DDoS ponovo napada ili zašto je u petak pao Twitter?

Oktobar je bio mjesec DDoS-a. Taman kad se činilo se da će se ovaj napad povući pred agresivnijim i isplativijim ransomverom i polako otići u tehnološku istoriju ( jer mu motiv nije bio novac, i ne obezbjeđuje brzu i laku zaradu), u junu ove godine pojavila se serija DDoS napada na institucije finansijskog sektora, centralne i poslovne banke. Vraćanjem DDoSa u fokus postalo jasno da ovo više nisu napadi sa samo jednim ciljem: oboriti nekome sajt i onesposobiti servise, već da se često dešava i da je DDoS samo paravan za upad u sistem „na zadnja vrata“ (dok se domaćini bave podizanjem sajta)  i krađu podataka, a zatim i iznuđivanje novca.

fotografija preuzeta sa crebsonsecurity.com

Šta je DDoS? Najkraće rečeno, to je organizovana mreža (botnet) računara (botovi), koji i ne moraju znati da su u mreži što znači može biti bilo koji računar na svijetu, dovoljno da mu se na prevaru ubaci komadić koda, i koji organizovano i istovremeno napadaju (šalju zahtjev) na određenu adresu, odnosno servis. Kad je taj napad dovoljno velik, servis ne može izdržati toliko zahtjeva, tj. ne može dovoljno brzo generisati odgovore, servis pada. Šta je to dovoljno veliki broj zahtjeva? Pa, recimo da su to napadi (istovremeni zahtjevi prema serveru) intenziteta od nekoliko Gbps. Botnet može imati 100, ali i 50.000 računara "na zadatku". 

Postoje uređaji kojima se može braniti od DDoS napada, ali njihovi dometi su uglavnom od jednog do nekoliko desetina Gbps, (računalo se da je 10Gbps sasvim respektabilna granica zaštite), tako da je septembarski napad kojim je oboren sajt kompanije Krebson Security od 629 Gbps zapravo bio neodbranjiv.

Taj, kao i najnovija serija velikih DDoS napada, koji su premašili intenzitet onog na Krebson, pokazao je još jednu važnu stvar: da treba pod hitno inovirati definiciju DDoS-a.

Dakle, botnet nije mreža računara, već uređaja sa IP adresom. Bot može biti bilo šta što ima IP adresu (IoT) i neki, makar i najprimitivniji softver. Malver pod nazivom Mirai je jednostavan kod koji može da se pokrene bukvalno na svakoj stvari povezanoj na Internet. Dokazano. Više puta u posljednjih mjesec dana.

Moja prva misao kad sam za vikend čula za napad na DNS provajder Dyn, što je uzrokovalo pad Twittera, Netflixa i još nekoliko svjetski poznatih servisa je da to nije djelo hakera. (Skromno dodajem, Džon Mekafi dijeli moje mišljenje).  Američka administracija brzo se oglasila da se ne radi o državno vođenom napadu, već je to djelo vandala, a budući da im se baš nije povjerovalo, onda se kao država koja stoji iza toga označila – Sjeverna Koreja.

Bilo kako bilo, ipak mislim da je ovo bila jedna vaspitna ćuška IoT tehnologiji, tj.  proizvođačima uređaja koji se kače na Internet, da malo uspore i da bolje zaštite svoje proizvode. Jer, s obzirom na rizike IoT  na koje se upozoravalo, a proizvođači se oglušili, morala se napraviti jedna javna provjera ranjivosti. Nije čak bila ni teška za izvesti, vrata IoT svijeta nisu bila zaključana.

Nakon ovoga, današnja vijest je da kineska kompanija Hangzhou Xiongmai, povlači sa tržišta milione sigurnosnih kamera prodatih u SAD, jer se ispostavilo da je njihov softver za povezivanje sa uređajem za snimanje i čuvanje zaražen Mirai virusom. Za očekivati je da se u danima koji dolaze objelodani još ovakvih proizvoda, ali vrlo vjerovatno i ponovi još ovakvih i sličnih napada.