Zmasowane natarcie

Ataki DDoS z pozoru nie wydają się tak groźne jak inne cyberzagrożenia, ale nie można ich bagatelizować i przede wszystkim należy się na nie odpowiednio przygotować. Media też są ich celem

Gdy sięgniemy pamięcią wstecz, zobaczymy, że cyberprzestępcy regularnie atakowali media w ostatnich latach. W marcu tego roku do przeprowadzenia ataku DDoS [ang. Distributed Denial of Service, rozproszona odmowa usługi – red.] na serwery platformy X przyznała się propalestyńska grupa Dark Storm. W czerwcu 2024 roku, w czasie Euro 2024, celem cyberataku stała się TVP. Infrastrukturę informatyczną nadawcy zaatakowano podczas transmisji online m.in. meczu Polska–Austria. TVP przyznała wtedy, że były to ataki DDoS. Cyberprzestępcom chodziło o przeciążenie serwerów i doprowadzenie do poważnych zakłóceń lub całkowitego uniemożliwienia odbioru transmisji, zarówno na stronach internetowych, jak i w aplikacjach mobilnych. Jesienią 2023 roku ofiarą ataku padła strona internetowa Centrum Monitoringu Wolności Prasy. Atakować ją miały boty z Rosji, Chin i Meksyku. Natomiast latem 2023 roku przeprowadzono cyberatak na serwery tygodnika „Polityka”. Przyznała się do niego rosyjska grupa hakerska NoName057. Miała to być zemsta za pomoc Polaków dla Ukrainy.

SZKODY MATERIALNE I WIZERUNKOWE

– DDoS to rodzaj ataku, na przykład na serwer lub stronę internetową, który generuje sztuczny ruch tak, aby wykorzystać wszystkie wolne zasoby ofiary i doprowadzić do niedostępności usług. W efekcie użytkownicy nie mogą wejść na daną witrynę lub platformę – wyjaśnia Szymon Palczewski, p.o. redaktor naczelny Cyberdefence24.pl.

Iwona Prószyńska, ekspertka z Centrum Cyberbezpieczeństwa i Infrastruktury w instytucie NASK, dodaje, że pierwsze D w skrócie, czyli distributed, oznacza, iż żądania te nie są wysyłane z jednego urządzenia należącego do atakującego, lecz z całej sieci, tzw. botnetu. – W skład takiej sieci mogą wchodzić na przykład zainfekowane urządzenia, których właściciele nie mają pojęcia o tym, że ich sprzęt bierze udział w takim procederze. Może to utrudniać służbom ustalenie źródła ataku – zaznacza Prószyńska.

Atak DDoS może przeprowadzić właściwie każdy. „Wystarczy, że za opłatę (np. 10 euro) wykupi usługę lub narzędzie i za pomocą jednego kliknięcia jest w stanie zablokować wybraną witrynę internetową” – czytamy na stronie Cyberdefence24.pl. Na dodatek może to być nie tylko jeden atak, lecz wiele krótkich, przeprowadzanych np. przez godzinę.

– Nie dochodzi tu do przełamania zabezpieczeń w celu zainfekowania infrastruktury lub kradzieży danych. Patrząc z tej perspektywy, szkodliwość DDoS-ów jest mała – stwierdza Szymon Palczewski z Cyberdefence24.pl. Dodaje jednak, że gdy uwzględnimy konsekwencje takich ataków dla organizacji, zwłaszcza biznesowych, skala negatywnych skutków jest znacznie większa. – Przestój spowodowany choćby niemożliwością świadczenia usług online generuje straty finansowe przedsiębiorstwa. Jest to dotkliwe przede wszystkim dla firm opierających swoją działalność na funkcjonowaniu w internecie, na przykład platform sprzedażowych – podkreśla. Jak zauważa, skutki ataków DDoS mogą także zniechęcić klientów firm i spowodować ich odejście do konkurencji, a także utrudnić odbiorcom dostęp do informacji, np. przez brak dostępu do stron urzędów.

– Problem może się pojawić, jeśli na skutek ataku DDoS przestaną funkcjonować nie tylko strona, ale też inne systemy jakiejś istotnej dla nas usługi czy systemu krytycznego dla obywateli – mówi Piotr Konieczny, założyciel serwisu Niebezpiecznik.pl.

MEDIA W ZAGROŻENIU

Ataki DDoS wykorzystują też grupy hakerskie, działające na zlecenie konkretnych państw.

– Tego typu incydenty mogą mieć wartość propagandową. Za takimi atakami stoją najczęściej grupy haktywistyczne, często sponsorowane przez obce państwa, których głównym celem jest zdobycie rozgłosu i zasianie niepokoju wśród użytkowników atakowanej usługi. Toteż podawanie do publicznej wiadomości informacji o atakach DDoS, które nie miały realnego wpływu na długofalowe działanie atakowanych instytucji, sprzyja głównie interesom adwersarzy – uważa Iwona Prószyńska z NASK.

W Polsce obserwujemy aktywność prorosyjskich haktywistów, którzy nie zgadzają się z zachodnimi narracjami na temat Ukrainy i próbują zakłócać działalność mediów. – Taki atak pełni wówczas kilka funkcji. To między innymi utrudnianie dostępu do rzetelnych informacji, manifestacja siły oraz próba oddziaływania na społeczeństwo: wywołania chaosu, poczucia zagrożenia, lęku – wylicza Szymon Palczewski z Cyberdefence24.pl. Zauważa, że media są częstym celem ataków DDoS ze względu na charakter swojej działalności. – Ich misją jest dostarczanie informacji społeczeństwu, a przez DDoS-y dostęp do nich staje się czasowo utrudniony lub wręcz niemożliwy – podkreśla.

Piotr Zielaskiewicz, menedżer rozwiązań Stormshield w firmie Dagma Bezpieczeństwo IT, ocenia, że media są szczególnie narażone na ataki DDoS, ponieważ ich serwisy są publicznie dostępne i muszą zapewniać nieprzerwany dostęp dla dużej liczby użytkowników. – Tego typu ataki uderzają w dostępność, czyli podstawową funkcję serwisu informacyjnego. W efekcie konsekwencje są natychmiast widoczne dla szerokiej publiczności, a zaufanie odbiorców spada – zauważa Zielaskiewicz.

– W przypadku mediów ten atak może być dotkliwy także z tego powodu, że gdy strona jakiejś gazety przestaje działać, ta gazeta zaczyna tracić ruch i wpływy z reklam – stwierdza Piotr Konieczny z portalu Niebezpiecznik.pl.

Robert Grabowski, szef CERT Orange Polska podkreśla, że zaatakowana może zostać każda witryna. – Atakowani jesteśmy też my, operatorzy. Z naszych obserwacji wynika, że więcej ataków przeprowadzanych jest na strony rządowe i finansowe, natomiast media częściej padają ofiarą grup siejących dezinformację. Jednak czasem są one gorzej przygotowane na takie ataki niż na przykład instytucje finansowe, które zainwestowały w skuteczną ochronę – zaznacza ekspert.

TECHNOLOGIE I PROCEDURY

– Niezależnie od rodzaju stosowanych zabezpieczeń anty-DDoS jest pewien poziom ruchu, powyżej którego te systemy przestaną poprawnie działać – zauważa Piotr Konieczny. Jak więc się obronić przed tym zagrożeniem? Robert Grabowski z Orange Polska uważa, że w razie globalnych, wysokowolumenowych ataków nie poradzimy sobie bez fachowej pomocy. – Przed dużym atakiem, rzędu kilkudziesięciu lub kilkuset gigabitów, jest w stanie obronić tylko operator. Można też umieścić swoje zasoby u globalnych dostawców treści, takich jak Cloudflare – radzi. I dodaje: – Samemu można się bronić przed atakami aplikacyjnymi, których wolumen nie przekracza możliwości atakowanego łącza.

Szymon Palczewski z Cyberdefence24.pl podkreśla, że na rynku są dostępne rozwiązania pozwalające neutralizować ataki DDoS. – Korzystają z nich na co dzień nie tylko redakcje, ale także firmy z wielu branż oraz sektor publiczny. Przykładowym dostawcą jest Exatel. Oni również świadczą usługi cyberbezpieczeństwa w ramach outsourcingu – stwierdza Palczewski.

Piotr Konieczny z Niebezpiecznik.pl wyjaśnia, że ochrona przed atakami DDoS polega na odpowiedniej budowie infrastruktury, tak aby w przypadku zwiększonego ruchu być w stanie obsłużyć ruch od prawdziwych użytkowników, odfiltrowując jednocześnie ten z prób nawiązania połączeń, które mogą być elementem ataku. – Są rozwiązania zarówno dla infrastruktury self-hosted [własnego hostingu – red.], jak i tzw. chmurowe centra mitygacji. Ich wdrożenie jest dość szybkie i niezbyt wymagające. Mimo wszystko jednak, kiedy wykonujemy dla naszych klientów tzw. stress testy, czyli symulacje różnych typów ataków DDoS, okazuje się, że część firm, choć korzysta z rozwiązań anty-DDoS, nie do końca poprawnie je skonfigurowała i tkwi w fałszywym poczuciu bezpieczeństwa. Co gorsza, wydają co miesiąc spore kwoty na rozwiązania, które w razie potrzeby i tak by nie zadziałały – przestrzega Konieczny.

Zdaniem Piotra Zielaskiewicza, menedżera rozwiązań Stormshield w firmie Dagma Bezpieczeństwo IT, najskuteczniejsza jest wielowarstwowa ochrona: na poziomie sieci operatora (np. filtry, systemy anty-DDoS), rozwiązań chmurowych typu CDN z funkcjami utrzymania dostępności oraz lokalnych urządzeń UTM/NGFW (zapory sieciowe), które kontrolują ruch i reagują na anomalie. Jego zdaniem duże znaczenie mają także ograniczenia w postaci rate-limitingu (przepustowości), filtrowania geograficznego oraz ścisła współpraca z dostawcami łączności, w tym odpowiednie procedury eskalacji i umowa SLA, która określa poziom usług, oczekiwany od dostawcy. – Nie można też zapominać o stałym monitoringu, przygotowanych planach reakcji i testach awaryjnych. Same technologie, bez sprawnych procedur operacyjnych, zapewniają jedynie pozorne bezpieczeństwo – przestrzega Piotr Zielaskiewicz.

Czy należy przeszkolić w zakresie procedur cały zespół? Robert Grabowski z Orange Polska podkreśla, że pracowników nietechnicznych, którzy nie zajmują się na co dzień obsługą urządzeń sieciowych, zasadniczo nie szkoli się w zakresie DDoS. – Co najwyżej informuje się ich, gdzie powinni zgłaszać nieprawidłowości, na przykład opóźnienia w odpowiedzi serwera – zaznacza.

Natomiast urządzenia służące do ochrony muszą być nie tylko dobrze skonfigurowane, ale też od czasu do czasu tuningowane, w związku z rozwojem aplikacji i ewolucją ataków. – I taka osoba, żeby to poprawnie skonfigurować, musi się szkolić. Również dział sieciowy i dział do kontaktów z dostawcą ochrony potrzebuje odpowiednich kompetencji – podkreśla Robert Grabowski.

NAJLEPSZA OCHRONA DLA MEDIÓW

Jak polskie media bronią się przed atakami DDoS? Na nasze pytania odpowiedziały redakcje TVP i Interia, informując, że korzystają z zaawansowanych, kompleksowych narzędzi ochrony. Szczegółów jednak nie podano, co jest zrozumiałe.

Zapytaliśmy więc ekspertów, jaka ochrona najlepiej się sprawdzi w przypadku branży medialnej. Piotr Konieczny z Niebezpiecznik.pl zaznacza, że wybór ochrony jest uzależniony od infrastruktury danego środka przekazu i nie ma tu jednej recepty. – Ale niezależnie od obranej strategii co do rozwiązań anty-DDoS i tak postawiłbym na zbudowanie alternatywnego kontaktu z czytelnikami, na przykład newslettera lub obecności w mediach społecznościowych – radzi. Takie rozwiązanie pozwala nieprzerwanie przekazywać informacje w razie ewentualnego ataku.

– W przypadku organizacji medialnych warto rozważyć model hybrydowy: lokalne firewalle [zapory sieciowe – red.] z funkcjami detekcji jako pierwszą linię obrony oraz chmurowe „scrubbing centres” jako drugą – mówi Piotr Zielaskiewicz z Dagma Bezpieczeństwo IT.

Na stronie Exatel.pl można przeczytać, co się kryje za tym pojęciem: „Scrubbing center to węzeł sieciowy, znajdujący się w infrastrukturze operatora, w którym przeprowadzana jest mitygacja ataków DDoS polegająca na precyzyjnym oddzieleniu ruchu sztucznego od prawidłowego i przesłanie tego drugiego do użytkownika końcowego”.

Wojciech Struski, dyrektor obszaru cyberbezpieczeństwa i architektury IT w Ringier Axel Springer Polska, przyznaje, że od wybuchu wojny w Ukrainie spółka obserwuje znaczny wzrost skali i częstotliwości ataków DDoS na serwisy RASP. – Dzięki korzystaniu z usług chmury publicznej mamy możliwość automatycznego wykrywania tego typu ataków i ochrony przed nimi – stwierdza. Zaznacza jednak, że żadna ochrona nie jest doskonała i atakujący również wykazują się kreatywnością. – Z naszego doświadczenia wynika, że tylko najwięksi dostawcy środowisk chmurowych i najwięksi operatorzy dystrybucji treści w sieci, z globalnym zasięgiem, są w stanie uporać się z atakami tego rodzaju – stwierdza Struski.

I dodaje: – Istotnym aspektem ochrony jest uświadomienie sobie, że tego typu atak jest kosztowny również dla atakującego, oraz wdrożenie strategii stopniowego wyłączania mniej potrzebnych funkcjonalności, jeśli atakujący testuje naszą odporność dłużej niż kilka minut.

Robert Grabowski z Orange Polska konkluduje, że sektor mediowy różni się od finansowego lub rządowego, bo jest oparty na ochronie świadczonej przez zewnętrzne podmioty. – Dużo częściej korzysta z rozwiązań chmurowych, outsourcingu – wyjaśnia.

JAK ROZPOZNAĆ ATAK?

Aby się skutecznie bronić, trzeba w porę rozpoznać zagrożenie. W poradniku na Orange.pl czytamy, że „atak może wyglądać jak liczne odwiedziny na stronie i zasypywanie systemu fałszywymi próbami skorzystania z usług, które się na nim znajdują”.

– Zaniepokoić nas powinien każdy przejaw niestandardowego działania strony internetowej. To mogą być dłuższe odpowiedzi strony, zrywanie sesji lub brak możliwości załadowania tekstu na platformę CMS – wyjaśnia Robert Grabowski z Orange Polska.

Jeżeli korzystamy z usług zewnętrznych firm, to w przypadku wystąpienia wspomnianych nieprawidłowości powinniśmy niezwłocznie powiadomić usługodawcę. – Jeśli w firmie jest dział IT, to widzi, jakie pakiety danych przychodzą i w ciągu kilku minut jest w stanie się zorientować, że mamy do czynienia z atakiem. To zwykle jest ruch z państw, które zazwyczaj nie korzystają z naszych mediów lub robią to w niewielkim procencie – mówi Grabowski.

Ataki DDoS miewają różne postaci. – Atakujący mogą znaleźć na stronie panel logowania lub wyszukiwarkę i zaczynają wykonywać teoretycznie poprawne zapytania do naszego serwisu. Jedyną niepoprawnością jest to, że jest ich bardzo dużo. Tysiące urządzeń wykonuje tysiące zapytań i serwery nie dają sobie z nimi rady. I to jest przykład ataku aplikacyjnego. Natomiast w przypadku ataku wolumetrycznego jesteśmy zalewani na przykład pakietami UDP (User Data Protocol), co zapycha łącze – opisuje Robert Grabowski.

Według Piotra Koniecznego z Niebezpiecznik.pl członkowie redakcji nie mają wiele do zrobienia w trakcie ataku, poza zgłaszaniem zauważonych nieprawidłowości. – A dział IT powinien podążać za procedurą, która – miejmy nadzieję – była nie tylko spisana, ale też wcześniej przetestowana w ramach ćwiczeń polegających na symulacji takich ataków. Bo co innego teoria, a co innego praktyka. W przypadku testów rozwiązania anty-DDoS, które realizujemy regularnie dla jednego z klientów z branży finansowej, zawsze pojawiają się jakieś niespodziewane wyzwania i pomysły na ulepszenia, choć infrastruktura się nie zmienia. Trening czyni mistrza – podkreśla Konieczny.

Konieczność przygotowania i realizowania harmonogramu regularnych oraz cyklicznych testów dotyczących odporności infrastruktury na ataki DDoS podkreślona jest też w publikacji „Dobre praktyki w zakresie przeciwdziałania atakom DDoS”, przygotowanej przez zespół CSIRT Komisji Nadzoru Finansowego. Poza tym poleca się tam wprowadzenie mechanizmów CAPTCHA, czyli testu, który weryfikuje, czy użytkownik jest internautą, czy botem. Publikacja zwraca też uwagę na to, że „ataki DDoS mogą być wykorzystane do odwrócenia uwagi od innych ataków i działań przestępczych prowadzonych w tym samym czasie w stosunku do innych usług i serwisów Organizacji”.

Jak czytamy w raporcie CERT Orange Polska za 2024 rok, częstość występowania ataków DDoS od końca roku 2023 znacznie wzrosła. „Najwięcej alertów na przestrzeni roku 2024 zarejestrowano na przełomie września i października (nawet ponad 10 tys. na dobę). Wzrost ten spowodowany był zwiększoną liczbą ataków typu carpet bombing”. W tym wypadku atakowanych jest na przykład wiele adresów IP.

Nic więc nie wskazuje na to, by ataki DDoS miały przestać firmom, także mediom, doskwierać. Piotr Zielaskiewicz z Dagma Bezpieczeństwo IT konkluduje: – W odróżnieniu od wycieku danych DDoS nie prowadzi bezpośrednio do kradzieży informacji, ale może sparaliżować działalność redakcji i generować straty zarówno finansowe (np. w reklamach), jak i wizerunkowe. Dlatego oceniając ryzyko, trzeba brać pod uwagę nie tylko bezpośrednie straty operacyjne, lecz także długofalowy wpływ na markę. Ogólnie rzecz biorąc, DDoS to inny typ zagrożenia niż ransomware lub wyciek danych, jednak dla mediów jego wpływ na ciągłość działania może być równie, a czasem nawet bardziej krytyczny.

Z kolei Iwona Prószyńska z NASK przestrzega: – W przypadku wszystkich ataków DDoS atakujący grają na zyskanie rozgłosu i sianie chaosu. Publikując materiały na ten temat, przyczyniamy się do realizacji celu atakujących.

Michał Niedbalski