Začalo to v pondělí zpravodajskými weby, pokračovalo to v úterý Seznamem, pak přišly na řadu banky a včera krátce operátoři. Čemu vlastně všichni čelili a proč to tak bolelo?
České zpravodajské weby zažily v pondělí jeden z největších kybernetických útoků ve své historii. Jako nahnilé hrušky postupně padaly weby iHned.cz, Novinky.cz, E15.cz, iDnes.cz, nedostupný byl také Deník.cz a v druhé vlně se pak útok dotknul i dalších webů Mladé fronty včetně Živě.cz.
Jmenuji se DDoS SYN flood, těší mě
Bylo to nepříjemné, ale takové věci se holt občas stávají. Napsali jsme článek a považovali celou věc za vyřízenou – někdo si prostě hrál. Jenže pak přišlo úterý a skoro ve stejný čas padl na kolena i poněkud rozměrnější Seznam. Ve středu se staly oběťmi útoku české banky a my na Facebook umístili tipovací anketu, na koho asi vyjde Černý Petr ve čtvrtek. Tušili jste, že to budou mobilní operátoři a měli jste samozřejmě pravdu.
Ve středu jste správně odhadovali, že ve čtvrtek padnou operátoři
Všechny útoky měly několik společných jmenovatelů. Většinou se jednalo o klasický DDoS útok typu SYN flood, o jehož realizaci se nejspíše postaral některý z dostupných botnetů. Napovídá tomu počet adres zapojených do útoku, jejich geografický původ (jednalo se nicméně i o podvržené IP adresy) a také načasování. Ke všem útokům docházelo vždy v dopoledních hodinách okolo deváté až desáté hodiny a hlavní nápor trval okolo šedesáti minut.
Aktivita našich webů v pondělí (modrá) a v úterý (červená). Z grafu jsou patrná dvě pondělní hluchá místa, která odpovídají útokům. Díky nadměrné aktivitě útočníků se vždy na hodinu provoz prakticky zastavil.
Po nás potopa
SYN potopa je učebnicová ukázka efektivního DoS útoku, který může nabývat několika různých podob. Pojďme si ve stručnosti vysvětlit jeho základní princip.
Když chcete navštívit naše webové stránky, prohlížeč a server si nejprve podají ruce a otevřou TCP spojení. První paket obsahuje tzv. zprávu SYN (synchronizace), čímž dává serveru najevo, že se s ním chce spojit. Server jako odpověď vyšle paket se zprávou SYN-ACK (acknowledge = souhlas se synchronizací) a následně čeká na závěrečné potvrzení od prohlížeče, který pošle zprávu ACK. Vše trvá jen prchlivý okamžik a než se nadějete, prohlížeč už stahuje HTML kód webové stránky.
Běžná inicializace TCP spojení mezi klientem a serverem
Spojení klienta se serverem v rámci distribuovaného DoS útoku typu SYN flood vypadá v prvním kroku úplně stejně. Členové botnetu dostanou příkaz, aby podali ruku serveru, hromadně mu tedy pošlou paket se zprávou SYN. Server tyto požadavky zaregistruje, vloží je do fronty a postupně všem zasílá odpověď SYN-ACK a čeká na závěrečné potvrzení ACK. A právě v tomto čekání tkví podstata potopy, kýžená odpověď totiž nikdy nepřijde, útočník totiž místo toho posílá další SYN zprávu.
Zneužitá TCP komunikace, kdy záškodník posílá další a další SYN pakety a nedokončí ani jeden TCP handshake
Server čeká a čeká, jeho fronta požadavků na spojení se mezitím zaplní a nakonec odmítne přijímat ostatní klienty. Nebohý surfař mezitím jen netrpělivě klepá na F5 a netuší, že je to zbytečné a svou činností útok vlastně ještě zesiluje, poněvadž vytváří další a další požadavky na spojení.
Další varianta SYN floodu zase používá podvržené IP adresy. Paket s úvodní zprávou SYN je tedy podepsaný falešným odesílatelem a server pak pošle SYN-ACK paket někam úplně jinam, odkud také nikdy nedostane závěrečnou odpověď ACK.
Nezkrotný botnet
Nyní si představte, že se podobné falešné podání ruky odehraje mnohokrát za sekundu. Efekt se rozměrem botnetu znásobí a web může být nedostupný desítky minut, než zareagují správci. S velikostí a počtem otroků přitom botnety opravdu nemají problém, podle Vladimíra Brože z bezpečnostní společnosti Fortinet je dnes totiž do podobných zákeřných sítí zapojeno odhadem 80 až 150 milionů zavirovaných domácích a firemních počítačů. Často to jsou mašiny ze všech koutů světa, čili je nelze během útoku ani snadno odfiltrovat třeba na firewallu.
Pokud záškodníci používají výhradně zahraniční IP adresy, mohou české weby vyřešit problém jednoduše tak, že se zablokují všechna zahraniční spojení, případně spojení z geografických regionů a od poskytovatelů, jejichž IP adresy jsou zneužívané největší mírou. K podobné praxi došlo i tento týden, kdy částečně omezil zahraniční konektivitu také Seznam. Jeho služby tím pádem mohly být v době blokace nedostupné pro některé uživatele mimo Českou republiku, na druhou stranu si ale mohly jeho servery oddychnout a alespoň v tuzemském měřítku opět pracovat.
Mapa slavného botnetu Conficker, který se v dobách největší slávy skládal z více než deseti milionů botů (foto: F-Secure)
Pokud je útok veden z jediné IP, pošle se adresa do „černé díry“ – veškerá komunikace z této adresy je tedy blokovaná už na vyšších patrech internetu a ke koncovému serveru se pak vůbec nedostane.
Mnoho dalších možností ale nezbývá. Pokud je útok opravdu rozsáhlý a složení IP adres dostatečně nahodilé, kdy jeden útočník míří (sic třeba kvůli falešné IP) z USA, druhý z Německa, třetí z Košic a čtvrtý z Hlupína u Horažďovic, nelze jednoduše všechno zablokovat, poněvadž bychom vlastně odstřihli úplně každého. V takovém případě se používají nejrůznější techniky určené pro konkrétní útok. V případě SYN floodu je podle Damira Špoljaroviče z VSHostingu nejčastější obranou technika zvaná SYN cookies, která optimalizuje frontu požadavků na serveru takovým způsobem, aby se pokud možno nezaplnila. Po odeslání SYN-ACK paketu si tedy server uloží informaci o klientovi do speciální paměti a požadavek vymaže z fronty, aby v ní bylo více místa pro ostatní.
Byli to Rusové?
Nejčastějším zdrojem útočících IP adres bylo Rusko, v průběhu týdne se tedy rojily nejrůznější spekulace. Na webu jsem zaznamenal i takovou, že za vše může blíže nespecifikovaný ruský botnet, který chtěl potenciálním zákazníkům ukázat, co dokáže.
Damir Špoljarič je však přesvědčený, že ať už byl útok realizovaný přes rozsáhlý komerční botnet, či něco mnohem menšího, byl především vedený z České republiky: „Osobně jsem přesvědčen o tom, že byl útok řízen z České republiky a to na základě perfektní znalosti a selekci cílů.“
DDoS si můžete koupit a namířit na cíl
DDoS útoky zde byly, jsou a budou, horší je ale spíše to, že dochází k jejich demokratizaci – dostupnosti téměř pro každého. Na světě se dnes pohybuje hromada komerčních botnetů, které si prostě můžete pronajmout podobným způsobem jako vcelku běžný hosting. Tento ilegální byznys má podle zjištění mnoha průzkumníků i skvělý zákaznický servis, takže se o vše postará – vy jen zadáte cílovou adresu, zaplatíte a stisknete enter.
Podle loňského průzkumu ruské kybernetické šedé zóny začíná průměrná cena DDoS útoku na libovolný cíl už na deseti dolarech. Za necelé dvě stovky byste tedy podle těchto zjištění mohli odstřelit třeba slabší web konkurence, který běží na běžném laciném hostingu.
Ceník blíže nespecifikovaného DDoS (Foto: Trend Micro)
Na větší kalibr, kam patří i útoky z tohoto týdne, by se vám už hodil pronájem celého botnetu, respektive jeho části. Za výkon 2 000 botů (členů botnetu), jejichž počítače jsou dlouhodobě alespoň ze 40 % online, zaplatíte podle průzkumu 200 dolarů. To je už o něco více, také je to ale kalibr, se kterým může záškodník provádět mnoho věcí. Nemusí to být hned DDoS, ale třeba hromadné rozesílání spamů.
Podobné botnety mají zpravidla i své vlastní webové rozhraní, nájemce tedy nemusí být ani programátor. Jen si vybere kýženou funkci a klepne na tlačítko. Samotné botnetové systémy pak nabízejí ke kontrole svých otroků nejrůznější chatové a IM protokoly včetně IRC. Pokud tedy správce botnetu vyšle třeba fiktivní zprávu synflood www.zive.cz 80 3600, ta dorazí všem zavirovaným počítačům a ti začnou konat. V tomto případě by se mohlo jednat třeba o SYN flood útok na adresu našeho webu na portu 80, který bude trvat jednu hodinu.
Ceník pronájmu botnetů a některých útoků
Tím ale pochopitelně nabídka undergroundové scény nekončí. Dnes si můžete v Rusku najmout prakticky cokoliv. Studenti z tamních univerzit vám za 250 dolarů napíšou nový virus podle šablony a za pár desítek až stovek dolarů jej zašifrují a zabalí do falešného PDF souboru pomocí algoritmu, jehož charakteristické stopy ve strojovém kódu antivirové programy ještě neznají. Po spuštění takového PDF se rozbalí virus a udělá vše, co si přejete, třeba se pokusí počítač zapojit do vašeho vlastního botnetu, jehož zdrojové kódy jste si koupili za tisíc dolarů.
Zbývá už jen jedna věc. Virus se musí nějak šířit. Ale ani to není podle zprávy společnosti Trend Micro nikterak složité. Od toho tu přeci máme PPI – služby Pay-Per-Install, které váš malware nabídnou nechráněným surfařům skrze nejrůznější pochybné weby a reklamní systémy. Není to zase tak drahé. V Evropě prý zaplatíte za tisíc stažení vašeho zákeřného programu okolo 80 dolarů.
PPI služby rozšíří váš virus do světa (Foto: Trend Micro)
Vypadá to všechno až příliš snadně, ale naštěstí není. Tyto obchody se zpravidla neřeší na zcela přístupných webových fórech, ale na místech, kam mají vstup otevřený pouze ověřené osoby. Stejně jako se jen tak nedostanete na prémiový uzavřený torrent, nekoupíte si jen tak ani onen DDoS. Sami ruští „podnikatelé“ si jsou totiž velmi dobře vědomi, že by je přílišná publicita okamžitě zničila. Zátahy na velké botnety v minulosti a občas i drakonické tresty jsou toho dokladem.
Až se tedy budete příště posmívat webům, které jsou přeci špatně zabezpečené, poněvadž nedokázaly vzdorovat masivnímu DDoS útoku, vzpomeňte si na slova Damira Špoljariče, který praví: „Jsou to právě laičtí uživatelé, kteří mají své počítače nedostatečně zabezpečené a tak se stávají bez vědomí uživatele tzv. zombie, poslušnými otroky v rámci sítě zombie počítačů“.
