Temat: technologie

Dział: TECHNOLOGIE

Dodano: Styczeń 31, 2024

Narzędzia:

Drukuj

Drukuj

Pod ciągłym ostrzałem. Czym dokładnie są ataki DDoS i jak się przed nimi bronić?

Co jest fundamentem dobrej obrony przed atakami? Trzeba monitorować podejrzane wzrosty ruchu, znać możliwe przyczyny i skutki oraz przygotować plan reakcji na takie incydenty (fot. 123RF.com)

Ataki DDoS przypominają kampanię wojenną: oto nagle serwer, strona, jakaś część internetu trafia pod zmasowany ostrzał, którego nie sposób powstrzymać. Można się schować, można wycofać. Ale najlepiej przewidzieć możliwy atak i uprzedzić działania wroga.

***

Ten tekst Ryszarda Parki pochodzi z dodatku „Cyberbezpieczeństwo” – sekcji specjalnej w najnowszym numerze magazynu „Press” – nr 01-02/2024. Artykuł udostępniamy do przeczytania w całości tutaj, zachęcamy jednocześnie do bezpłatnego pobrania całego dodatku pod tym linkiem. Przyjemnej lektury!

***

Atak DDoS, czyli Distributed Denial of Service (w wolnym tłumaczeniu: „Rozproszona Odmowa Usługi”), ma jeden cel: zajęcie wszystkich dostępnych zasobów sieci komputerowych lub usług sieciowych w celu uniemożliwienia ich funkcjonowania. Ofiara ataku DDoS zasypywana jest fałszywymi akcjami – może być to próba wywołania kolejnych odsłon strony czy masowego skorzystania z jednej określonej usługi.

W lipcu 2023 roku serwis Polityka.pl przez 13 godzin znajdował się pod ostrzałem hakerów z rosyjskiej grupy NoName057. Cyberatak na serwery tygodnika rozpoczął się w poniedziałek około dziewiątej rano. Przestał działać serwis Polityka.pl, a subskrybenci płatnych treści stracili do nich dostęp, m.in. do e-wydań i dodatków do tygodnika w formie elektronicznej. Serwis udało się ponownie uruchomić dopiero ok. 22. Był to największy cyberatak na „Politykę” w jej cyfrowej historii.

Czytaj też: Słodkie zdjęcia, które mogą wyrządzić krzywdę. Sharenting jest groźny, trzeba mówić głośno

– Mimo że atak DDoS trwał, udało się nam i firmom, które obsługują nas informatycznie, przywrócić działanie serwisu – wyjaśniał wtedy Łukasz Lipiński, zastępca redaktora naczelnego „Polityki” ds. wydań cyfrowych i naczelny Polityka.pl.

To był już drugi atak DDoS na „Politykę” w ciągu dwóch miesięcy. W maju tego samego roku rosyjskie grupy hakerskie uderzyły również w serwery ogólnopolskich serwisów Wyborcza.pl, Rp.pl, Se.pl, wPolityce.pl czy Wprost.pl i Niezalezna.pl. O ile podczas tego ataku większość serwerów stanęła na nogi w ciągu kilku godzin, o tyle portalowi wPolityce.pl problem udało się zlikwidować dopiero po dwóch dniach.

W przypadku tego zmasowanego ataku Polska miała informacje o możliwym działaniu hakerów. Zagrożone nim redakcje zostały poinformowane o niebezpieczeństwie wcześniej.

– Są grupy, które specjalizują się w destabilizacji bezpieczeństwa w sieci i kierują swoje ataki przeciwko określonym celom – tłumaczy Robert Grabowski, szef zespołu CERT Orange Polska, który zajmuje się analizą phishingu i złośliwego oprogramowania, podatnościami na ataki, testami penetracyjnymi i badaniami bezpieczeństwa. – Wiemy o nich i obserwujemy takie ataki. Działalność tego typu wzmogła się po rosyjskiej pełnoskalowej agresji na Ukrainę. Widać, że w wojnie bierze udział kilkadziesiąt zarówno prorosyjskich, jak i proukraińskich grup, a cele ataków znajdują się również w Polsce.

NA CYBERFRONCIE

DDoS realizowany jest najczęściej według dwóch strategii. Atakujący mogą skorzystać z przejętych komputerów do stworzenia botnetu, czyli sieci urządzeń, które dokonają ataku. Mogą też wykorzystać podatne otwarte usługi, które zwielokrotnią atak. Atakujący wysyłają do nich zapytania lub pakiety, ale masowe odpowiedzi trafiają już do obiektu ataku.

Obecnie coraz większą popularność w przygotowywaniu ataków DDoS zyskuje dystrybuowanie narzędzi w schemacie społecznościowym. Określona grupa – taka jak rosyjska No Name057, która przyznała się do lipcowego ataku na serwery „Polityki” – buduje wokół siebie społeczność. Jej członkowie otrzymują narzędzie, które mogą uruchomić na swoich komputerach, oraz instrukcje, jak zabezpieczyć się przed wykryciem, oraz jak i kiedy uruchomić narzędzie.

– Ci, którzy wspierają pomysłodawców ataku, dobrowolnie ściągają te aplikacje i instalują je, stając się świadomym botnetem – wyjaśnia Grabowski. – Czyli nie są to już niewinne ofiary ataków, lecz konkretni ludzie, którzy z premedytacją udzielają swojej mocy obliczeniowej, swojego pasma internetowego po to, by zaatakować jakieś cele. Ten mechanizm można nazwać DDoS-ami społecznościowymi.

Dodaje, że takie grupy mają własne kanały komunikacyjne, choćby na Telegramie. Tam prowadzą dyskusje, w których wspólnie ustalają cele – czy to mają być banki, prasa, a może system rezerwacji i sprzedaży biletów lotniczych. Grupy te mogą być powiązane z konkretnym państwem – właśnie tak jak w przypadku wspomnianej No Name057, która po atakach na „Politykę” w komunikatach posługiwała się literą Z, charakterystyczną dla rosyjskich wojsk inwazyjnych w Ukrainie. Właśnie ta grupa w ostatnim czasie często brała na cel polskie obiekty, strony i zasoby.

Stosunkowo duża dostępność narzędzi oraz łatwość, z jaką można zbudować społeczności w sieci, sprawia, że liczba ataków DDoS rośnie. O ile jednak za organizacją ataków DDoS stoją zwykle dobrze przygotowani programiści i hakerzy, o tyle zdecydowana większość ofiar takiego ataku nie ma większego pojęcia o najprostszym programowaniu. – Niestety ludzie ściągają programy i nie zadają sobie pytania, czy one przypadkiem nie wykradną czegoś z ich komputerów – zauważa szef CERT Orange Polska.

NIEGOTOWI DO OBRONY

Polskie redakcje w dużej części outsourcują dziś usługi IT. Nawet jeżeli mają swoje zespoły informatyków, to często są to specjaliści, którzy poza pracą dla redakcji realizują dziesiątki innych projektów na rynku. Jednocześnie wiedza przeciętnego dziennikarza na ogół nie pozwala mu na ocenę, czy problemy ze stroną internetową redakcji są chwilowe, czy też może serwis padł właśnie ofiarą niebezpiecznego ataku hakerów.

Zdaniem Roberta Grabowskiego podobne obserwacje dotyczą również innych branż w Polsce. – Często spotykam się z takim podejściem: dlaczego ktoś miałby mnie zaatakować, mnie na pewno to nie dotyczy. Albo: pół godzinki poczekam i przestaną. To jest beztroska. Bo prawda jest taka, że w przypadku ataków DDoS – ale też wszystkich innych, bo DDoS nie są jedynymi, jakie grożą firmom – nie jesteśmy w stanie się obronić, jeśli nie poczynimy wcześniejszych przygotowań – podkreśla Grabowski. Podaje przykład: – Jeżeli w przypadku ataku wolumetrycznego, który w 100 procentach wysyci nasze pasmo internetowe, nie zastosowaliśmy wcześniej żadnych zabezpieczeń i nie mamy alternatywnych dróg łączności, to praktycznie możemy tylko czekać, aż taki atak ustanie. Chyba że ktoś zrobi coś za nas, na przykład operator telekomunikacyjny, dla którego ten atak niesie też jakieś problemy.

Ten tekst Ryszarda Parki pochodzi z dodatku „Cyberbezpieczeństwo” – sekcji specjalnej w najnowszym numerze magazynu „Press” – nr 01-02/2024. Artykuł udostępniamy do przeczytania w całości tutaj, zachęcamy jednocześnie do bezpłatnego pobrania całego dodatku pod tym linkiem.

Inny przykład to ataki aplikacyjne, kiedy atakowany jest serwis aplikacji. – Tu nie mamy zalewania aplikacji pakietami, a prawidłowymi zapytaniami do niej, za to w niewyobrażalnej liczbie. Tu także, jeżeli usiłujemy ograniczać skutki ataku wyłącznie reaktywnie, będzie to za każdym razem zajmować wiele godzin. Godzin, kiedy aplikacja dla przeciętnego użytkownika nie działa – mówi specjalista.

Co jest fundamentem dobrej obrony przed atakami? Specjaliści wymieniają trzy elementy: monitorowanie podejrzanych wzrostów ruchu, wiedza o możliwych przyczynach i skutkach oraz przygotowanie planu reakcji na takie incydenty. Najprostsze rozwiązania to zwiększenie mocy obliczeniowej oraz ukrycie się za fasadą typu Cloudflare – narzędziem, które poprawia bezpieczeństwo stron internetowych, chroniąc je m.in. przed atakami DDoS. Jeszcze innym ważnym aspektem jest ochrona ze strony usługodawcy, który w przypadku wykrycia progów ataku reaguje sam bądź z pomocą operatora.

Polscy wydawcy wyspecjalizowani w serwisach internetowych zwracają uwagę, że spać nieco spokojniej pozwalają im dzisiaj współczesne rozwiązania chmurowe. Robert Grabowski potwierdza: – Jeżeli nasze zasoby działają w rozproszonym środowisku chmurowym ogromnego dostawcy, to jest on w stanie przyjąć nawet bardzo duże ataki, choć oczywiście może się to wiązać też ze zwiększonymi kosztami obsługi. Ta potężna infrastruktura jak najbardziej zapewnia ochronę, skoro może obsłużyć setki milionów żądań bez wpływu na bieżącą pracę – wyjaśnia.

Press

Robert Grabowski, szef zespołu CERT Orange Polska (fot. CERT Orange Polska/Łukasz Ślusarczyk)

CZŁOWIEK CZŁOWIEKOWI BOTEM

Dziennikarze szczególnie lokalnych i regionalnych redakcji wspominają czasem, że sami internauci potrafili w szczególnych przypadkach zablokować redakcyjne serwery. Stało się tak m.in. z serwisami Polska Press, które nie wytrzymały pierwszej fali zainteresowania wyborami samorządowymi w 2014 roku. Do podobnej blokady doszło 15 października 2023 roku, podczas wyborów parlamentarnych. Tego dnia ruchu nie wytrzymała aplikacja mObywatel, która przechowuje m.in. elektroniczne dowody osobiste.

– To klasyczny ludzki atak aplikacyjny – przyznaje Robert Grabowski. – Mamy z nim do czynienia od kilku lat w przypadku e-PIT, a wcześniej innych rozliczeń podatkowych. Nawet w Orange zdarzył się kilka lat temu niezwykły przypadek. W dniu premiery nowego sezonu gry komputerowej „Fortnite” dziesiątki tysięcy graczy starało się jak najszybciej ściągnąć aktualizację, która ma kilkanaście gigabajtów – tyle, ile współczesny system komputerowy. Sieci to nie zatrzymało, ale spowodowało gigantyczny wzrost ruchu – opowiada ekspert. I przypomina, że black friday również może zablokować niejedną stronę handlową, która oferowała wyprzedaże.

Specjalista tłumaczy, że każdy biznes – również wydawniczy – opierający się na internetowych odbiorcach, odpowiednio skaluje swoje środowisko. – Utrzymywanie środowiska gotowego na dziesięciokrotny wzrost ruchu mało komu się opłaca – zauważa Robert Grabowski.

Wskazuje, że taką elastyczność można sobie zapewnić u dużego dostawcy chmurowego. Natomiast jeżeli korzysta się z własnych rozwiązań, o ochronę trzeba starać się wyżej – u dostawcy łączy internetowych, który ma możliwość przekierowania nadmiaru ruchu na poziomie swoich wydajnych routerów szkieletowych.

Zdaniem Roberta Grabowskiego polscy wydawcy powinni mieć świadomość ryzyka ataków DDoS i umiejętność ich szacowania. – Trzeba odpowiedzieć sobie na pytanie: jaki jest wpływ niedostępności strony na mój biznes. Ta świadomość istnieje. Choć często górę bierze przekonanie, że nam się coś takiego nie przytrafi – mówi. Dodaje: – Do inwestycji w sferę IT trzeba podchodzić jak do ubezpieczenia. Poza tym istnieją dziś rozwiązania, które nie są bardzo obciążające dla firm i wdrożone niewielkim kosztem w takich nagłych sytuacjach mogą się zwrócić.

Grabowski często jeździ na tzw. incydenty, kiedy trzeba likwidować skutki ataków – nie tylko DDoS, ale np. ransomware, kiedy nieostrożnie otwarty plik powoduje zaszyfrowanie wszystkich dokumentów czy baz danych. – Zwykle trafiam na sytuację „mądry Polak po szkodzie”. Przez kilka lat wszystko w firmie działało bez zarzutu, więc nikt nie zastanawiał się nad nowymi zabezpieczeniami. A tymczasem jedno nieopatrzne kliknięcie spowodowało zaszyfrowanie całej bazy danych klientów. I dopiero wtedy zaczyna się szukanie sposobów na zabezpieczenia – opisuje przykład.

JAK SIĘ BRONIĆ SKUTECZNIE

Grabowski jest zwolennikiem rozsądnego podejścia do wzmacniania bezpieczeństwa cyfrowego w firmach, niezależnie od tego, czy chodzi o wydawców, serwisy internetowe, drukarnie, czy o inne przedsiębiorstwa. Radzi nie rzucać się na kosztowne rozwiązania, a zacząć od przeprowadzenia audytu zerowego.

– Taki audyt pokaże, jak w danym momencie wygląda nasza firma i jej infrastruktura cyfrowa. Pozwoli też przyjrzeć się najgroźniejszym dla firmy wektorom ataku, takim, które niosą potencjalnie najpoważniejsze konsekwencje biznesowe – wyjaśnia. – Po takim audycie i po dyskusji, która powinna zderzać wiedzę ekspercką z zakresu IT z wiedzą biznesową, łatwiej będzie oszacować koszty i przygotować najlepsze rozwiązania dla konkretnej firmy.

Rozwiązania, które może nawet zostaną wdrożone – co nie jest jednak oczywiste. Z praktyki bowiem wynika, że w pierwszym okresie po tego typu kłopotach firmy faktycznie przygotowują odpowiednie plany zabezpieczeń. Potem jednak napięcie mija, projekt trafia do szuflady i leży w niej do kolejnego incydentu. Oszczędności biorą górę.

NIE TYLKO DDOS

Ataki DDoS nie są jedynymi, na jakie mogą być narażeni wydawcy, ale też agencje reklamowe, producenci filmowi czy agencje informacyjne. Wśród najpopularniejszych Robert Grabowski wymienia phishing (więcej na temat phishingu na stronie 128).

– W mojej ocenie tego typu ataków obserwujemy najwięcej i pod każdą postacią: głosową, SMS-ową, mailową. Myślę, że branża mediów jest bardzo narażona na ten typ ataku, ponieważ utrzymuje bardzo dużo kontaktów zewnętrznych – zwraca uwagę specjalista. – Dziennikarzom szukającym sensacyjnych tematów łatwo wpaść w pułapkę. Ktoś pisze do nich o ekskluzywnych informacjach i załącza dokumenty do maila – a tam złośliwe załączniki.

Poprzez ich otwarcie można zainstalować złośliwe oprogramowanie wykradające dane lub ransomware, które zaszyfruje dane, uniemożliwiając dostęp do nich ich właścicielowi.

Specjalista pociesza, że coraz mniej trzeba się obawiać klasycznych wirusów. Dziś częściej mamy do czynienia raczej z malwertisingiem, czyli złośliwymi i nachalnymi reklamami czy niechcianym oprogramowaniem zapychającym kalendarz telefonu, z których zyski czerpie autor aplikacji. Tradycyjne wirusy, które psuły krew, ale nie powodowały szczególnie dotkliwych szkód w oprogramowaniu czy danych, praktycznie zniknęły.

JAK SIĘ CHRONIĆ

• Z pewnością warto zaglądać na serwisy typu ZaufanaTrzeciaStrona.pl czy Niebezpiecznik.pl. Robert Grabowski poleca jednak stronę CERT.Orange.pl.

–Skupiamy się na Polsce i zagrożeniach, które tu się pojawiają. Publikujemy na naszej stronie wszystko, co odkryjemy, ale też co analizujemy – aktualne kampanie i rodzaje ataków. Informujemy o tym również na Twitterze – mówi. Dodaje: – Tego typu inicjatyw – witryn, które można śledzić – jest oczywiście więcej. Jest NASK, są też blogi informacyjne o bezpieczeństwie.

Szef CERT Orange Polska doradza również regularne wykonywanie testów bezpieczeństwa. – Dobrze jeżeli raz na rok lub dwa lata ktoś z zewnątrz przetestuje naszych dostawców usług czy outsourcera IT, czas i sposób ich reakcji na zagrożenie. Można też przeprowadzić kontrolowaną kampanię phishingową wśród pracowników, żeby pokazać im, jak rozpoznać fałszywy mail phishingowy i jak się przed takim zagrożeniem bronić.

Należy też dbać o własną infrastrukturę komputerową. – Coś, co dziś jest bezpieczne, za rok może już mieć luki krytyczne – mówi Robert Grabowski. – Jeżeli przez dłuższy czas nie zaktualizujemy systemu, możemy się stać ofiarą ataku.

Atakiem zagrożony jest niemal każdy, kto działa w internecie. Zwłaszcza że grupy hakerskie, zwłaszcza te zza wschodniej granicy, działają w pewnym stopniu na oślep. Ataki kierują przeciwko podmiotom wskazanym przez słowniki. Raz spróbują atakować „ministerstwo”, innym razem „bank”, potem „port lotniczy”. Prawdopodobnie dlatego podczas letnich ataków DDoS na serwisy polskich redakcji w jednej grupie znalazły się te, które w swoim opisie miały słowo „polityka”.

***

Partnerem dodatku jest Orange Polska

***

Ten tekst Ryszarda Parki pochodzi z dodatku „Cyberbezpieczeństwo” – sekcji specjalnej w najnowszym numerze magazynu „Press” – nr 01-02/2024. Artykuł udostępniamy do przeczytania w całości tutaj, zachęcamy jednocześnie do bezpłatnego pobrania całego dodatku pod tym linkiem.

***

„Press” do nabycia w dobrych salonach prasowych lub online (wydanie drukowane lub e-wydanie) na e-sklep.press.pl.

Czytaj też: W nowym "Press": Czuchnowski o granicach, Kammel trochę miękki, atomowy Polsat i niewesoły Romek

Ryszard Parka

* Jeśli znajdziesz błąd, zaznacz go i wciśnij Ctrl + Enter
Pressletter
Ta strona korzysta z plików cookies. Korzystając ze strony bez zmiany ustawień dotyczących cookies w przeglądarce zgadzasz się na zapisywanie ich w pamięci urządzenia. Dodatkowo, korzystając ze strony, akceptujesz klauzulę przetwarzania danych osobowych. Więcej informacji w Regulaminie.