Kiberuzbrucēji attīstās: šogad jauni DDoS uzbrukumu rekordi 2
Interneta tehnoloģiju kompānija “Akamai” savā kārtējā pārskatā norādījusi, ka 2018.gads iezīmējies kā jauns laikmets piekļuves atteices jeb DDoS (angļu val. – distributed denail of service) uzbrukumiem – to skaits šogad dubultojies. Tas noticis, jo kiberuzbrucēji atklājuši jaunu tā paveidu, kas piedāvā lielāko amplifikācijas pakāpi. Līdz ar to uzbrukumi veikšanai nav nepieciešama nedz ļaunatūra, nedz “robottīkli” (botneti)*.
Kā “LA” skaidroja Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas “Cert.lv”, tad šādā gadījumā kiberuzbrukums ir iespējams, jo “memcached” lietotāja datorpgroammu protokols jeb UDP protokols nav piesaistīts sesijai. Tas nepiesaista komunikāciju konkrētai IP adresei, kura šo “sarunu” ir uzsākusi, bet atbild tai IP adresei, kura komunikācijā tiek norādīta. Tādējādi uzbrucējs, izliekoties par upuri, veic pieprasījumu upura vārdā un uz upura IP adresi tiek nosūtīta “pieprasītā” atbilde.
“Memcached” serveru gadījumā šīs atbildes var būt nesimetriskas – uz nelielu pieprasījumu var saņemt lielu atbildi. Atkarīgs no pieprasījuma. Un, ja šādu pieprasījumu ir daudz, upuris tiek pārslogots ar atbildēm, rodoties DDoS situācijai. Šādi uzbrukumi ir iespējami arī tāpēc, ka interneta pakalpojumu sniedzēji neveic izejošo plūsmu filtrāciju, kas nepieļautu IP adrešu viltošanu,” sacīja “Cert.lv” pārstāve Līga Besere. Viņa uzsvēra, ka šāda situācija ir novēršama, izmantojot klasiskos DDoS aizsardzības risinājumus – datu plūsmas filtrāciju, “mākoņa” aizsardzību utt.
Savukārt no “memcached” iekārtu turētāju puses – būtu jāseko atjauninājumiem, jo, piemēram, “memcached” 1.5.6 versijā tika veikta pāreja no UDP uz TCP protokolu, kas mazina IP adrešu viltošanas iespējamību. Ja UDP tomēr ir nepieciešams, tad vismaz tam jāaizver piekļuvi no interneta. Bet ir vēl kāda iespēja. “No interneta pakalpojumu sniedzēju puses – BCP38 labās prakses standarta ieviešana padarītu DDoS uzbrukumus globāli neiespējamus, jo liegtu izsūtīt tīkla paketes (pieprasījumus) ar viltotu paketes IP adresi,” sacīja L. Besere. Pagaidām nav zināms vai un kad šāds standarts tiks ieviests.
Kā norāda gan, “Cert.lv”, gan “Akamai” jaunais DDoS paveids savu spēku parādīja marta sākumā, kad pasaule kļuva par liecinieci jaunam rekordam – interneta pakalpojumu sniedzējs “GitHub” piedzīvoja 1,3 Tb/s lielu DDoS uzbrukumu. Uzbrukumam tika izmantoti tieši “memcached” serveri ar nedrošu noklusēto konfigurāciju, kas uzbrucējam pieejamo datu plūsmu palielināja 51 000 reizes, raidot upura iekārtu virzienā milzīgu datu plūsmu. Bet tikai četras dienas vēlāk šo rekordu jau pārspēja.
Tīklu drošības kompānija “Arbor Networks” fiksēja DDoS uzbrukumu kādam savam klientam, kas sasniedza 1,7 Tb/s. Arī šajā gadījumā tas bija amplifikācijas uzbrukums, kurā izmantoti “memcached” serveri. Uz UDP portu 11211 tika sūtīti ļaunprātīgi pieprasījumi, izmantojot viltotu IP adresi, kas atbilda upura IP adresei. Ļaunprātīgajā pieprasījumā tika iekļauts arī teksts ar izpirkuma maksas pieprasījumu 50 XMR (kriptovalūta “Monero”, apmēram 11 000 eiro) apmērā par uzbrukuma pārtraukšanu.
*”Robottīkli” apzīmē datoru kopas, kur katrs atsevišķais dators ar īpašu, slepeni ieperinātu programmatūru tiek vadīts no ārpuses un nav vairs sava saimnieka vai sistēmadministratora pilnīgā kontrolē.
