Odmietnutie služby – denial of service – osvedčená zbraň kyberútočníkov

Jedny z najstarších, najjednoduchších, ale stále populárnych a pomerne efektívnych zbraní, ako znefunkčniť web, službu alebo aspoň naštrbiť image poskytovateľa. Čo sú to DoS a DDoS útoky?

Každý z nás si pamätá kyberútoky na Estónsko z roku 2007. Internetové stránky organizácii, parlamentu, bánk a médií boli paralyzované a štát sa dostával do postupného kolapsu. A to aj vďaka kybernetickým útokom. Dôvodom, prečo sa Estónsko stalo terčom kyberútokov je (samozrejme okrem osobitným vzťahom s Ruskom) pravdepodobne aj to, že krajina patrí k najinformatizovanejším v Európe.

Odmietnutie služby (DoS-Denial of Service) je spôsob útoku na stránky alebo internetové služby. Pri týchto útokoch dochádza k preťaženiu systému, alebo vybraného servera a užívatelia tým nemajú prístup  na stránku alebo do požadovanej služby. Aj vďaka kyberútokom na Estónsko sa DoS útoky stáli jednými z najobávanejších a aj najčastejších a pomerne jednoduchých v kybernetickom priestore.

Kybernetika a hlavne kybernetické útoky sa líšia detailmi. A preto je dôležité rozlišovať DoS útok od DdoS útoku.

Distributed Denial of Service – DDoS, alebo v slovenčine rozložené/distribuované odmietnutie služby, patrí v kyberpriestore k tým najrozšírenejším útokom. Základný rozdiel medzi DoS a DDoS je ten, že DDoS útok využíva mnoho zariadení a viacero internetových pripojení, preto názov distributed. Tieto útoky sú často globálne šírené, čo umožňuje útočníkom lepšie krytie.

Ako DoS a DDoS vlastne funguje? Predstavte si, že vchádzate na pohotovosť, ktorá má otvorené iba jedno prijímacie okienko. V momente keď sa dostanete k sestričke, neznáma osoba vbehne do miestnosti a predbehne vás. Tento „pacient“ sa rozpráva so sestričkou, avšak súvislosť medzi konverzáciou a účelom pohotovosti nie je žiadna. Ako pacient ktorý v skutočnosti potrebuje pomoc, ste ignorovaný a nútený čakať, pokiaľ „škodlivý užívateľ“ skončí svoju konverzáciu. V sekunde kedy tento „škodlivý užívateľ“ odchádza, ďalší „pacient“ vchádza na pohotovosť a celá situácia sa opakuje znova a znova. A vy sa len dookola pokúšate dostať k okienku. Tento proces môže pokračovať sekundy, hodiny ba dokonca aj dni. Výsledkom je, že ostatní užívatelia nemajú prístup k ničomu a nikde.

Vo vymyslenej pohotovosti, ale aj v skutočnosti je často veľmi ťažké nájsť a blokovať útočníka ručne. Preto sú potrebné špeciálne obranné kroky, ktoré dokážu rozpoznať a brániť sa proti útokom. Ak sa aj dokážeme obrániť pred DDoS a DoS, je takmer nemožné vypátrať útočníka, keďže takmer nikdy neútočí zo svojho počítača.

Existuje proti týmto útokom nejaká ochrana? Rýchla identifikácia a následná reakcia môže útočníkom zabrániť preniknúť do systému. Prvým krokom je efektívne identifikovať prichádzajúcu prevádzku ako nebezpečnú. Akonáhle je identifikovaná ako útok DoS alebo DDoS, je potrebné vytvoriť infraštruktúru (zdroje a zariadenia) na „absorbovanie útoku“. Vďaka tomu systém alebo sieť dokážu pracovať s náhlymi zmenami, ale taktiež vydržať zvýšenú záťaž. Táto infraštruktúra nám poslúži, kým zdroj nie je identifikovaný a následne zablokovaný.

Bohužiaľ ak je útok špecificky zameraný na konkrétnu „obeť“ je takmer nemožné, aby sa mu zabránilo. Svetlou stránkou je, že existujú účinné programy (ako je napríklad Incapsula´s DDoS Protection), ktoré môžu zmierniť vplyv útoku a taktiež poškodeniu užívateľa.  Jedným z príkladov je aj obľúbený cloud computing, kde je infraštruktúra  zdieľaná miliónmi užívateľov. Servery umiestňované na cloud môžu skomplikovať kyberútok, pretože server je ťažšie identifikovateľný. Na druhej strane nesmieme zabudnúť na fakt, že ak sa kyberútok podarí, potom zvyčajne dôjde aj k väčšiemu poškodeniu, ako pri útoku na jeden konkrétny cieľ.

Jedným s nedávnych príkladov DDoS je napríklad nedávne „spadnutie“ stránky NATO v súvislosti s krízou na Ukrajine, o ktorom sme na CyberSec.sk už písali v tomto článku.