Vdor, kakršnega še ni bilo

Prejšnji petek se je v ZDA zgodil vdor v računalniško omrežje, kakršnega še ni bilo. Za to, da so blokirali družbo Dyn, so neznani napadalci na njegove spletne naslove preusmerili za več kot terabit spletnega prometa. Novost tega vdora, ki se je izvedenci najbolj bojijo, je, da so se napadalci spravili na ključno infrastrukturo svetovnega spleta, poroča die Welt. Dyn opravlja spletne storitve za več velikih podjetij iz ZDA, med njimi sta Netflix in Amazon.

Za to, da napadalci lahko blokirajo linije podjetja, morajo zagotoviti dovolj spletnih klicev. Zato potrebujejo dostop do računalnikov, ki jih imajo pod nadzorom, in po njihovih ukazih na ciljni strežnik neprestano pošiljajo zahteve. To počnejo toliko časa, dokler te zahteve ne gredo več skozi ali pa jih stroj obdela z veliko zamudo.

Napadalci uporabljajo tako imenovane mreže bot. To so milijoni računalnikov, ki jih okužijo s škodljivimi programi. Ti računalniki čakajo na ukaze majhnega števila nadzornih strežnikov, ki jih nadzorujejo napadalci. Računalniki tako postanejo armada, ki izpolnjuje ukaze napadalcev. Petkov napad je dosegel rekordne vrednosti, saj je bilo po oceni analitikov vključenih več kot 20 milijonov spletnih priključkov.

Odprto ostaja vprašanje, kaj je bil cilj napadalcev. Njihov napad je trajal le nekaj ur in ni povzročil trajne škode. Bolj je učinkoval kot test ali kot izraz moči napadalcev. »Lahko si predstavljam, da je šlo za testiranje kibernetskega orožja,« je za die Welt dejal Klaus Landefeld, predstojnik za infrastrukturo in omrežja v združenju za internet Eco. Zmogljivost omrežja je v tem primeru dovolj velika, da je mogoče spraviti na kolena posamezne spletne ponudnike.

Ob upoštevanju zmogljivosti omrežja za svetovni splet bi petkov napad zadoščal za uspešen napad mednarodnih ciljev. Podmorski kabli, prek katerih so povezane na splet afriške države, bi bili s podatki v velikosti enega terabita povsem preobremenjeni. Tudi spletni ponudniki manjših republik v Srednji Aziji ali na Kavkazu bi bili s takšnim napadom povsem preobremenjeni. Neznani napadalci so v petek tako pokazali, da imajo dovolj zmogljivosti, da lahko odklopijo s spleta cele države.

Klaus Landefeld meni, da so najbrž želeli preveriti, koliko spletnega prometa lahko prenesejo določeni ponudniki, preden postanejo preobremenjeni. »Napadalci pri takšnem napadu lahko opazujejo, kako se njihova žrtev odzove, s katerim i ukrepi se brani napada, kako so povezane posamezne storitve in ponudniki storitev. Identificirajo ključno infrastrukturo za prihodnje napade,« razlaga nemški izvedenec.

Napadalci so svoj cilj izbrali zelo spretno. Družba Dyn ponuja storitev DynDNS, neke vrste spletni telefonski imenik. Ta storitev povezuje imena domen s fizičnimi mrežnimi naslovi strežnikov od imetnikov domen. Skrbi torej za to, da je uporabnik spleta s tem, ko v iskalnik na svojem računalniku vtipka amazon.com, dejansko povezan s strežniki družbe Amazon.

Napad z več kot enim terabitom podatkov strežnika Amazona ali Netflixa neposredno ne bi mogel ovirati, ker imajo ti koncerni dobre spletne povezave, če pa napadalci blokirajo njihovo storitev DNS, jih lahko dejansko odklopijo s spleta. Ker je običajna naloga storitev DNS odgovarjanje na ukaze po modelu »poveži domeno iz imenom X z naslovom IP Y«, strežniki družbe Dyn očitno niso pripravljeni na velik spletni promet. Trg za njene storitve DNS se je v zadnjih letih skrčil, ker se je povezalo več manjših ponudnikov. Tako manj podjetij upravlja telefonski imenik za veliko velikih spletnih podjetij in temu ustrezno uspešni so bili napadalci s svojim napadom na Dyn.

Zaradi vse večje prepletenosti različnih velikih ponudnikov storitev nihče nima več pregleda, katera spletna infrastruktura je dejansko kritična. »Pred petkovim napadom tudi jaz ne bi pomislil, da ima DynDNS tako ključno nalogo pri upravljanju svetovnega spleta in je hkrati tako zelo ranljiv na napade DDOs. Nekdo je sistematično preskusil, ali njegove zmogljivosti zadostujejo za takšne napade in katere cilje se izplača izbrati,« opozarja Klaus Landefeld.

Takšni napadi so za napadalca običajno tvegani in ima z njimi stroške. Z napadom namreč pokaže, kako so zmogljive njegove mreže bot, kateri računalniki in mrežne naprave so del njegove zombijevske armade. To ugotovijo podjetja za varnost informacijske tehnologije in raziskovalci za varnost, ki ukrepajo proti mrežam bot.

Skupina napadalcev mora torej po napadu računati, da bo njegova mreža bot analizirana, potem je mogoče njihove zombijevske računalnike s posodobitvami zavarovati, strežnike, ki jih upravljajo napadalci lahko policija in varnostne službe odklopijo s spleta. Ta nevarnost je po napadu na družbo Dyn zelo majhna. Napadalci namreč niso uporabili običajnih računalnikov, ampak so ugrabili naprave v medomrežju stvari (Internet of things). Ziombijevska armada so tako domače naprave kot naprave podjetij. Ponudnik spletnih storitev Akamai je v svoji analizi med drugim navedel, da so to lahko tudi nadzorne kamere, digitalni videorekorderji in sistemi za razsvetljavo.

Po podatkih iz analize družbe Brian Krebs je številnim tovrstnim napravam skupno, da jih proizvaja kitajska družba XiongMai Technologies in so tako ceneno narejene, da varnostne posodobitve niso mogoče. Dokler so te naprave priklopljene na splet, z njih ni mogoče onemogočiti kibernetskega orožja napadalcev.

Škodljiv program, ki ga napadalci uporabljajo za vdor v računalnike, je znan pod imenom Mirai. Koda tega programa je bila pred kratkim objavljena na spletu. Napadalci so tako spretno izbrisali svoje sledove, saj zdaj lahko vsak povprečno nadarjen napadalec naredi lastno kibernetsko orožje. Tako ni več enostavno ugotoviti, kdo je napadalec.