Iniciatíva IoT sa snaží pripojiť všemožné zariadenia k Internetu. Tieto zariadenia majú sčasti na svedomí včerajšie DDoS útoky na DNS servery. Kto ich však vykonal?
Včera sme vás informovali o masívnom DDoS útoku na DNS servery poskytovateľa Dyn, ktorý spôsobil výpadok desiatok webov, medzi ktorými bol napríklad Twitter, Spotify či Reddit. Nešlo však o jeden útok a po zverejnení včerajšieho článku spoločnosť Dyn informovala, že útoky sa odohrávali celkovo v 3 vlnách.
Prvý útok začal včera v čase 11:10 UTC a ovplyvnil najmä východné pobrežie USA. Asi o 2 hodiny neskôr bola obnovená bežná prevádzka a všetko vyzeralo dobre. V čase 15:52 UTC však začala spoločnosť Dyn znovu registrovať ďalšiu vlnu DDoS útoku na svoje DNS servery. Útok sa prejavil opäť najmä na východe USA a ešte 4 hodiny po ňom pracovali v Dyn na odstránení problémov. Ani to však nebol koniec. Tretia vlna DDoS dorazila neskôr v piatok poobede. Podľa slov spoločnosti boli útoky dobre plánované a vykonané, pričom prichádzali z desiatok miliónov IP adries naraz. V čase 22:18 UTC už boli DDoS útoky vyriešené a odvtedy sa zatiaľ nezopakovali.
Prečo vlastne tieto DDoS útoky spôsobili problém a o aké útoky ide? Pre objasnenie začnime jednoduchou definíciou DNS serverov, nakoľko práve na tieto servery boli útoky mierené. DNS (Domain Name System) sa stará o preklad názvov domén na ich IP adresy. Ide o službu, vďaka ktorej stačí do adresného poľa prehliadača napísať URL pc.sk a nie je nutné písať konkrétne IP adresy serverov. DNS sa sám postará o preklad zadaného textu na IP adresy a vyhľadá požadovaný server buď vo svojich záznamoch, alebo požiadavku deleguje na ďalšie DNS servery.
DDoS útoky v princípe fungujú tak, že počítač generuje obrovské množstvo dát na adresáta. Väčšinou ide o umelé, nezmyselné dáta, ktorých cieľom je zahltiť adresáta tak, aby nestíhal vybavovať žiadne iné požiadavky. V tomto prípade boli adresátom DNS servery spoločnosti Dyn, ktorá je významným poskytovateľom DNS služieb. Na zahltenie takýchto serverov by však samozrejme nestačil jeden notebook požičaný od sestry a potrebujete niečo výkonnejšie. Útočníci preto zapájajú do DDoS útokov celú armádu počítačov, ktorá sa často označuje ako botnet sieť.
Súčasťou botnet siete je možno aj váš počítač a ani o tom neviete. Stačí, že sa váš počítač infikuje malvérom a hackeri ho môžu následne na diaľku využiť ako útočiaci stroj chrliaci tony dát na obeť. Bezpečnostní experti zistili, že časť včerajšej prevádzky pri útokoch pochádzala z malvéru Mirai, ktorý infikoval podľa odhadov pol milióna zariadení. Z tohto počtu sa na včerajších útokoch podieľalo asi 10 % infikovaných zariadení.
Botnet siete nie sú ničím nové, no malvér Mirai robí bezpečnostným expertom vrásky na čele. Pri útoku takejto siete z minulého mesiaca na stránku bezpečného experta Briana Krebsa bol totiž malvér schopný vygenerovať prevádzku až 665 Gbps čím sa zapísal medzi najväčšie DDoS útoky v histórii. Vtedy útočilo takmer 145 000 zariadení, medzi ktorými boli kamery a DVR prehrávače.
Je viac ako isté, že spoločnosť Dyn používa pokročilé techniky včasnej identifikácie DDoS útokov a ochranu proti ním a hackeri preto museli použiť sofistikovanú techniku aby zahltili takého servery. Zaujímavé je, že za včerajšie útoky môžu do istej miery aj zariadenia IoT (Internet of Things). Iniciatíva IoT spočíva v zapojení všemožných zariadení do Internetu ako sú inteligentné chladničky, žiarovky, kamery, termostaty a podobne. Bezpečnostná firma Flashpoint sa vyjadrila, že vo včerajších útokoch jasne identifikovala, že niektoré útočiace zariadenia nakazené malvérom Mirai boli DVR prehrávače. Mirai využíva slabé bezpečnostné protokoly v IoT zariadeniach vďaka čomu ich ľahko využíva pre DDoS útoky.
A kto stojí za útokom? To je stále nezodpovedaná otázka. Prípadom sa však už zaoberá FBI a Department of Homeland Security. Niektorí ľudia si myslia, že ide o politické útoky s cieľom zhodiť portál Wikileaks aby si ľudia nemohli prečítať uniknuté emaily Billa Clintona. Druhá skupina ľudí podozrieva z útoku Rusov. Nech stojí za útokom ktokoľvek ide o znepokojivý dôkaz toho, ako ľahko sa dá ochromiť významná časť Internetu.
Mr. Assange is still alive and WikiLeaks is still publishing. We ask supporters to stop taking down the US internet. You proved your point. pic.twitter.com/XVch196xyL
— WikiLeaks (@wikileaks) 21. októbra 2016
Zdroj: gizmodo
MQ