Η μεγαλύτερη κυβερνοεπίθεση θα μπορούσε να αποφευχθεί, λέει ο ENISA

O Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών αναλύει την μεγαλύτερη επίθεση στα χρονικά του Διαδικτύου τον Μάρτιο του 2013. Ο ENISA διαπιστώνει πως, το περιστατικό, αφενός, φανερώνει πως υπάρχουν σημαντικές αδυναμίες στην υποδομή του Ίντερνετ, αφετέρου πως, η αντοχή του, ως σύνολο, αποτελεί εγγενές χαρακτηριστικό του. Η μεγαλύτερη κυβερνοεπίθεση μπορεί να γονάτισε ένα μέρος του, απέτυχε όμως να το καταλύσει, σημειώνει ο Οργανισμός που εδρεύει στο Ηράκλειο της Κρήτης.
Στόχος της επίθεσης ήταν ο μη κερδοσκοπικός οργανισμός Spamhaus.org, ο οποίος εξυπηρετεί τις εταιρείες που παρέχουν υπηρεσίες ηλεκτρονικού ταχυδρομείου. To Spamhaus διατηρεί μια «μαύρη λίστα» με διακομιστές που είναι γνωστοί για την αποστολή μηνυμάτων που θεωρούνται spam, δηλαδή αποστέλλονται μαζικά και αόριστα σε χρήστες ανά τον κόσμο, προκαλώντας προφανή ενόχληση αλλά και φόρτο εργασίας στις υποδομές των ISP. Αν και δεν υπάρχουν αποδείξεις, σημειώνει ο ENISA, η επίθεση θεωρείται ότι αποτέλεσε έργο ενός αποστολέα spam που… θύμωσε όταν το Spamhaus τον απέκλεισε και αποφάσισε να τον εκδικηθεί (αμφισβητώντας παράλληλα τον ρόλο του για το «τι ανεβαίνει και το τι όχι στο ίντερνετ»).

Τι μάθαμε από την μεγαλύτερη επίθεση στο Διαδίκτυο

• Το περιστατικό δεν επηρέασε το ίντερνετ σε παγκόσμια κλίμακα. Οι συνέπειές του όμως ήταν ορατές σε τοπικό επίπεδο. Το συμπέρασμα που προκύπτει από την εμπειρία αυτή είναι πως το ίντερνετ μπορεί να αποδείχτηκε «ανθεκτικό», δεν θα πρέπει ωστόσο να θεωρείται αληθές ότι ένα μέρος της διαδικτυακής υποδομής που εξυπηρετεί μια περιοχή ή μια χώρα έχει την ίδια ανθεκτικότητα.

• Αυτή η επίθεση αποδεικνύει πως οι διαμάχες με πρωταγωνιστές ιδιωτικούς φορείς μπορούν να επιφέρουν σημαντικά πλήγματα στην υποδομή του ίντερνετ.

• Οι επιθέσεις έγιναν πολύ ισχυρότερες -η πιο γνωστή κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών το 2012 έστελνε 100 Gigabit δεδομένων ανά δευτερόλεπτο. Η επίθεση του Μαρτίου 2013 έφτασε τα 300 Gigabit το δευτερόλεπτο. Σε αυτή την κλίμακα, ακόμα και τα σημεία τοπικής διασύνδεσης των ISP που υπάρχουν σε κάθε χώρα (internet exchange) «εξαντλούνται».

Χτύπημα που έφτασε στα σημεία συνάντησης της εγχώριας κίνησης προς τα έξω

Επρόκειτο για μια κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών στους διακομιστές του Spamhaus, η λεγόμενη επίθεση DDoS, που ξεκίνησε στις 16 Μαρτίου 2013. Είχε εντυπωσιακά μεγάλη διάρκεια που ξεπέρασε την μια εβδομάδα και εξελίχθηκε σε τρεις φάσεις: αρχικά στόχος ήταν το Spamhaus.org (διατηρεί διακομιστές στην Γενεύη και στο Λονδίνο), έπειτα η CloudFlare, μια εταιρεία που κλήθηκε να αντιμετωπίσει την επίθεση στο Spamhaus και τέλος, στους παρόχους πρόσβασης της CloudFlare. Στην τελευταία φάση της επίθεσης, η εξαιρετικά αυξημένη κίνηση που δημιουργήθηκε προκάλεσε προβλήματα στο σημείο τοπικής διασύνδεσης των Βρετανών παρόχων ιντερνετικής πρόσβασης στην χώρα με το υπόλοιπο ίντερνετ, στο Λονδίνο (London Internet Exchange). Η μεγαλύτερη κυβερνοεπίθεση έγινε αισθητή από τους χρήστες στο Ηνωμένο Βασίλειο και στην Γερμανία, αλλά και σε άλλα μέρη στην Δυτική Ευρώπη, σημειώνει ο ENISA.

Γνωστές οι μέθοδοι επίθεσης, γνωστές και οι μέθοδοι άμυνας

Οι μέθοδοι που χρησιμοποιήθηκαν για την επίθεση DDoS είναι γνωστές από χρόνια, όπως άλλωστε και οι μέθοδοι για την αντιμετώπισή τους, επισημαίνουν οι Thomas Haeberlen, Expert in Network and Information Security, και Rossella Mattioli, Security and Resilience of Communication Networks Officer, ENISA.

Αποτελεσματική επίθεση χωρίς λεφτά και πόρους

Πρόκειται για το λεγόμενο DNS Amplification, που επιτρέπει στον επιτιθέμενο να εξαπολύσει μια επίθεση που θα προκαλέσει τεράστια κίνηση στους διακομιστές-στόχους, χωρίς να χρειάζεται ανάλογους πόρους για να επιφέρει το πλήγμα, δηλαδή με υποπολλαπλάσια δύναμη ακόμα και 1 προς 100 (Δαβίδ εναντίον Γολιάθ). Η χρήση μιας απλής… σφεντόνας (μερικά bytes) είναι εφικτή καθώς, οι διακομιστές DNS μπορούν να δεχτούν αιτήματα για να ταιριάξουν ονόματα διαδικτυακών διευθύνσεων με το αριθμητικό ισοδύναμό τους και να επιστρέψουν το αποτέλεσμα σε διαφορετικό αποδέκτη από τον αποστολέα του αιτήματος. Μάλιστα, τα αιτήματα προς τους διακομιστές DNS (και υπάρχουν χιλιάδες τέτοιοι) είχαν ως αποτέλεσμα την αποστολή ιδιαίτερα εκτενών «απαντήσεων» προς τους διακομιστές-στόχους, δηλαδή με μερικές δεκάδες bytes από τον επιτιθέμενο, ο στόχος «χτυπιόταν» με αρκετές χιλιάδες bytes.

Εκμετάλλευση της ευγένειας των σερβιτόρων

Εκτός από το DNS Amplification, μια ακόμα τεχνική, επίσης γνωστή χρόνια, εκμεταλλεύτηκαν οι εισβολείς. Οι Open Resolvers είναι διακομιστές DNS που… έχουν την καλοσύνη να κάνουν την μετάφραση όλων των διευθύνσεων που λαμβάνουν, όχι μόνο αυτών που αποτελεί αρμοδιότητά τους (για παράδειγμα, κάθε ISP έχει διαφορετική ομάδα αριθμητικών διευθύνσεων). Αυτήν η καλή πρόθεση, είναι εκμεταλλεύσιμη και να ενισχύσει περαιτέρω επιθέσεις DDoS, όπως έχει αποδειχτεί πολλάκις, λένε οι ειδικοί.

Πιαστήκαμε απροετοίμαστοι

Ο ευρωπαϊκός οργανισμός καταλήγει επίσης στην θλιβερή διαπίστωση πως, οι παροχείς υπηρεσιών δικτύου δεν εφαρμόζουν συστάσεις που επιλύουν τα γνωστά αυτά προβλήματα, οι οποίες έχουν εκδοθεί εδώ και 13 χρόνια (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://tools.ietf.org/html/bcp38). Σχετική σύσταση είχε επίσης εκδοθεί το 2008 για το περιορισμό του φαινομένου της εκμετάλλευσης διακομιστών DNS, ώστε μια τέτοια επίθεση να μην μπορεί να λάβει μεγάλες διαστάσεις (Preventing Use of Recursive Nameservers in Reflector Attacks http://tools.ietf.org/html/bcp140).

Φανερή επίθεση στην αξιοπιστία των αναφορών του Spamhaus.org

Ο Οργανισμός διαπίστωσε ακόμα πως, στην μεγαλύτερη επίθεση στο Διαδίκτυο χρησιμοποιήθηκε η μέθοδος Border Gateway Protocol (BGP) route hijacking. Σκοπός των επιτιθέμενων ήταν να την εκμεταλλευτεί ώστε να πλήξει την αξιοπιστία των αναφορών του Spamhaus, αφού έτσι κάθε «καθαρή» διεύθυνση IP «μολυνόταν» ώστε να θεωρηθεί από την υπηρεσία ως spam. To πρωτόκολλο αφορά την ανταλλαγή πληροφοριών δρομολόγησης στην «πύλη» όπου συναντιούνται οι πάροχοι πρόσβασης, ώστε να δημιουργηθεί μια σχέση εμπιστοσύνης μεταξύ των γνωστών πλέον διευθύνσεων που υπάρχουν σε κάθε δίκτυο και να επιταχύνεται η επικοινωνία τους (αφού οι πληροφορίες δρομολόγησης είναι γνωστοί). Σε μια επίθεση hijacking, οι «πειρατές» παίρνουν τον έλεγχο ολόκληρης ομάδας διευθύνσεων ενός παρόχου, χωρίς φυσικά εξουσιοδότηση και έτσι εκτελούν διάφορες ενέργειες, όπως το ψάρεμα στοιχείων, η αποστολή spam κ.ά. Το σημαντικότερο από την ανάλυση της επίθεσης εδώ είναι ότι, «οι πειρατές» μπορούν να εντοπιστούν, σε αντίθεση με τους υπεύθυνους των προαναφερόμενων μεθόδων επίθεσης (DNS Amplification, Open Resolvers). O ENISA παραπέμπει σε σχετική ανάλυση στο άρθρο με τίτλο «Looking at the spamhaus DDOS from a BGP perspective» στην διεύθυνση http://www.bgpmon.net/looking-at-the-spamhouse-ddos-from-a-bgp-perspective/

Δεν γνωρίζουμε ποιος μπορεί να επιτρέψει τι

Το σημαντικότερο ίσως συμπέρασμα από την ανάλυση του ευρωπαϊκού οργανισμού για την ασφάλεια είναι ότι δεν έχουμε αναλύσει επαρκώς την πολυπλοκότητα και τις αλληλοεξαρτήσεις αλλά και τον ρόλο όλων όσοι εμπλέκονται στην λειτουργία του ίντερνετ -καλώδια, κέντρα φιλοξενίας διακομιστών, ISP, internet exchange. Εντούτοις, υπάρχουν πολλά που πρέπει να γίνουν σύντομα, με πρώτο την εφαρμογή των μέτρων που έχουν εκδοθεί ήδη πριν πολλά χρόνια.

Ακτινογραφία των διασυνδέσεων στο Διαδίκτυο από τον ENISA

Δείτε ένα βίντεο από τον ENISA, στο οποίο περιγράφεται ο ρόλος του ευρωπαϊκού οργανισμού και οι τρέχουσες προκλήσεις.

Για την λεπτομερή «ακτινογραφία» των διασυνδέσεων στο Διαδίκτυο και τα μαθήματα που πήραν οι ISP από την μεγαλύτερη κυβερνοεπίθεση, ο ENISA παραπέμπει στα ακόλουθα άρθρα στον δικτυακό του τόπο και στο μπλογκ της αυστριακής Ομάδας Αντιμετώπισης Επειγόντων Περιστατικών που σχετίζονται με υπολογιστές, CERT:

• Inter‐X: Resilience of the Internet Interconnection Ecosystem
• Lessons from the Stophaus/CloudFlare/Spamhaus DDoS for ISPs
  

Ανθή Παναγιωτάκη

@techingr

Διαβάστε περισσότερα σχετικά με την επίθεση στο tech.in.gr:

• Ανεπαίσθητη, αν και υπαρκτή, «η μεγαλύτερη επίθεση στο Διαδίκτυο»

• Παγκόσμια επιβράδυνση του Διαδικτύου λόγω της μεγαλύτερης εισβολής στην ιστορία του

• Πόσο εύκολο είναι να αποκοπεί από το Ίντερνετ η Ελλάδα;

In.gr Τεχνολογία