Tamten dzień zapisał się czarnymi zgłoskami w historii całej masy dostawców nowych mediów — w piątek 21 października nie mogliśmy zalogować się na Twittera, słuchać muzyki w Spotify i oglądać serialu „Breaking Bad” na Netfliksie. Wszystko przez atak na firmę Dyn, której serwery obsługują wiele popularnych serwisów. Cyberprzestępcy użyli metody DDoS (ang. distributed denial of service), czyli nagłej, skoordynowanej fali wejść, która obciąża serwery (czytaj: zajmuje wszystkie ich wolne zasoby), a w efekcie blokuje dostęp do strony.
Amazon, PayPal, Playstation Network, a także CNN, Guardian czy HBO… Lista ofiar październikowego ataku jest bardzo długa. Awarie dotknęły liderów wielu branż, mimo że ich systemy bezpieczeństwa IT wydawały się równie niezawodne, jak środki ochrony w Fort Knox — nie dość, że amerykański skarbiec wyposażono w czujniki ruchu i dźwięku, to jeszcze strzegą go tysiące żołnierzy, a także czołgi, ciężka artyleria i śmigłowce.
Botnety, o rety!
Marcin Ludwiszewski, ekspert od cyberbezpieczeństwa w polskim oddziale Deloitte, uświadamia, że wykorzystanie do ataków DDOS sprzętu podłączonego do internetu staje się coraz powszechniejsze.Złośliwe oprogramowanie pozwala przejąć kontrolę nad urządzeniami. Tak powstają botnety, zwane także sieciami maszyn zombie — do tej cyfrowej armii robotów wcielane są komputery, ale także zainfekowane złośliwym oprogramowaniem smartfony, inteligentne zegarki, telewizory, sterowniki domowe czy kamery.
— Według raportu Deloitte Tech Trends 2016 codziennie do infrastruktury sieciowej podłączanych jest kolejnych 5,5 mln urządzeń. Często mają słabe zabezpieczenie, na przykład niezmieniane lub wprowadzone na stałe hasła fabryczne. Nic dziwnego, że botnety mogą liczyć po kilkaset tysięcy urządzeń. We wrześniu botnet, na który składało się około 145 tys. urządzeń, został wykorzystywany do ataku na firmę hostingową OVH — mówi Marcin Ludwiszewski.
Jeden na sześciu menedżerów i przedsiębiorców ankietowanych niedawno przez Kaspersky Lab ujawnił, że ich korporacje w ostatnich 12 miesiącach doświadczyły ataków DDoS. Co oczywiste, maszyny zombie siały spustoszenie zwłaszcza w podmiotach, których sukces zależy od sprawnych stron internetowych. Najdotkliwsze straty poniosły spółki budowlane, informatyczne i telekomunikacyjne. Ośmiu na 10 respondentów przyznało, że zarządzane przez nich spółki padły ofiarą DDoS częściej niż raz, a połowę firm zaatakowano co najmniej czterokrotnie. Problemem jest nie tylko liczba takich incydentów, ale także ich destrukcyjna siła.
Zwłaszcza że — według ekspertów Kaspersky’ego — przybywa „inteligentnych” ataków przy użyciu szyfrowanej transmisji danych, które są trudne do wykrycia i odparcia nawet przez wiele wyspecjalizowanych rozwiązań ochrony.
— Typowe ataki polegające na sztucznym potęgowaniu ruchu stają się coraz mniej skuteczne. Wszystko więc wskazuje na to, że liczba ataków opartych na szyfrowaniu wzrośnie. Wniosek — producenci rozwiązań bezpieczeństwa muszą natychmiast zacząć rewidować swoje metody ochrony przed atakami DDoS, a właściciele zasobów WWW powinni odpowiedzialnie wybierać produkty bezpieczeństwa — twierdzi Kirył Iłganajew, dyrektor działu odpowiedzialnego za rozwiązanie Kaspersky DDoS Protection.
Mikrus też w strachu
Czy tylko rynkowi potentaci mają powody do obaw? Bynajmniej. Zarządy mniejszych firm często zakładają, że tylko duże przedsiębiorstwo jest dla przestępczego e-światka opłacalnym kąskiem. Nic bardziej mylnego. Uderzyć opłaca się również w biznesową drobnicę. Wynika to m.in. ze spadku cen przygotowania i przeprowadzenia ataku — koszt usługi DDoS to mniej niż 10 USD za godzinę. Co chyba jednak ważniejsze: instalując swoje oprogramowanie w sieci lub na urządzeniach danej instytucji, przestępca może używać jej zasobów do kolejnych ataków.
— Wyobraźmy sobie jednoosobową firmę, a dokładnie — sklep online, którego stronę WWW zablokowano na kilka godzin. W tym czasie konsumenci nie mogą sprawdzić oferty handlowej, zrobić zakupów czy zgłosić reklamacji. Dla takiego mikroprzedsiębiorcy oznacza to coś znacznie gorszego niż uszczuplone przychody — traci wiarygodność w oczach klientów, którzy, na domiar złego, dzielą się negatywnymi opiniami o placówce np. w mediach społecznościowych — tłumaczy Michał Berezowski, specjalista e-commerce, partner zarządzający w CubeResearch.
Cyberprzestępcy wymuszają często haracze, które mają „uchronić” daną witrynę internetową przed atakiem DDoS. Wpłacenie okupu to jednak wątpliwa ochrona. Potencjalne ofiary oddalają zagrożenie tylko na chwilę — według Neustara prawdopodobieństwo ataku na tę samą firmę w późniejszym terminie wynosi aż 80 proc.
Najskuteczniejszym zabezpieczeniem jest wdrożenie oprogramowania IT security — i przynajmniej zarządy dużych przedsiębiorstw zdają sobie z tego sprawę. 79 proc. korporacji zdecydowało się na zwiększenie w tym roku inwestycji w systemy chroniące przed atakami DDoS, a 47 proc. przystąpiło do stowarzyszeń zajmujących się szybką wymianą informacji o zagrożeniach i sposobach przeciwdziałania — wynika z raportu 2016 Neustar DDoS Attack & Protection Report.
Policja konno, mafia samochodem
„Technologie czynią zbrodnię bardziej efektywną, a zatem kryminaliści są zawsze pierwszymi użytkownikami wszystkich nowinek technicznych” — twierdzi Marc Goodman, były futurolog FBI i doradca Interpolu, w swojej książce „Zbrodnie przyszłości”. Jego zdaniem, dawno skończyły się czasy, gdy hakerzy majstrowali w systemach komputerowych głównie po to, by się popisać swoją cyfrową biegłością.
A z pryszczatych nastolatków robiących kawały kolegom w matczynej piwnicy często wyrośli ludzie wyjęci spod prawa, cyniczni i łasi na szybki zysk — 40 proc. dzisiejszych cyberprzestępców ma więcej niż 35 lat i w przeciwieństwie do swoich kolegów po fachu sprzed lat nie działają na ogół jako wolni strzelcy. 80 proc. internetowych włamywaczy należy do zorganizowanych grup przestępczych lub z nimi współpracuje. Jakie z tego — zdaniem Marca Goodmana — płyną wnioski dla przedsiębiorców i przedstawicieli branży nowych technologii?
W przypadku bezpieczeństwa cyfrowego „stare, sprawdzone rozwiązania” to prosta droga ku przepaści. Corleonowie i Sopranowie wirtualnego świata wprowadzają coraz bardziej wyrafinowane metody i narzędzia walki. Broń do samoobrony powinna więc być jeszcze bardziej nowatorska i skuteczna. Jeśli producenci, dostawcy i użytkownicy IT nie włączą się do tego wyścigu zbrojeń, internetowe realia będą przypominały sceny z filmów o Ameryce czasów prohibicji — gdy policjanci poruszali się pieszo lub konno, gangsterzy uciekali z miejsca zbrodni samochodami.