Internet Rzeczy zablokuje nam Internet? Piątkowy DDoS był tylko próbą przed większym celem
Chyba każdy już słyszał o tym ogromnym ataku DDoS, któryuderzył w ostatni piątek w serwery DNS firmy Dyn, wykorzystywaneprzez najpopularniejsze serwisy internetowe. W jednej chwiliniedostępne się stały Amazon, Reddit, Netflix, Spotify, GitHub,Twitter – i wiele innych. Przerażona sytuacją branża zadajesobie pytanie: czy istnieje jakiś sposób na poradzenie sobie zatakami, które rzucić na kolana mogą nawet największych?Znalezienie takiego sposobu jest sprawą coraz pilniejszą, gdyżludzie stojący za piątkowym atakiem już zapowiadają kolejny, naznacznie większą skalę.
24.10.2016 16:22
Zaczęło się 21 października o godzinie 13:10 naszego czasu,kiedy to dziesiątki milionów urządzeń zaczęło przeciążaćserwery DNS firmy Dyn. Trzy niezależne fale ataku uderzały wposzczególne centra danych, całkowicie blokując jakiekolwiek próbyrozwiązania domenowych nazw korzystających z nich serwisówinternetowych. Nawet publiczne DNS-y (np. google’owy 8.8.8.8) niemogły sięgnąć serwerów Dyn. Jedynie użytkownicy OpenDNS,którego serwery wykorzystują buforowanie zapytań, poradziły sobiez tą niedostępnością. Dopiero około godziny 23 naszego czasuudało się całkowicie zablokować atak.
Z przeprowadzonych nad atakiem badań wynika, że wśród tychmilionów adresów wykorzystanych przez napastników, poczesną rolęodegrały urządzenia Internetu Rzeczy, przejęte przez szkodnikaMirai. Za sprawą publicznie dostępnego koduźródłowego, teraz każdy może zrobić sobie własny botnetMirai – i najwyraźniej robi. Według danychfirmy Malwaretech, obecnie w Sieci znajduje się 1,4 mln zarażonychnim urządzeń, z czego online jest obecnie ponad 163 tysiące.
Możliwości Mirai mogliśmy zobaczyć całkiem niedawno. Jeden ztakich botnetów został we wrześniu br. wykorzystany dozaatakowania strony internetowej znanego badacza bezpieczeństwa,Briana Krebsa. Kilka godzin nieprzerwanego 620 Gb/s sprawiło, żefirma Akamai, zapewniająca usługę osłony jego strony,podziękowała mu za dalszą współpracę i kazała szukać nowegodostawcy. A możliwości te będą tylko rosły. Chińska firmaHanzhou Xiongmai Technology właśnie przyznała, że w piątkowymataku wyskorzystano setki tysięcy jej systemów telewizjiprzemysłowej, których słabe loginy i hasła uczyniły je łatwymłupem botnetu.
Wiadomo jedynie, że wykorzystane w tym ostatnim ataku botnetyMirai nie miały nic wspólnego z tym, którym posłużono się, byzlikwidować stronę Krebsa. Grupa NewWorld Hackers, która utrzymuje, że jest odpowiedzialna zarzucenie na kolana serwerów Dyn, zapowiada, że dopiero pokażeswoje prawdziwe możliwości – to co zobaczyliśmy było tylkotestem. Napastnicy chcą wziąć się za coś znaczniepoważniejszego. Przynajmniej potencjalnie jest to jak najbardziejmożliwe, skoro według firmy badawczej IHS Markit w typowymgospodarstwie domowym w USA znajdziemy już 13 podłączonych doInternetu Rzeczy urządzeń.
Co ciekawe, tym następnym celem miałby być… rosyjski rząd.Należący do grupy haker o pseudonimie Prophet, w rozmowie zreporterem AP wyznał, że atak na rosyjskie serwery będzie odwetemza rzekome cyberataki na Stany Zjednoczone, w tym ujawnieniedokumentów Partii Demokratycznej i sztabu wyborczego HillaryClinton.
To wszystko może być jedynie sprytną zmyłką, by odwrócićuwagę od realnych zastosowań tych budowanych na bazie InternetuRzeczy botnetów. W momencie pisania tego tekstu trwał przecieżpotężny atak DDoSna sieć firmy Level 3, przeprowadzany właśnie przez jakiś botnetInternetu Rzeczy – co by to miało mieć wspólnego z rosyjskimrządem? Warto podkreślić, że to eksperci Level 3 prowadziliśledztwo w sprawie tych zagrożeń, odkrywając kolejny botnet onazwie Bashlight, który przejął już niemal milion urządzeń.Pojawiają się głosy, że takie ataki DDoS posłużą przedewszystkim do paraliżowania komercyjnych usług – niewykluczone żez całkiem komercyjnych pobudek.
Czy można jakoś temu zapobiec? Najbardziej obiecująco wyglądaPEIP (Path Enhanced IP), propozycja Dona Cohena, polegająca narozszerzeniu protokołu IP o mechanizm pozwalający na ustalanieścieżek pakietów wysłanych do docelowego hosta. Obecnie nie majak ustalić przez które routery podróżował pakiet do swojegopunktu docelowego – a to pozwala napastnikom na łatwe zalewaniepakietami swoich ofiar. PEIP pozwoliłby jednak na ograniczanie ruchuwedług określonych ścieżek, pozwalając łatwo blokowaćnajgorsze trasy ataku. Ze szczegółami tej propozycji zapoznać sięmożna tutaj.
Szczerze mówiąc, wydaje PEIP wydaje się nam daleko bardziejsensowny niż wszystkie proponowane środki prawne, takie jakcertyfikowanie sprzedaży urządzeń Internetu Rzeczy czy zaostrzeniekar dla hakerów. Nawet jeśli bowiem te tanie chińskie kamerki inagrywarki wideo znikną ze sklepów w USA czy Unii Europejskiej, toi tak nie wyeliminujemy prywatnego importu przez Aliexpress. Ludzibezpieczeństwo nie interesuje, interesuje ich cena, a ta w wypadkuurządzeń takich jak te produkowane przez Hanzhou XiongmaiTechnology potrafi być nawet trzykrotnie niższa.