Bezpieczeństwo

DDoS znów poszedł na maksa

12 stycznia 2023

DDoS znów poszedł na maksa

DDoS, Distributed Denial of Service. „Po naszemu” Rozproszona Odmowa Dostępu”. Niby nie brzmi strasznie, a jest w stanie zrobić poważną krzywdę biznesowi. W najlepszym przypadku przeszkodzić w odniesieniu sukcesu w grze online.

Kiedyś synonimem zagrożenia w internecie był „wirus”. Mityczny wirus kursował w społecznej świadomości niczym yeti – podobno istnieje, ale nikt go nigdy nie widział. Stworzenie legendarnego ILOVEYOU, który w 2000 roku zainfekował 10% internetu (inna sprawa, że wtedy było ich „raptem” 413 mln, podczas gdy obecnie przekroczyliśmy 5 mld) wymagało kompetencji programistycznych. Obecnie podaż – hmmm – złośliwej aktywności jest tak duża, że krzywdę można zrobić praktycznie każdemu. Nawet za cenę tygodniówki przeciętnego nastolatka.

Czym tak naprawdę jest DDoS?

Nie bez kozery w poprzednim akapicie użyłem zwrotu „złośliwa aktywność”. O ile bowiem z tym, co od dawnych czasów znamy jako wirusy, zabezpieczenia sieci i komputerów radzą sobie całkiem nieźle, z atakiem DDoS nie jest już tak łatwo.

Czym jest DDoS? Wyobraźmy sobie, że strona WWW to… pociąg metra. O ile poza szczytem wchodzimy do niego bez większego problemu (czyli zaglądamy na stronę i dowiadujemy się tego, czego potrzebujemy), to już w godzinach szczytu może wyglądać tak:

Atak DDoS przypomina... tłok w tokijskim metrze.
Fot. Ari Helminen (na licencji CC BY 2.0)

Pozostając przy tej analogii, atak DDoS można określić mianem „symulatora godzin szczytu w metrze w Tokio”.

Atakujący generują ruch tak ogromny (sprowadzają na stację tylu pasażerów), że wejście na stronę (dostanie się do pociągu) staje się niemożliwe. Taki atak potrafi zarówno ograniczyć dostęp (spowodować odmowę dostępu, stąd nazwa) do strony WWW, jak też uniemożliwić ofierze połączenie np. z serwerem gier online. Do tego drugiego używany jest nawet częściej!

Jak przeprowadza się DDoS?

Generalnie to po prostu znajduje się w sieci ofertę i kupuje. Podaż tego typu serwisów jest tak duża, że krótki DDoS można kupić za 10$. Ba, w ramach proof-of-concept nawet dostać za darmo. A jak robią to przestępcy?

  • przede wszystkim dysponują botnetem, czyli dużą (kilku/dziesięcio/set-tysięczną grupą przejętych komputerów)
  • z botnetu (lub jego części) wysyłają zapytanie (lub ich serię) do podatnego serwisu (o tym więcej zaraz)
  • wysyłając zapytanie podszywają się (spoofują) pod adres IP ofiary, w efekcie czego serwis odpowiada ofierze
  • jeśli komputery botnetu wygenerują wystarczająco wielu „pasażerów metra” – do tego pociągu już nikt nie wsiądzie…

Jak najlepiej zrobić efektowny DDoS? Znajdując serwis/protokół, który na proste zapytanie odpowiada jak najdłuższym (to tzw. atak reflection/amplification, odbicie/wzmocnienie). Np. wysyłając zapytanie do niezabezpieczonego serwera NTP dostaniemy odpowiedź większą o 556 razy. Dużo? Serwer memcached na 1 bajt odpowie 55… kilobajtami. Dużo? We wrześniu ubiegłego roku researcherzy odkryli podatne serwery (w liczbie 2600) jednego z rozwiązań, generujące odpowiedzi w stosunku… 4 294 967 296:1. Tak, to nie pomyłka. Większe od 4,3 MILIARDA razy od zapytania. Tutaj do grubego DDoSa nie trzeba wielkiego botnetu.

Czy można sobie z tym poradzić?

W Orange Polska przeciwdziałaniem atakom DDoS zajmujemy się już od wielu lat. Raz na jakiś czas notujemy w naszej sieci rekordowe na krajową skalę ataki. Dwa lata temu mobilnego użytkownika usług Orange Polska atakowano na poziomie 476,2 Gb/s (gigabitów na sekundę). Kilka dni temu ten wynik został pobity. Jeden ze stołecznych Neostradowiczów „oberwał” bowiem DDoS-em liczącym w szczycie 543,9 Gb/s.

Jak sobie z tym radzimy? W 2018 roku wprowadziliśmy rozwiązanie ochrony przed DDoS oparte o BGP Flowspec. W nietechnicznym skrócie:

Przede wszystkim z racji tego, że sieć Orange Polska stanowi sporą część polskiego internetu, wiele ataków po prostu mieści się w przepustowości naszych łącz. Faktycznie podnoszą ich wysycenie, ale nie ma zagrożenia, że zauważycie taki atak przy swoim codziennym korzystaniu z sieci. Jeśli jednak chodzi o BGP Flowspec, to automatyczne zapobieganie w ten sposób atakom DDoS składa się z dwóch elementów. Po pierwsze – stale próbkujemy ruch z różnych miejsc naszej sieci szkieletowej pod kątem specyficznym dla DDoS. Adres źródłowy napastnika można oczywiście zespoofować, ale to tylko jeden z parametrów, opisujących ruch sieciowy. W kolejnym kroku, jeśli system rozpozna atak, odpowiednie informacje automatycznie trafią do dodatkowych tabel routingowych we wszystkich routerach szkieletowych Orange Polska. A ponieważ informacje, dotyczące Flowspec, są nadrzędne w stosunku do domyślnych tabel, w tym momencie próba ataku trafi do sieciowego „kosza” w każdym elemencie naszej sieci szkieletowej.

A Wy – zarówno zwykli internauci, jak i biznesowi klienci naszych usług – będziecie mogli spać… czy raczej używać sieci spokojnie.

Udostępnij: DDoS znów poszedł na maksa

Bezpieczeństwo

DDoS poszedł na rekord – 476,2 Gb/s

11 marca 2021

DDoS poszedł na rekord – 476,2 Gb/s

Ataki Rozproszonej Odmowy Dostępu (Distributed Denial of Service), znane potocznie jako DDoS, to „hit” ostatnich lat. Niekoniecznie jako domena przestępców – DDoS można też sprezentować konkurencyjnej firmie, komuś, kto nam podpadł, czy też – to jest ostatnio wyjątkowo popularne – rywalowi w grze sieciowej. Nam ostatnio trafił się w naszej sieci DDoS rekordowy.

Co to jest ten DDoS?

Pisałem to co prawda już wielokrotnie, ale przecież nie wszyscy musieli czytać 🙂 Wyobraźcie sobie sklep, dysponujący wąskimi drzwiami. To jest nasz, atakowany serwer. W kolejce do niego stają ludzie – to są zapytania z internetu. Wy, czy ja – każdy, kto usiłuje zajrzeć na docelową stronę. DDoS natomiast to banda kilkuset „karków”, rzucających się do drzwi i nie dających wejść do sklepu tym, którzy faktycznie mają sprawę.

Skąd się biorą wirtualne „karki”? To komputery przejęte przez przestępców (np. przy użyciu złośliwego oprogramowania), bądź serwery używające podatnych na ataki usług. O ile to pierwsze jest jasne, drugie – tzw. reflected DDoS – wymaga drobnego wyjaśnienia.

Wasz komputer pokazuje Wam, zazwyczaj w prawym dolnym rogu, aktualną godzinę. By zawsze była prawidłowa, raz na jakiś czas odpytuje o nią zajmujący się tym serwer. Wysyła odpowiednią liczbę bajtów do serwera NTP – a ten zwraca odpowiedź. „No i co?” – zapytacie? No i odpowiedź jest większa 557 razy…

A teraz wyobraźcie sobie dziesiątki tysięcy komputerów, podszywających się pod serwer ofiary i „pytających” serwer NTP o godzinę. Ponieważ przedstawiają się adresem IP atakowanego serwera, informacja zwrotna trafi do (a raczej zaleje) serwer ofiary. Zaorane, jak mawia młodzież.

Rekordowe 476,2 Gb/s!

Co gorsza, na przeprowadzenie takiego ataku może sobie pozwolić nawet gimna… tzn. licealista. Podaż botnetów i „firm” oferujących tego typu usługi jest tak duża, że muszą konkurować ceną. Krótki, mocny i bolesny atak może oznaczać wydatek rzędu kilku euro, niekiedy nawet w ramach promocji pierwszy DDoS możemy dostać za darmo. Poważniejsze „strzały”, z potencjałem na wykoszenie z sieci choć na chwilę mocniejszego gracza to już większe koszty, ale wciąż takie, na które może pozwolić sobie klasa średnia, nie bardzo zauważając późniejszy ubytek na bankowym koncie.

Nic więc dziwnego, że ataki DDoS trafiły pod strzechy, a wg. naszych statystyk (więcej już niedługo w raporcie CERT Orange Polska za 2020 rok) ich głównymi celami są uczestnicy gier online.

Być może to właśnie kogoś takiego na początku marca zaatakowano rekordowym na Polskę DDoS o sile 476,2 gigabitów na sekundę!

Celem ataku był użytkownik sieci mobilnej, a uderzenie trafiło w węzeł NAT (urządzenia mobilne w naszej sieci nie mają publicznych adresów IP), potencjalnie wystawiając na ryzyko większą grupę użytkowników. Była to kolejna w ciągu tygodnia próba dla naszej infrastruktury ochrony przed DDoS, a dowodem jej skuteczności jest to, że to my wiemy o ataku – klient nie ma o nim pojęcia 🙂 I dowód na to, że warto było lata temu przewidzieć przyszłość. Z naszych usług DDoS Protection korzysta 90% polskiego rynku, z bardzo rozległej listy branż.

Nasze rekordy DDoS to też dowód na popularność tego zagrożenia (nie tylko) w polskim internecie. Pierwszy zanotowany przez nas rekordowy DDoS to 239,5 gigabita na sekundę, w styczniu 2019. Na kolejny spektakularny „strzał” czekaliśmy półtora roku – czerwiec 2020 to przekroczone 300 Gbps (303). Przebicie kolejnej setki zajęło już tylko pół roku…

Udostępnij: DDoS poszedł na rekord – 476,2 Gb/s

Bezpieczeństwo

Snajperka, granat, czy… DDoS?

13 lutego 2020

Snajperka, granat, czy… DDoS?

DDoS (Distributed Denial of Service, Rozproszona Odmowa Dostępu) to od kilku lat jedna z najpopularniejszych krzywd, jakiej możemy doznać w internecie. Przede wszystkim ze względu na podaż usługi na rynku. O jakich liczbach mówimy? Funkcjonujące w internecie botnety można liczyć w setki. Spory botnet to nawet kilkaset tysięcy komputerów, przejętych przez przestępców i pozostających pod ich kontrolą. Wystarczy jedno kliknięcie, czasem kilka, by nasz komputer przestał być nasz i czekał na sygnał od – jak to złowieszczo brzmi – botmastera. A ten może użyć go np. do ataku DDoS.

Ile zatem kosztuje DDoS? Zależy od „dostawcy”, ale można spokojnie znaleźć usługę nawet za kilka dolarów. Nie potrwa wiele, może kilka minut; nie będzie przesadnie silny (atakujący botnet będzie miał może 1000 urządzeń), ale wystarczy. Do czego? Do tego, żeby wyrzucić rywala z sieciowej gry. Ba – z tym możemy poradzić sobie nawet bez pieniędzy. Niektórzy DDoSerzy oferują „proof of concept” swoich usług. Minuta? Dwie – wystarczy, by zamiast snajperką „odstrzelić” sieć rywala atakiem DDoS.

DDoS, czyli EVE Offline

Amerykańskie media kilka dni temu pisały o koszmarze graczy i administratorów popularnej gry MMO EVE Online, która za względu na masę dotykających jej infrastrukturę ataków DDoS stała się EVE… Offline. Najbardziej mają obrywać użytkownicy w USA, Australii i Afryce, tym niemniej specyfika gry powoduje, że „sypie” się ekonomia i spójność całej gry. Co ciekawe, problemy dotyczą nie tylko samej gry (wielu użytkowników ze względu na niestabilność infrastruktury EVE nie może się zalogować) ale również usługi czatu. W efekcie krążą również teorie, jakoby źródłem ataków byli hakerzy na usługach chińskiego rządu, po to, by utrudnić rozsiewanie prawdziwych informacji na temat koronawirusa 2019-nCov!

Czas pokaże (albo i nie) co było przyczyną, a póki co rzućmy okiem za kulisy będącego na ostatnim etapie tworzenia Raportu CERT Orange Polska 2019. A tam możemy zobaczyć, że z jednej strony poziom i liczba DDoSów wydają się spadać, co bez wątpienia jest efektem coraz skuteczniejszych metod zapobiegania tego typu atakom. Statystyki pozwalają jednak wypatrzyć pewien trend. Otóż nasilenie ataków na sieć Orange Polska widzimy w okresie świąt, wakacji i długich weekendów. Czyli dokładnie wtedy, gdy młodzież ma wolne i może poświęcać czas grom online.

Odstrzelić przed fosą

Jak radzimy sobie z DDoS w Orange Polska? Niewiele ponad rok temu pisaliśmy na stronie CERT Orange Polska o wprowadzeniu w naszej sieci BGP Flowspec. W skrócie – chodzi o próbkowanie ruchu w kilku miejscach sieci i w momencie, gdy systemy wykryją, iż z dużym prawdopodobieństwem mają do czynienia z ruchem „zatrutym” – odpowiednie informacje automatycznie trafią do dodatkowych tabel routingowych we wszystkich naszych routerach szkieletowych. Kolokwialnie mówiąc, zastrzelimy każdego zombie zanim przejdzie pierwszą fosę w naszym zamku.

Patrząc na statystyki ataków, ochrona wydaje się działać całkiem nieźle (na forach dla graczy z radością czytamy dobre słowa o naszym światłowodzie), nie oznacza to jednak, że zacieramy ręce i radośnie bierzemy się za inną robotę, zapominając o DDoSach. Każdemu zagrożeniu dokładnie się przyglądamy, obserwując i analizując trendy, by móc błyskawicznie zareagować, gdy przestępcy wymyślą coś nowego. Bo, jak mawiał Bogusław Linda w roli majora Kellera w „Demonach Wojny” Pasikowskiego:

To jest wojna (…) Musicie zabijać albo nie przeżyjecie

A to, że stawką nie jest – na szczęście – życie tylko Wasza prywatność, wrażliwe dane i pieniądze rzecz jasna, nie czynią jej mniej ważną.

Grafika autorstwa Bena Taylora na licencji CC BY 2.0

Udostępnij: Snajperka, granat, czy… DDoS?

Bezpieczeństwo

Bezpieczeństwo w sieci? Uważajcie, przestępcy „wędkują” w sieci na potęgę!

10 października 2019

Bezpieczeństwo w sieci? Uważajcie, przestępcy „wędkują” w sieci na potęgę!

Październik jest europejskim miesiącem cyberbezpieczeństwa. To dobra okazja, by pokazać z jakich kierunków Wasze bezpieczeństwo w sieci może być zagrożone. Na pierwszym miejscu na „liście przebojów” cyberprzestępców był phishing czyli próby nielegalnego pozyskania naszych danych – loginów i haseł do kont bankowych, numerów kart kredytowych itp.

Cyberbezpieczeństwo w naszej sieci

Mówiąc w prostych, żołnierskich słowach – przestępcy mieli chrapkę na Wasze dane, by wykorzystać je do niecnych celów. Specjalista opowiedziałby o tym pewnie nieco bardziej szczegółowo i z wykorzystaniem danych liczbowych. Na całe szczęście pisząc ten tekst o bezpieczeństwie w sieci znalazłem najlepszego – Roberta Grabowskiego, szefa zespołu CERT Orange Polska.

 „Próby wyłudzenia danych stanowiły ponad 2/3 cyberzagrożeń (67 proc.) wykrytych w tym czasie w sieci Orange Polska. Na drugim miejscu oprogramowanie typu adware, zasypujące odbiorcę niechcianymi reklamami. Stanowiło ono niemal 1/4 zagrożeń (22 proc.). W mniejszym stopniu groziły nam koparki kryptowalut i inne rodzaje złośliwego oprogramowania. Widać też wyraźną tendencję spadkową w przypadku ataków DDoS, blokujących działalność witryn internetowych. Prawdopodobnie ma to związek z wdrożeniem pod koniec 2018 roku nowych mechanizmów detekcji i ochrony sieci Orange”

Phishing – jak się bronić przed zagrożeniem z sieci?

Wiecie już, że najczęściej będą Was spotykać próby wyłudzenia Waszych danych i różnego rodzaju oszustwa. Nie zawsze będą to jednak wywołujące wybuchy śmiechu maile od nigeryjskich książąt. Często będą wyglądać jak faktura od operatora telekomunikacyjnego, choć niekoniecznie Waszego, bo przestępcy nie mają takich baz. Może być to mail ze sklepu internetowego o niezapłaconym rachunku. Może nawet być to mail od prezesa Twojej firmy z prośbą o to byś wykonał szybki przelew ze służbowego konta.

Autorzy ataków phishingowych są bardzo pomysłowi w wyszukiwaniu wiarygodnych na pierwszy rzut oka przykrywek. Pod kogo jeszcze mogą się podszyć? Pod banki, innym razem pod administrację podatkową, ale może to być także serwis sprzedaży używanych samochodów czy sieć supermarketów.

Niestety internauci mimo ostrzeżeń bardzo często wykorzystują te same loginy oraz hasła w bankach i serwisach internetowych. Nie jest to droga do bycia bezpiecznym w sieci. Ich przejęcie to dla przestępcy jak otwarcie legendarnego Sezamu – daje możliwość kradzieży naszych pieniędzy.

Bezpieczeństwo w sieci zapewnia CyberTarcza

Użytkownicy sieci Orange są i tak w lepszej sytuacji. Mogą korzystać z ochrony wyjątkowego narzędzia – CyberTarczy. Ostrzega ona internautów o wykrytych zagrożeniach i pozwala uniknąć zainfekowania. Od blisko roku obserwujemy nasilone kampanie SMS, codziennie blokujemy złośliwe domeny i powiązane z nimi fałszywe wiadomości z wiarygodnie brzmiących nadpisów, a linki w nich zawarte prowadzą zazwyczaj do fałszywych bramek płatniczych typu PayU czy DotPay. Między innymi z tego powodu uruchomiona została mobilna wersja CyberTarczy, która zdecydowanie zwiększa bezpieczeństwo korzystania z internetu w smartfonie. Stworzono ją z myślą o niewielkich firmach oraz użytkownikach prywatnych. W smartfonie gromadzimy mnóstwo wrażliwych danych osobistych, ale także służbowych. Chwila nieuwagi, kliknięcie w niebezpieczny link może narazić na straty nie tylko użytkownika telefonu, ale też jego znajomych czy partnerów biznesowych.

Cyberbezpieczeństwo jest tym ważniejsze, że często na smartfonach służbowych przechowujemy dane osobowe – chociażby w postaci zapisanych w pamięci numerów. Pamiętajcie o RODO i karach z nim związanych. Warto być zabezpieczonym. Ochrona CyberTarczy jest w takich przypadkach nie do przecenienia. Warto ją zamówić.

CyberTarcza daje cyberbezpieczeństwo

Co miesiąc chroni ona setki tysięcy użytkowników przed phishingiem i oprogramowaniem typu malware. Rekordowy pod tym względem był maj. Problemów uniknęło wówczas ponad 660 tysięcy osób.

Na przykład przestępcy rozsyłali w tym czasie SMS-y kierujące do fałszywego serwisu z horoskopami. CyberTarcza zablokowała tę domenę. Był to klasyczny wręcz przykład „hybrydowej” próby wyłudzenia. Najpierw przychodziła wiadomość, że klient rzekomo zapisał się na wysoko płatny serwis SMS. Jednocześnie był informowany, że może zrezygnować z subskrypcji, płacąc zaledwie złotówkę w ramach „sprawdzenia danych osobowych”. Przestępcy liczyli, że osoby te nie spojrzą dokładnie na adres strony wyglądającej jak panel płatności, a im uda się ukraść nie tylko złotówkę, ale najpewniej wszystkie pieniądze z konta.

Trudno przewidzieć co cyberprzestępcy jeszcze wymyślą, aby obłowić się kosztem użytkowników internetu. Jeśli chcesz na bieżąco śledzić zagrożenia w sieci możesz to robić na stronie CERT Orange Polska lub na twitterze @CERT_OPL . Warto zajrzeć także do cotygodniowego cyklu Michała Rosiaka o cyberbezpieczeństwie.

Podsumowanie cyberbezpieczeństwa w Orange

Udostępnij: Bezpieczeństwo w sieci? Uważajcie, przestępcy „wędkują” w sieci na potęgę!

Bezpieczeństwo

Atak hakerski! Jak to działa odc #8

27 września 2018

Atak hakerski! Jak to działa odc #8

Cyberbezpieczeństwo to w Orange bardzo ważny temat. Mamy nasz CERT Orange Polska, który 24 godziny na dobę, 7 dni w tygodniu i przez cały rok monitoruje sieć. Jest też Cybertarcza, która chroni naszych klientów przed zagrożeniami.  To bardzo ważny element naszej sieci dlatego trudno było mi sobie wyobrazić cykl „Jak to działa?” bez niego. I nareszcie jest!

DDoS – jak to działa?

Postanowiłem jednak pokazać ten temat nieco innej strony. Zobaczcie zatem, jak odbywa się atak hakerski. Na warsztat wzięliśmy DDoS. Przy okazji zaglądamy do wnętrza naszego CERT, byście mogli zobaczyć kto i gdzie Was chroni. Miałem okazję porozmawiać także z szefem naszego zespołu do cyfrowych zadań specjalnych. Na koniec w bardzo obrazowy sposób pokazujemy czym różni się Cybertarcza od antywirusa (Żaden laptop nie ucierpiał w tym procesie ;-)). W filmie pokazaliśmy także mapę cyberzagrożeń, którą znajdziecie na stronie cert.orange.pl. Znajdziecie tam masę ciekawych informacji, newsów i aktualności. Więc zaglądajcie tam, nie tylko od święta.

W świecie cyberbezpieczeństwa jestem gościem. Za każdym razem, gdy rozmawiam z kolegami, którzy zajmują się tym zawodowo jest pod wrażeniem ich wiedzy. Nie tylko tej technicznej, ale także… psychologicznej. Cyberataki to w większości przypadków nie jest bowiem łamanie cyfrowych haseł prowadzących do twierdz pełnych serwerów. To manipulacja – byśmy kliknęli w niebezpieczny link, otworzyli załącznik, weszli na stronę, podali hasło. Właśnie z naszej naiwności korzystają przestępcy.

„Kradzież” cyberbezpieczeństwa

Przyznaję się, robiąc wideo o przestępcach sam dokonałem małej kradzieży. Ukradłem Michałowi Rosiakowi temat, a co więcej ukradłem mu dzień na publikację tematu o cyberbezpieczeństwie. Mam nadzieję, że mi wybaczy. Na całe szczęście Michał opublikował już dzisiaj swój (jak zawsze profesjonalny) tekst, w którym ostrzega przed niebezpiecznym trojanem  nazwie Lojax.

Mam nadzieję, że Michał mi wybaczy jedno i drugie.

P.S. Kolejny odcinek serii już za dwa tygodnie – w połowie października. Opowiem w nim o sieci mobilnej i pozwolę Wam zajrzeć do kliku ciekawych miejsc.

Udostępnij: Atak hakerski! Jak to działa odc #8

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej