok százezer beágyazott eszközzel például - mondja McKeay, ezt azt jelenti, hogy a támadók ennyi IoT-eszköz (és PC) fölött rendelkeznek, köztük otthoni routerekkel, IP-kamerákkal, internetre között videolejátszókkal.
Kinek az ernyője?
A Krebsonsecurity DDoS-védelmét eddig az Akamai látta el (a korábban felvásárolt Prolexic-en keresztül), pro bono, tehát térítésmentesen. Ez az Akamainak is kifizetődő volt, a cég értékes tapasztalatot szerzett a legújabb támadási mintázatokkal és sémákkal, amelyet a fizetős ügyfeleknél pénzzé tehetett, ráadásul hirdetési felületnek sem volt utolsó az egyik legismertebb biztonsági blog. A cég azonban végül bedobta a törölközőt, és két órás felmondási idővel kikapcsolta a védelmi szolgáltatást.
FollowBefore everyone beats up on Akamai/Prolexic too much, they were providing me service pro bono. So, as I said, I don't fault them at all.
A DDoS jellemzője lett, hogy mára nagyon olcsón (sőt: szolgáltatásként) lehet indítani ilyen támadásokat, a kevésbé felkészült oldalakat pedig ezzel kvázi azonnal ki lehet ütni. De még a felkészültebb, komoly informatikai háttérrel rendelkező szervezetek számára is komoly problémát tud jelenteni a DDoS, más néven az elosztott túlterheléses szolgáltatásmegtagadásos támadás. Ez leggyakrabban úgy működik, hogy egy fertőzött PC-kből álló botnet hirtelen hatalmas hálózati forgalmat zúdít a weboldalt hosztoló szolgáltatóra, és ezzel gyakorlatilag kiüti az oldalt. Ilyen botnetek szolgáltatásként bérelhetőek már a web sötét oldalán, de az autoriter rezsimek is gyakran élnek ezzel a lehetőséggel.
Kép: FireEye
Az újdonságot a botnet jelenti. A hagyományos PC-k ma már meglehetősen jól védettnek számítanak, a Microsoft sok lépcsőben (és évtizedes erőfeszítéssel) eljutott oda, hogy egy ideje nem a windowsos gépek jelentik a legkönnyebb zsákmányt az interneten. E kétes dicsőség ma már az IoT-eszközöknek jut, amelyek rémisztően gyenge védelemmel rendelkeznek és milliós nagyságrendben, automatizáltan is könnyen törhetőek. A támadók sokszor a firmware lecserélésével veszik át a hatalmat az eszközök felett, amelyek ettől a ponttól parancsra bevethetőek DDoS-támadásokhoz (is). A PC-khez képest ez még előrelépés is, ezek az eszközök sokszor 0-24-ben működnek, így mindig a támadók rendelkezésére állnak.
Pont jókor jött a Project Shield
A Google még februárban jelentette be, hogy saját védelmi ernyője alá veszi a DDoS-támadás alá vett kisebb független médiumokat. Az ingyenes szolgáltatást kimondottan azok a blogok és internetes lapok vehetik igénybe, amelyeknek nincs erőforrásuk saját hatáskörben kivédeni egy masszív támadást. Mivel ezt a támadási formát állami szereplők is egyre gyakrabban használták ellenzéki lapok elhallgattatására, a Google úgy döntött, ideje közbelépni.
A rendszer mögött az infrastruktúrát a Google biztosítja, és a keresőóriás fejleszti azt a szoftvert is, amely detektálja és szűri az ilyen elosztott túlterheléses támadásokra jellemző forgalmat, így a támadás alatt lévő oldal továbbra is elérhető marad a legitim olvasók számára. A médiumnak annyit kell tennie, hogy előzetesen regisztrál a Google-nél és a bejövő forgalmat reverse proxy módszerrel átvezeti a keresőóriás felhős infrastruktúráján a DNS átírásával. A módszernek két hátulütője van, hívja fel a figyelmet Cory Doctorow.Egyrészt a Google így man-in-the-middle hozzáférést kap a hálózati forgalomhoz, másrészt az olyan országokban, ahol a Google IP-címei tiltólistán vannak, az oldal elérhetetlenné válik. Azon médiumoknak, amelyek számára ez a két feltétel elfogadható, nyitott a jelentkezés.