Atak DDoS: czy możliwa jest skuteczna obrona – wywiad

„Każda firma publikująca swoje zasoby w Internecie może stać się ofiara ataku generującego duże straty” – wywiad z Michałem Kaźmierczykiem, specjalistą od bezpieczeństwa IT, na temat ataków hakerskich na firmy medialne.

Redakcja: Media informują, że 18 maja 2023 r. nastąpił atak hakerski na polskie media. Miał się on objawić m.in. chwilowymi trudnościami w wejściu na na niektóre portale. Miał to być atak hakerski typu DoS. Czy można zabezpieczyć tak, by całkowicie uniknąć takich ataków?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Na początku zacznijmy może od samej definicji ataku DoS. Akronim ten oznacza Denial of Service czyli zastosowanie różnych metod ataku, które mają doprowadzić do przeciążenia atakowanego systemu i doprowadzenie do jego niedostępności. Atakujący próbuje wykonać tak dużą liczbę zapytań/wyświetleń atakowanego systemu, że w konsekwencji aplikacji tworząca system, serwer lub łączą internetowe ulegną wysyceniu i system przestanie odpowiadać na nowe zapytania.
DoS jest w swej konstrukcji mało wyrafinowany, zwykle przybierając formę wielokrotnej próby załadowania strony WWW czy otwarcia wielu jednoczesnych połączeń TCP do serwera. Jednocześnie ze względu na swoją prostotę jest bardzo często z dużą skutecznością wykorzystywany.
Skuteczny atak powoduje całkowitą lub częściową niedostępność systemów utrzymywanych na atakowanym serwerze, łączu internetowym czy stronie www publikowanej przez dane urządzenie bezpieczeństwa. Nawet jeśli atakowi podlega tylko jeden system inne współdzielące z nim zasoby również mogą stać się niedostępne lub działać znacząco wolniej niż w normalnych warunkach. W przypadku np. systemów e-commerce spowolnienie działania sklepu internetowego może skutecznie zniechęcić potencjalnych klientów do zrobienia w nim zakupów a tym samym doprowadzić do realnej straty.
Przed atakiem DoS da się stosunkowo łatwo obronić w trakcie jego wystąpienia, wystarczy zidentyfikować atakującego i zablokować za pomocą odpowiednich reguł firewall jego adres IP. Stad same ataki DoS raczej nie występują, pojawiają się jednak w formie ataków DDoS czyli Distributed DoS, różniące się zastosowaniem wielu źródeł ataku. Często atakujący przygotowując atak wykorzystuję przejęte wcześniej stacje robocze, urządzenia IoT, które stają się częścią Botnetu.
Przejęte urządzenia/stacje często nieświadomie dla swoich właścicieli używane są przez atakujących do generowania połączeń służących przeprowadzenia ataku. Takie urządzenia uczestniczą de facto w przestępstwie często bez wiedzy ich użytkownika. Z tego powodu poza ochroną przed atakami DDoS tak istotne jest chronienie swoich zasobów przed wszystkimi typami ataków aby nie stały się narzędziem w rękach wrogich atakujących.
W ataku DDoS połączenia mające przeciążyć nasz serwer lub łącze nawiązywane są jednocześnie z setek a czasem tysięcy lub dziesiątek tysięcy adresów IP rozrzuconych po całym świecie. Zablokowanie pojedynczego adresu IP nie wpływa na skalę ataku a zidentyfikowanie (odróżnienie) adresów IP atakujących i poprawnych nie jest możliwe. Dobrze przygotowany atak DDoS jest wstanie w bardzo krótkim czasie doprowadzić do niedostępności nawet najsilniejsze serwery czy wysycić dowolne komercyjne łącze internetowe, nie przygotowane do obsługi tak dużego ruchu.
Operator globalnego systemu CDN, świadczący również usługi bezpieczeństwa w zeszłym roku zablokował rekordowy atak DDOS o przepustowości (ilości danych przesyłanych w ramach połączeń) 853.7 Gbps. https://www.akamai.com/blog/security/largest-european-ddos-attack-ever
Dla porównania – przeciętne firmowe łącze internetowe o ile realizowane przez światłowód lub połączenie kablowe to nie więcej niż 100-200 Mbps. Zdarzają się firmy mające wyższe wartości w niektórych przypadkach zbliżające się do 1 Gbps. Wartości powyżej to już rzadkość i dotyczą głównie dużych firm. Widać stąd, że największe ataki wielokrotnie przewyższają zdolności obsłużenia ruchu internetowego przeciętnej firmy.
Jeśli firma korzysta z usług chmury obliczeniowej czy profesjonalnego centrum danych wartości te nie będą już tak rażące i jest to jeden ze sposób minimalizacji skutków ataku DDoS.
Przechodząc do pytania czy przed atakiem DDoS można się całkowicie zabezpieczyć? Krótka odpowiedź brzmi NIE. Można jednak podejmować pewne holistyczne (złożone z wielu elementów) działania mogące w wielu przypadkach przynieść pożądane afekty. Ataki DDoS występowały wcześniej i w dobie obecnej sytuacji geopolitycznej będą występować coraz częściej jako jeden z kluczowych elementów próby destabilizacji kraju jako całości.

Redakcja: Czy można było zabezpieczyć portale firm medialnych, tak by efekty ataku w ogóle nie były widoczne ?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Skala ataków nie została nigdzie podana więc bardzo trudno jest odpowiedzieć jednoznacznie na tak zadane pytanie. Bez wątpienia można było podejmować pewne działania. Kluczem jest projektowanie infrastruktury IT w tym podsystemu jej bezpieczeństwa mając „z tyłu głowy”, że atak może wystąpić w każdej chwili i że jego skutki mogą być druzgocące. Mamy tu ryzyko nie tylko niedostępności systemów, które np. w przypadku e-commercu może przekładać się na realne straty, ale też ryzyka reputacyjne w którym atak doprowadza do odejścia Klientów.
Często ataki DDoS są wykonywane jako zasłona dymna mające na celu zajęcia zasobów ludzkich w IT aby nie zauważyli prawdziwego celowanego ataku, w ramach którego haker otrzyma dostęp do wewnętrznych systemów i znajdujących się w nim danych.
Kluczowa jest odpowiednio przygotowana architektura pozwalająca z jednej strony na w miarę dynamiczne skalowanie zasobów, dostęp do dużej przepustowości łącz internetowych, inteligentne systemy bezpieczeństwa potrafiące klasyfikować ruch i odróżniać ten wrogi od dobrego. Na koniec warto posiłkować się wyspecjalizowanymi usługami pozwalającymi na rozkładanie ruchu pomiędzy wiele globalnie rozrzuconych punktów wejścia. Dobry projekt ekosystemu zabezpieczą i sprawdzeni doświadczeni specjaliści IT nie ochronią przed każdym atakiem, ale mogą zminimalizować skutki wielu jego wystąpień

Redakcja: Przed atakiem firmy medialne miały być ostrzeżone przez przedstawicieli rządu, jak podał Pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński. Czy takie ostrzeżenie dane jakiś czas przed samym atakiem pomaga w zwalczeniu niebezpieczeństwa ?
Ile godzin wcześniej trzeba wiedzieć o planowanym ataku by służby informatycznie danej firmy mogły odpowiedni zareagować i zniwelować działanie ataku?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Jeśli IT ma przygotowane odpowiednie narzędzia ostrzeżenie o ataku pozwala podjąć pewne kroki, między innymi poprzez zwiększenie zakresu i intensywności monitorowania zasobów, aby zareagować jak najszybciej. Czasem zasadne może być chwilowe przeskalowanie systemów czy ograniczenie połączeń z potencjalnie wrogich krajów czy wprowadzenie limitowania połączeń.
Jeśli zaś system nie był odpowiednio przygotowany, IT nie posiada narzędzi i procedur ostrzeżenie na kilak godzin przed jest bezskuteczne.
Dysponując krótką i szybką ścieżką decyzyjną i dostępem do budżetu w części mniej złożonych systemów można podjąć pewne kroki w ciągu kilku dni. W systemach o dużej złożoności przygotowanie odpowiedniego ekosystemu to często kwestia wielu tygodni a czasem i miesięcy. Istotny jest też pomysł „jak mamy się chronić” – bez stosownej wiedzy ani czas ani budżet nie przyniesie oczekiwanych rezultatów.

Redakcja: Czy można w takim przypadku w ogóle wyeliminować skutki ataku ?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Jak już wspominałem, w wielu przypadkach tak lecz konieczne jest przemyślane zaplanowanie całego ekosystemu narzędzi, procedur i systemów oraz odpowiednia ich koordynacja. Taki proces budowy bezpieczeństwa IT jest podstawą ochrony przed każdym typem ataku nawet tak trudnym do zablokowania jak DDoS.

Redakcja: Jakie firmy podatne są na takie ataki ?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Praktycznie każda firma publikująca swoje zasoby w Internecie może stać się ofiara ataku DDoS generującego duże straty. Odpowiednio przeprowadzony spowoduje niedostępność usługi na czas trwania ataku lub nawet po jego ustaniu, jeśli atak doprowadzi do przeciążenia zasobów i wygeneruje awarię aplikacji lub urządzenia.
Także mniejsze firmy, mimo że rzadziej padają ofiarą ataków, również nie są bezpieczne. Szczególnie niebezpieczne może być publikowanie np. portalu B2B, pulpitów pracowniczych, systemów wymiany danych z klientami etc. w oparciu o wewnętrzne pojedyncze serwery nie umieszczone w profesjonalnym centrum danych i korzystające z łącz internetowych nie przeznaczone do profesjonalnego użycia. Mogą być mogą zostać bardzo szybko wysycone z zasobów i stać się w konsekwencji niedostępne.

Redakcja: W tym przypadku sugerowane są ataki związane z rosyjskimi grupami hakerskimi a więc prawdopodobnie mają one charakter polityczny, mający na celu wywołanie niepokojów w innym kraju. Jakie jeszcze mogą być przyczyny?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Powodów stojących za atakującymi może być potencjalnie bardzo wiele. Poza oczywiście swojego rodzaju wojną hybrydową , gdzie obce służby dążą do destabilizacji sytuacji w atakowanym kraju, istotną przyczyną może być chęć wywołania szkody reputacyjnej. Firma, której systemy pozostają niedostępne w czasie, kiedy klienci potrzebują z nich skorzystać traci na wiarygodności. Firma, która jest skutecznie atakowana stwarza obraz firmy źle zabezpieczonej.
Jak już wspominałem czasem atak DDoS jest tylko zasłoną dymną, swojego rodzaju gambitem mającym na celu skupienie zasobów firmy na mitygacji ataku i ukrycie realnych wrogich działań. Wyobrażam sobie też działanie wrogiej konkurencji np. na rynku e-commerce. Atak z botnetu można dziś w „dark necie” zakupić za kilkaset $. Prawdopodobieństwo wykrycia kto stoi za atakiem jest niestety bardzo małe, zwłaszcza ze szkody wynikające z materializacji ryzyk reputacyjnych trudno jest szybko i efektywnie wycenić.
Warto ponadto zauważyć, że ataki hakerskie na firmy medialne, który to temat stanowi oś naszej rozmowy to tylko „wierzchołek góry lodowej” i to taki właśnie najbardziej medialny. W praktyce jednak powoduje on „tylko” niebezpieczeństwo niedostępności przez jakiś czas treści na portalu medialnym. Jednak o wiele groźniejsze dla zdrowia i życia ludzi są ataki hakerskie np. na szpitale, których również sporo jest przeprowadzanych. Taki atak, przy coraz większym uzależnieniu leczenia od urządzeń informatycznych w tym IoT może spowodować paraliż systemu leczenia: odwołanie lub przełożenie konsultacji, badań diagnostycznych, i co najgorsze operacji pacjentów na kilka, kilkanaście godzina a czasem nawet dni. Co oznacza to może oznaczać dla poszczególnych ludzi nie muszę chyba tutaj szczegółowo objaśniać.

Redakcja: Czy i jak można zabezpieczyć się przed takimi atakiem ?

Michał Kaźmierczyk, specjalista od bezpieczeństwa IT: Odpowiedź przewija się podczas wcześniejszych pytań. Nie ma prostej metody a wiele zależy od skali ataku i jego rodzaju, ważne jest także czy jest to atak celowany czy przypadkowy (mający siać grozę). Zasadniczo kluczowym jest odpowiednie przygotowanie infrastruktury. Nasze systemy powinny:

• Umożliwiać relatywnie szybkie skalowanie przynajmniej pionowe a najlepiej jeśli również poziomem. Możliwość szybkiego dołożenia serwerów i rozkładania danych pomiędzy nimi jest jedną z kluczowym metod obrony.
• Ważne jest dysponowanie łączem internetowym o dużej przepustowości. Raczej nie możliwe będzie proste obronienie się bez dostępu do wielogigabitowego łączą stąd korzystanie z usług centrum danych czy chmury obliczeniowej zwiększa prawdopodobieństwo skutecznie obrony.
• W miarę możliwości warto korzystać z zewnętrznych systemów CDN oraz chmurowych rozwiązań WAF, które często daja możliwość skutecznego odparcia ataku lub jego rozłożenia na wiele punktów wejścia.
• Na koniec niezwykle istotnym jest zebranie w organizacji odpowiedniej wiedzy i ludzi oraz procedur u umiejętności korzystania z nich. Bez wykwalifikowanego wsparcia i odpowiedniego zarządzania nawet najlepsze narzędzia mogą okazać się nieskuteczne.