DDoS: levinuim küberrünnak ettevõtete ja isegi riikide vastu
DDoS-rünnaku eest pole kaitstud keegi ning seda on väga raske peatada, ennetada ja tõrjuda, vahendab AM.ee, artikkel ilmus algupärasel kujul Netsec.ee blogis.
Mis on DDoS-rünnak? Täheühend tuleb inglise ingliskeelsetest sõnadest Distributed Denial of Service, mida võib tõlkida kui hajutatud teenusetõkestamise rünnakut.
Tihti kasutatakse just seda tõlget, kuid minumeelest on see liialt pikk ja lohisev, mistõttu kasutan järgnevalt alati lihtsalt lühendit DDoS.
DDoS seisneb sihtmärgi päringutega nii ülekoormamises, et see muutub kättesaamatuks või kokku jookseb.
Suure koormuse all võib iga veebileht või süsteem kättesaamatuks muutuda, tihti on seda juhtunud näiteks maksuametiga tuludeklaratsioonide esitamise alguses. Väga paljud soovivad olla esimeste seas, kes tagastuse saavad, mistõttu tahavad nad esitada deklaratsiooni võimalikult vara. Kuna maksuameti infosüsteem pole loodud sellise koormuse jaoks, võivad paljud näha lehe asemel veateadet.
DDoS-rünnaku puhul tekitatakse süsteemile samuti koormus, kuid selle taga pole päris kasutajad. Kasutades mitmeid arvuteid saadab häkker sihtmärgi pihta suure koguse liiklust, mis selle tegevuse halvab.
Rünnaku läbiviimiseks ei kasuta häkker enamasti mitte omale kuuluvaid arvuteid, vaid arvutivõrke. Rünnaku paneb ta toime pahavaraga nakatunud arvutite kaudu, mille kasutajad ei ole enamasti ise teadlikud, et nende arvuti parasjagu kedagi päringutega pommitab.
Sellist võrku nimetatakse botnet'iks ning nakatunud arvuteid zombideks. Enamiku tänapäeva pahavara eesmärk ongi üle võtta arvuti ning kasutada seda rünnakuteks ning spämmkirjade saatmiseks – ajad, kui viiruste eesmärk oli arvutit kahjustada, jäävad mineviku.
Mida rohkem on botnet’is nakatunud arvuteid, seda võimsama rünnaku kurjategija korraldada saab. Tegemist ei ole ammu noorte nohikute mässumeelse tegevuse, vaid süsteemse ja koordineeritud äriga.
Rünnak kui teenus
Suurimad botnet'id koosnevad miljonitest nakatunud arvutitest. Tumedas internetis (Darknet) müüvad viirusteloojad rünnakuteenust kindla aja piires, enamasti päeva või nädala kaupa.
Häkkeri vaatepunktist pole midagi lihtsamat, kui saata kellegi suunas andmeid. See on täpselt see, mida su veebilehitseja tegi siia lehele tulles. Kuna DDoS-rünnaku läbi viimine ei vaja peaaegu mingeid oskusi ega turvaaukude ekspluateerimist, saab sellega hakkama iga interneti-pahalane.
Samuti on botnet'ide rentimine odav. Kuna erinevaid botnet'te on palju, ei ole rünnakuteenuse tellimine kallis. Kõigest 150 dollari eest võib tellida rünnaku mõne kodulehe/infosüsteemi pihta nädalaks.
Tugevamad rünnakud on küll kallimad, kuid see annab aimu suurusjärgust. Ebaeetiline konkurent võib su kodulehe potentsiaalselt nädalaks ligipääsmatuks muuta kõigest 20 dollariga päevas.
Kuna DDoS rünnakus osalemiseks ei pea seade olema võimeline tegema muud kui saatma päringut, saab selleks kasutada palju lihtsamaid seadmeid kui seda on arvutid.
Nutitelefone nakatavad ussviirused on juba laialdaselt levinud, kuid ka palju lihtsamaid seadmeid saab rünnaku jaoks kasutada.
Oktoobris 2016 langes üks maailma juhtivaid internetiturvalisuse blogisid Kerbonsecurity massiivse DDoS-rünnaku ohvriks, mis tuli haavatava tarkvaraga IP kaameratest.
Ründaja oli oma botnet'i ehitanud uuendamata tarkvaraga IP kaameraid nakatades ning ründas blogi enam kui 145 000 seadmest korraga. Nende omanikel polnud aimugi, et nende turvalisuse tagamiseks soetatud IP kaamerast oli vahepeal saanud zombi.
DDOS-rünnaku ohvriks langedes ei pääse kliendid enam ligi su kodulehele, mistõttu saad sa vähem päringuid. Kui su äri on oma olemuselt internetis, näiteks e-poe kujul, jääb see täiesti seisma.
Samuti paneb Google tähele, et su koduleht on maas, mis teeb suurt kahju su positsioonile otsingutulemustes ka peale rünnaku lõppu.
Miks on DDoS-rünnakuid raske tõrjuda
DDoS-rünnakute tõrjumine ja ennetamine on väga raske, kohati lausa võimatu. Seda sellepärast, et tihti on rünnak pärisliiklusest eristamatu.
Lisaks loeb siin süsteemi võimekus. Kui su süsteem on loodud kümne kasutaja jaoks, kuid järsku kasutab seda 100, siis võib see kokku kukkuda ilma kellegi pahatahtliku sekkumiseta. Samas pole antud juhul tegemist rünnakuga, kõik 100 kasutajat on seal põhjusega.
Kui ründaja suudab simuleerida neist sajast kasutajast 50, ei ole võimalik eristada millised päringud tulevad pärisinimestelt ja millised zombidelt.
Kui kogu rünnak tuleks ühest arvutist, saaks selle IP lihtsalt blokeerida ja lahing oleks läbi. Kuna rünnakul on sadu, tuhandeid või potensiaalselt miljoneid alguspunkte, pole kuidagi võimalik kõigi nende ligipääsu blokeerida. Eriti arvestades, et nad pole enamasti eristatavad legitiimsetest päringutest (tõsi, see oleneb juba konkreetsest rünnaku tüübist).
Näiteid DDoS-rünnakutest
Ilmselt on kõigil meeles Pronksiöö-järgne küberrünnak Eesti riigiasutuste ja infosüsteemide vastu. See oli DDoS rünnak, mille eesmärk oli need ligipääsmatuks muuta.
