Przy okazji pierwszej debaty prezydenckiej powrócił temat ataków hakerskich i właściwego zabezpieczania systemów teleinformatycznych. Zaraz po incydencie pojawiło się pytanie: czy był to atak hakerski typu DDoS czy też zwyczajna awaria?
Zazwyczaj jednoznaczna ocena sytuacji, na gorąco tj. w chwili wystąpienia problemu takiego jak paraliż serwisu internetowego, jest problematyczna. Wyobraźmy sobie, że z 10 mln ludzi oglądających debatę, tylko 1% – czyli 100 tys. osób – chce odwiedzić tę samą stronę internetową. To oznacza, że niemal równocześnie 100 tys. zapytań jest wysyłanych do serwera http, co zwyczajnie może sparaliżować jego pracę. W praktyce tak samo wygląda atak typu DDos, z tą różnicą że w jego przypadku, ruch jest generowany sztucznie i celowo przez cyberprzestępcę. Z pewnością niedzielne wydarzenie, pokazało jak ważne jest zabezpieczenie przed atakami hakerskimi oraz zapewnienie odpowiedniego zaplecza technicznego portali i stron firmowych.
Czym dokładnie jest atak DDoS?
Atak DDoS, który może być potencjalnym winowajcą zablokowania portalu lub strony internetowej to atak na system teleinformatyczny, polegający na zajęciu wszystkich wolnych zasobów obliczeniowych lub wysyceniu pasma, przeprowadzany równocześnie z wielu komputerów podłączonych do sieci. Ataki tego typu są w stanie skutecznie sparaliżować pracę każdego serwisu internetowego, który nie jest właściwie zabezpieczony. Narażeni są na nie wszyscy właściciele stron internetowych - od drobnych przedsiębiorców posiadających sklepy internetowe po globalne przedsiębiorstwa.
Według ekspertów nasila się liczba tego typu zjawisk. Jak jest skala DDoS w Polsce?
Ataki typu DDoS nie są nowym zjawiskiem, pierwszy atak w Polsce miał miejsce w 2006 roku. W ostatnich latach zaobserwowano natomiast znaczny wzrost ich występowania. Według danych Arbor Networks przygotowanych dla Exatela, o zwiększającym się zagrożeniu płynącym ze strony ataków DDoS świadczą liczby: w 2014 roku miało w Polsce miejsce ponad 8300 ataków, z czego najdłuższy trwał 7 dni 23 godziny i 51 minut a średnia długość ataku w tym okresie wynosiła 27 minut. O wzroście dynamiki ataków cyberprzestępców w ostatnich latach, alarmują też organizacje rządowe. Na stronie cert.gov.pl dostępny jest Raport o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014, zawierający np. spis zaleceń dotyczący podnoszenia zdolności odpierania ataków DDoS.
Czy DDoS to także biznes?
Z pewnością cyberprzestępcy na tym zarabiają. Zatrważające jest, że usługę ataku DDoS można dziś kupić w Internecie, dokładnie w taki sposób jak kupuje się odzież czy żywność. Atak może zostać przeprowadzony zarówno z inicjatywy hakera jak i znudzonego nastolatka. Warto dodać, że cena ataku typu DDos jest niska – standardowy koszt takiego ataku to kilkadziesiąt dolarów. Trudno też odpowiedzieć na pytanie o przyczynę ataków typu DDoS. Mogą być to działania działanie obliczone na konkretny efekt, ale równie dobrze motywacją autorów ataku mogą być chęć zrobienia żartu.
Jakie mogą być konsekwencje ataków?
Najczęściej brak działania serwisu internetowego wiąże się z realną stratą finansową dla jego właściciela. W przypadku ataków na serwisy internetowe instytucji finansowych, ich skutkiem może być utrata zaufania klientów, co poza niewątpliwymi stratami wizerunkowymi wiąże się także ze stratami finansowymi. Dlatego tak ważne jest właściwe zabezpieczenie. Tradycyjne zabezpieczenia w zderzeniu z atakiem typu DDoS są z wielu przyczyn nieskuteczne m.in.: nie są w stanie obsłużyć zwiększonego ruchu sieciowego, chronią tylko przed typowymi zagrożeniami, nie współpracują z systemami ochrony w Chmurze, czy dlatego, że obsługują je osoby ze zbyt małym doświadczeniem w tym zakresie.
Jak się zatem chronić?
Właściwą ochronę przed atakami typu DDoS może zapewnić tylko sprawne połączenie wykorzystania odpowiednich narzędzi ochronnych ze specjalistami którzy nimi zarządzają. Złożony ekosystem narzędzi filtrujących (czyszczących) i przekierowujących ruch oraz modyfikujących konfigurację sieci w czasie NRT (near real-time) może być efektywnie zarządzany (również w kontekście czasu reakcji) przez wyspecjalizowane zespoły ekspertów od bezpieczeństwa, coraz częściej określanych jako SOC (Security Operations Center). Działania prewencyjne, szybka i skuteczna reakcja podczas ataku i działania dochodzeniowe już po jego zakończeniu – to wszystko razem daje uniwersum bezpieczeństwa przed atakami DDoS.