ACCES GRATUIT
Atacuri DDOS
Atacurile "Denial of Service" si pericolul lor
Autor: Asist. Univ. Marius Cristian Pântea,
AISTEDA, Centrul Universitar din Alba Iulia
Motto:
: “Pe Internet, fiecare calculator e ca un nod sau ca o
frunzã dintr-un copac.
Dacã tai o creangã, rezultatul echivaleazã cu tãierea frunzei.”
Introducere
Noua civilizaþie informaticã se bazeazã pe disponibilitatea ºi
accesibilitatea informaþiei. Peste 125 de milioane de calculatoare sunt
interconectate între ele prin reþele complexe terestre sau prin satelit ºi
economii în valoare de 6 trilioane de dolari depind de corectitudinea ºi
rapiditatea operaþiilor fãcute cu ele. Cel ce poartã rãzboiul digital înarmat cu
tastatura ºi “ºoarecele”, în faþa unui terminal conectat la reþea, riscã foarte
puþin sã fie prins. Riscul de a fi judecat este ºi mai mic, iar cel de a fi
condamnat este aproape nul.
Criminalitatea informaticã este un fenomen real care, cel puþin pentru
anumite tipuri de infracþiuni, pare sã creascã exponenþial, chiar dacã privim
circumspecþi anumite cifre ce se doresc a fi spectaculoase. Se cunosc douã mari
categorii de criminalitate informaticã: infracþiuni sãvârºite cu ajutorul
calculatoarelor ºi infracþiuni sãvârºite împotriva calculatoarelor ºi reþelelor
de calculatoare. Atacurile de tip denial-of-service fac parte din a doua
categorie.
Atacurile denial-of-service se cunosc de câþiva ani. Ele pot închide
comunicaþiile electronice ale unei companii sau organizaþii pe o perioadã de
timp nedefinitã, deoarece nu existã o soluþie comprehensivã împotriva lor.
Prezentul articol este un semnal de alarmã doar prin simplul fapt cã prezintã
situaþia curentã în materia acestor atacuri. Desigur, sunt prezentate ºi anumite
moduri de a þine sub control acest flagel, unul dintre ele fiind consacrarea
legislativã explicitã.
Articolul continuă mai jos
I. Noþiunea “denial-of-service”
Atacul denial-of-service se poate defini ca o încercare explicitã din partea
fãptuitorului de a împiedica utilizatorul legitim al unui serviciu de a folosi
acel serviciu, prin unul dintre urmãtoarele moduri:
• acþiunea de a “inunda” o reþea, împiedicând astfel traficul normal din reþeaua
respectivã;
• acþiunea de a întrerupe conexiunile dintre douã sisteme având ca rezultat
întreruperea accesului la un serviciu;
• acþiunea de împiedicare a accesãrii serviciului de cãtre o anumitã persoanã;
• acþiunea de întrerupere a serviciului cãtre o anumitã persoanã.
Indiferent de grija, efortul ºi resursele alocate în securizarea împotriva
pãtrunderilor ilegale, sistemele conectate la Internet se confruntã cu pericolul
atacurilor denial-of-service în mare mãsurã din cauza celor douã caracteristici
fundamentale ale Internetului:
• Internetul este compus din resurse limitate ºi consumabile. Într-adevãr,
lãþimea de bandã, puterea de procesare, facilitãþile de stocare constituie þinta
obiºnuitã a unor asemenea atacuri, prin consumarea resurselor disponibile,
necesare funcþionãrii normale a unui serviciu on-line;
• Securitatea pe Internet prezintã un înalt grad de interdependenþã. În general
atacurile denial-of-service sunt lansate din puncte exterioare sistemul sau
reþele victimã. Aºadar, indiferent de gradul de protecþie de care se bucurã
anumite proprietãþi, expunerea la aceste tipuri de atacuri depinde de nivelul de
securitate al sistemelor aflate în amonte de ele, generalizând la întregul
Internet.
II. Delimitarea ºi clasificarea atacurilor
Mai întâi trebuie subliniat faptul cã nu toate întreruperile serviciilor,
chiar ºi cele care rezultã dintr-o activitate ilicitã, se pot considera atacuri
denial-of-service. Uneori o întrerupere a serviciului poate fi confundatã uºor
cu o încãrcare legitimã a reþelei. Pentru a da un exemplu, sã ne imaginãm
inundarea cu conectãri legitime a unui sit de web ca urmare a unor evenimente
majore, precum dezastrul din 11 septembrie 2001. Utilizatorii ar putea întâmpina
dificultãþi în conectare pentru simplul motiv cã cei mai mulþi dintre ei
încearcã sã se conecteze în acelaºi timp, fiind exclusã în acest caz
posibilitatea unui atac denial-of-service.
Anumite atacuri se pot executa, având la dispoziþie resurse modeste,
împotriva unor situri sofisticate. Ele se cunosc sub denumirea de atacuri
asimetrice.
În general se cunosc trei tipuri de atac:
A. consumarea de resurse rare, limitate ºi greu de înlocuit;
B. distrugerea sau modificarea informaþiilor de configurare;
C. distrugeri fizice sau modificarea echipamentelor de reþea.
A. Calculatoarele ºi reþelele care le cuprind au anumite necesitãþi în
funcþionarea lor – lãþime de bandã, memorie sau spaþiu pe disc, timp de
procesare, structuri de date, acces la alte calculatoare sau reþele, precum ºi
unele resurse vitale – alimentarea cu energie electricã, ventilaþie ºi chiar
rãcire cu apã.
1. Conexiunea la reþea. Cele mai frecvente
atacuri sunt îndreptate împotriva conexiunii la reþea, având ca scop
împiedicarea legãrii posturilor la reþea. În atacurile de tip “SYN flood” se
iniþiazã procesul de conectare la maºina victimã, dar se evitã faza de terminare
a conexiunii. În acest timp maºina victimã rezervã un numãr limitat de structuri
de date necesare realizãrii conexiunii iniþiate. Ca rezultat, conexiunile
legitime sunt oprite deoarece maºina victimã aºteaptã terminarea conexiunilor
false. Acesta este un exemplu de atac asimetric.
2. Folosirea propriilor resurse împotriva
victimei. Într-un astfel de atac intrusul foloseºte pachete UDP modificate de la
un serviciu la altul, consumând astfel toatã lãþimea de bandã alocatã între ele.
În acest fel conectivitatea reþelei pentru toate calculatoarele din aceeaºi
reþea este compromisã.
3. Consumarea lãþimii de bandã. Un intrus
poate fi în stare sã consume toatã lãþimea de bandã disponibilã dintr-o reþea
prin generarea unui mare numãr de pachete conþinând informaþii de control ºi
dirijarea lor prin acea reþea. Se cunosc inundãri cu pachete TCP, ICMP (ping
floods) ºi pachete UDP. Mai mult, fãptuitorul poate coordona mai multe maºini de
pe reþele diferite pentru obþinerea acelui efect.
4. Consumarea altor resurse. O resursã
preferatã de intruºi este spaþiul disponibil pe disc. Acesta se poate consuma în
multe moduri: bombardamentul cu corespondenþã (mail bombing) - generarea de
mesaje excesive de poºtã electronicã; generarea intenþionatã de erori care se
înregistreazã automat de cãtre sistem; copierea de fiºiere lungi în spaþiile de
ftp ale reþelelor. O altã tehnicã speculeazã blocarea conturilor ºi drepturilor
de acces în urma unui numãr de încercãri nereuºite. De asemenea pot fi victime
ale atacurilor ºi alte echipamente legate în reþea: imprimantele,
înregistratoarele cu bandã, conexiunile.
B. Distrugerea sau modificarea informaþiilor de configurare. Se ºtie
faptul cã un calculator cu o configurare inadecvatã nu va funcþiona bine sau nu
va funcþiona deloc. Spre exemplu, dacã un intrus poate modifica informaþiile de
rutare de pe un server sau ruter, reþeaua deservitã va cãdea.
C. Distrugerea fizicã sau modificarea echipamentelor de reþea. În acest
tip de atac esenþialã este securitatea fizicã a echipamentelor.
III. O incursiune în interiorul unui atac
Atacul denial-of-service decurge dupã un scenariu cu etape pregãtitoare ºi
dezlãnþuirea efectivã a atacului. Fãptuitorul foloseºte un software client
pentru trimiterea de comenzi cãtre noduri din reþea. Nodurile reþelei vor
trimite mai departe bombardamente cu pachete cãtre sistemele victimã. În mod
evident, softul client utilizat nu provine în mod direct de la sistemul
atacatorului, ci de la un sistem compromis, aflat la câteva noduri distanþã de
terminalul acestuia. De aici se trimit comenzile de atac cãtre nodurile ce vor
genera atacul efectiv. Amploarea unui atac poate fi mare sau foarte mare, dacã
ne gândim cã nodurile implicate pot numãra mii, fiecare trimiþând mii de pachete
pe minut cãtre sistemul victimã. Având la dispoziþie mii de noduri bine
dispersate geografic, milioanele de pachete de informaþie vor paraliza teoretic
orice victimã, inclusiv victime care folosesc mai mulþi ISP, conexiuni
redundante ºi rutere de bandã largã.
Potrivit cu noile tendinþe în tehnologia atacurilor denial-of-service, se
remarcã trei momente: desfãºurarea , folosirea ºi impactul instrumentelor de
atac.
Instrumentele de atac au evoluat rapid în gradul de sofisticare, ele scanând
dupã potenþialele victime prin cãutarea de vulnerabilitãþi. Primele instrumente
de scanare generau liste de potenþiale victime. Evoluþia s-a produs în sensul
automatizãrii proceselor de scanare, de identificare a vulnerabilitãþilor ºi de
compromitere a sistemelor. Cel mai bun exemplu de astfel de instrumente îl
constituie viermii.
Un vierme este un cod informatic dãunãtor cu autopropagare. Spre deosebire de
viruºi, care aºteaptã ca utilizatorul sã acþioneze într-un fel pentru
continuarea propagãrii, viermii se pot propaga de la sine. Înaltul grad de
automatizare al viermilor la care se adaugã relativa rãspândire a
vulnerabilitãþilor pe care le exploateazã a permis compromiterea unui mare numãr
de sisteme în doar câteva ore (viermele “Code Red” a infectat mai mult de 250
000 de sisteme în numai 9 ore pe 19 iulie 2001).
Una dintre cele mai recente tendinþe înregistrate este compromiterea
ruterelor. Aceste echipamente de reþea sunt preferate de intruºi ca platforme de
atac, pentru apartenenþa lor la infrastructura reþelelor, spre deosebire de
servere, la care accesul ºi monitorizarea se fac mai des. Ruterele au din
fabricaþie parole de acces implicite, conþinute de orice documentaþie tehnicã.
Dacã parolele nu sunt schimbate printr-o configurare atentã intruºii sunt pur ºi
simplu invitaþi sã obþinã un acces neautorizat.
În general, impactul unui atac depinde de aptitudinea acestuia de a consuma
resursele disponibile. Impactul se poate multiplica dacã luãm în considerare
proximitatea în reþea a sistemului victimã faþã de alte sisteme care se folosesc
la lãþimea de bandã a primului. Activitatea de scanare ºi de propagare poate
genera o saturare a reþelelor prin furtunile de informaþii de trafic generate de
activitatea viermilor (address resolution protocol – ARP).
IV. Impactul economic ºi mãsuri de prevenþie
Datoritã unei naturi asimetrice a pericolului (un impact imens cu resurse
minime), denial-of-service rãmâne un mod de operare preferat de criminalitatea
informaticã.
Evaluarea cât mai aproape de realitate a pagubelor suferite de organizaþii ºi
de companii depinde de mãsura în care acestea le raporteazã instituþiilor
specializate în reacþiune faþã de atacurile informatice. Cercetãtorii de la
Cooperative Association for Internet Data Analysis – CAIDA au raportat în
februarie 2001 un numãr de 12 805 atacuri în peste 5 000 de posturi distincte de
pe Internet, aparþinând a numai puþin de 2 000 de organizaþii, ºi asta în
intervalul a trei sãptãmâni.
Se pare cã totuºi cel mai amplu impact al acestor evenimente de securitate
este timpul ºi resursele consumate pentru reparaþii. Publicaþia “Computer
Economics” estima cã pagubele viermelui Code Red se cifrau la 2,6 miliarde de
dolari, iar viermele Sircam a costat alte 1,3 miliarde de dolari (pentru
comparaþie, se estimeazã cã 9 din 11 atacuri vor costa aproximativ 15,8 miliarde
dolari în restaurare informaticã ºi a utilitãþilor de comunicaþie). Se pot
înregistra desigur ºi alte pagube colaterale din partea sistemelor vecine
afectate în performanþele de operare.
Rãspunsul dat unui atac informatic în general este de fapt rãspunsul la
câteva întrebãri: Cât de important este Internetul pentru afacerea
dumneavoastrã? Care sunt ºansele ca un atac sã loveascã în compania
dumneavoastrã? Ce nivel de risc este acceptabil? Cât timp poate funcþiona
afacerea fãrã serviciile electronice? Într-adevãr, apãrarea împotriva atacurilor
denial-of-service este departe de a fi o ºtiinþã exactã.
Din punctul de vedere al organizãrii afacerii se contureazã trei abordãri:
• Concepþia afacerii în vederea supravieþuirii. Trebuie avute mereu în vedere
canalele clasice de comunicare ca alternativã la oprirea comunicaþiilor
electronice pe un termen nederminat;
• Concepþia reþelelor în vederea supravieþuirii. Se pot lua mãsuri diverse,
mergând de la absorbþia atacului, închiderea serviciilor noncritice ºi pânã la
separaþia serviciilor, acordarea sistemelor la minimul acces, cerut de
activitatea de afaceri;
• Aderarea la bune practici. Întotdeauna ISP poate fi într-o poziþie mai
avantajoasã pe planul securitãþii. Cea mai bunã prevenþie constã în stabilirea
de relaþii de colaborare, deoarece interesul manifestat este prin esenþa sa
reciproc.
V. Prevederi legale în materia atacurilor denial-of-service
Cele expuse pânã acum demonstreazã cu succes necesitatea unei reacþii
sociale, prin intermediul sistemului de drept, împotriva acestui comportament
criminal. Reþelele de comunicaþii electronice împreunã cu sistemele informatice
legate la ele fac parte tot mai mult din viaþa noastrã cotidianã.
Existã motive suficiente pentru a conferi o consacrare legislativã distinctã
de dreptul comun materiei securitãþii informatice, alãturi de mãsurile pe care
viitoarele tehnologii de comunicaþie vor trebui sã le adopte.
În privinþa pericolului social generic ºi concret infracþiunile informatice
se deosebesc net faþã de infracþiunile sãvârºite cu ajutorul calculatorului.
Acestea din urmã pot fi considerate prelungiri ale unor infracþiuni clasice, în
timp ce primele sunt prin esenþa lor specifice societãþii informaþionale.
Decizia Cadru a Consiliului European asupra atacurilor împotriva sistemelor
informatice face referire la atacurile denial-of-service în cadrul reglementãrii
modalitãþilor de vãtãmare a sistemelor informatice prin atacuri criminale.
Printre victimele atacurilor nu se aflã numai organizaþii; efectele se produc ºi
faþã de indivizi.
Convenþia asupra cibercriminalitãþii, semnatã la Budapesta anul trecut, de
reprezentanþi ai 26 de state, printre care ºi România, exprimã îngrijorarea cu
privire la riscul folosirii reþelelor de calculatoare ºi a informaþiei
electronice în activitatea infracþionalã. S-a instituit ca o prioritate politica
penalã comunã în domeniul cibercriminalitãþii, obiectul convenþiei fiind
adoptarea unei legislaþii pertinente.
În România legislaþia în vigoare cu conþine o descriere clarã a atacului
denial-of-service nici în cadrul infracþiunilor nici cu altã ocazie. În Legea
comerþului electronic sunt menþionate anumite infracþiuni în legãturã cu
folosirea sistemelor informatice în falsificarea instrumentelor de platã ºi a
tranzacþiilor fãrã consimþãmânul prealabil al celor implicaþi.
Camera Deputaþilor a înaintat o propunere de modificare a codului penal român
prin care se introducea un ultim capitol intitulat “Infracþiuni în ciberspaþiu”.
Aici se face referire expresã la atacul denial-of-service în cadrul infracþiunii
de intervenþie în sistem atunci când se explicã înþelesul dereglãrii
semnificative în sistemele informatice. Chiar dacã ambiþiosul proiect nu a fost
aprobat pânã astãzi este o dovadã a iminenþei ratificãrii de cãtre România a
prevederilor Convenþiei semnate la Budapesta.
Care va fi pasul urmãtor în aceastã luptã? Poate cã ar trebui sã urmeze
consacrarea legislativã a autorizãrii constituirii de probatorii în format
digital ºi desigur folosirea acestora în procesul penal. În acest fel ar putea
fi realizatã pe deplin, în sensul dreptului penal, prevenþia generalã a
societãþii împotriva atacurilor informatice. Trebuie sã se ajungã într-un moment
în care cei tentaþi spre o asemenea conduitã criminalã conºtientizeazã riscul de
a fi prinºi, de a fi judecaþi ºi de a fi condamnaþi.
Bibliografie:
• Overview of Attack Trends - CERT® Coordination Center, www.cert.org
• Kevin J. Houle, George M. Weaver, CERT/CC – Trends in Denial of Service Attack
Technology, octomber 2001
• Allen Householder, Art Manion, Linda Pesante, George M. Weaver, CERT/CC -
Managing the Threat of Denial-of-Service Attacks, octomber 2001
• David Moore, Geoffrey M. Voelker and Stefan Savage - Inferring Internet
Denial-of-Service Activity
• Simple Nomad – BindView RAZOR Team – Distributed Denial of Service Tactics, 14
feb 2000
• Council of Europe - Convention on Cybercrime, Budapest, 23 nov. 2001
• Council of Europe - COUNCIL FRAMEWORK DECISION on attacks against information
systems, apr. 2002
• Proiectul de Lege nr. 21 din 01 02 2002 al Camerei Deputaþilor privind
modificarea codului penal.
--
Acest material este destinat exclusiv informării dumneavoastră personale, conform termenilor și condițiilor de furnizare a serviciilor avocatnet.ro. Conform legislației în vigoare, este strict interzisă copierea, reproducerea, redistribuirea, republicarea sau orice altă formă de reutilizare a acestui conținut, integral sau parțial, fără consimțământul scris al avocatnet.ro. Nerespectarea acestor prevederi poate atrage răspunderea civilă, contravențională sau penală.
Comentarii articol (6)
^Dar destul de putini sunt cei care au o asemenea experienta,indemanare...
Majoritatea folosesc programe tip bot net.
Si da, protectie 100% nu exista iar solutiile descrise de Liviu se pot aplica doar atacurilor foarte reduse. Daca va confruntati cu un atac major atunci fara exagerare nu exista infrastructura informatica la ora actuala sa nu intimpine probleme majore. Daca nu credeti aducem argument atacurile din 6 august 2009 cind Twitter si Facebook au fost literalmente pe butuci ore intregi in fata unui atac concertat de rusii care doreau sa-i inchida gura unui bloger georgian. Un alt exemplu, atacul din iulie 2009 asupra unor site-uri din Corea de Sud si USA realizate cu ajutorul viermelui MyDoom aparut in 2004. In 2009 inca mai erau in jur de 50.000 de computere infectate in lume si multe din acestea au fost folosite in atacul din iulie. Acum ginditi-va la un atac simultan de pe 50.000 de calculatoare compromise avind locatii diferite... N-as vrea sa fiu in locul administratorilor :(
Dar ceva destul de bun este un firewall bine configurat eu unu folosesc csf .
Sau un router cisco.
Astfel de atacu sa fiu sincer pe retea mea am sa nu exagerez dar cred ca peste 10 pe zi si nu se poate face absolut nimic .
Anunt mai depart dau logurile celor de la RDS dar totu se opreste aici .
Din pacate companiile din romania nu pot trage la raspundere atacatori .Cel putin momentan singura posibilitate ramane sa fim si noi inarmati cu ultimele versiuni de SYNFLOOD.