4.12.2015 | Blogg

Vegið úr launsátri

advania colors line

 Þessi færsla var upprunalega gefin út 27. maí 2015 en við gefum hana út aftur vegna síendurtekinna árása á íslensk vefsvæði í lok nóvember og byrjun desember. 

Ef þú vilt nánari upplýsingar um þessi mál má senda póst á höfund

Á undanförnum árum hafa svokallaðar Denial of Service (DoS) árásir færst mjög í vöxt allstaðar í heiminum, en þær miða að því að hindra eða stöðva starfsemi þess sem verið er að ráðast gegn. Skotmörkin eru oft mikilvægar þjónustur á vefnum, gjarnan vefsetur en einnig póstþjónar og jafnvel bakendakerfi. 

Hvað eru DoS árásir?

Útskýra má DoS árás með dæmi. Ímyndum okkur að ég væri ósáttur við þjónustufyrirtæki og vildi hefna mín með því að hindra að hægt sé að hringja í aðalsímanúmer þess. Ég gæti fengið vini og vandamenn með mér í lið og koma því þannig fyrir að allir hringdu í númerið á sama tíma. Ef nógu margir taka sig saman hættir símkerfi fyrirtækisins að ráða við símtalafjöldann með tilheyrandi óþægindum fyrir það og viðskiptavini þess. Þetta er raunar dæmi um svokallaða DDoS árás sem er tegund af DoS árás. DDoS er skammstöfun á Distributed Denial of Service. Í slíkum árásum er uppruni árásar dreifður og kemur þá frá tölvum sem geta verið staðsettar út um allan heim. 

Reynt á þolrif nettenginga

Í netheimum virkar þetta eins. Þeir sem gera DoS árásir reyna á þolrif nettenginga, vélbúnaðar eða hugbúnaðar til að valda þjónusturofi og bilunum. Við hjá Advania rekum umfangsmikla hýsingarþjónustu fyrir ótal viðskiptavini af öllum stærðum og gerðum og höfum mikla reynslu af DoS árásum. Raunar eru DoS árásir af ýmsum stærðum og gerðum og þær eru gerðar af ýmsum ástæðum. Þar má til dæmis nefna eftirfarandi: 

  • Aðilar sem eru að prófa sig áfram - áhugadrifnir
  • Aðilar sem vilja valda almennum usla eða gera skemmdarverk
  • Aðilar sem vilja ná einhverju fram, til dæmis því að efni sé fjarlægt af vef eða einhverjum þjónustuaðila sé vikið út af gagnaveri
    Skipulögð glæpagengi gera DoS árásir til að kúga fé úr þeim sem verður fyrir árásinni 

Hver er mín áhætta?

DoS árásir eru stigvaxandi vandamál. Við hjá Advania höfum fjölmörg dæmi um viðskiptavini sem hafa lent í hremmingum vegna þeirra. Eins og nefnt var hér að ofan hafa fyrirtæki lent í fjárkúgun eða beinlínis verið ráðist á þau til að koma þeim úr rekstri. Raunar met ég stöðuna þannig að ef þú lesandi góður rekur einhverja mikilvæga þjónustu á netinu er það aðeins tímaspursmál hvenær þú finnur beint eða óbeint fyrir árásum af þessu tagi ef það hefur ekki gerst nú þegar. Til að meta rekstraráhættu af DoS árásum má fara í gegnum neðangreindan spurningarlista: 

  • Er ég með mikilvæga þjónustu á netinu sem er viðkvæm fyrir þjónusturofi og árásum?  Undir þennan flokk falla til dæmis vefsetur fyrirtækja, póstgáttir og nafnaþjónar
  • Hvaða afleiðingar hefur það ef tengingar mínar við netið liggja niðri í langan tíma? Er það orðsporsáhætta fyrir fyrirtækið? Eru miklir fjárhagslegir hagsmunir í húfi?
  • Hvaða áhrif hefur það fyrir reksturinn og þjónustu við viðskiptavini ef starfsmenn fyrirtækisins geta ekki notað netið í langan tíma?
    Hvaða áhrif hefur rof á nettengingu á greiðslugáttir og posa í vefverslun eða í verslunum?

Við ráðleggjum öllum okkar viðskiptavinum að íhuga vel þessa þætti og grandskoða hvaða varnir eru nauðsynlegar óháð því hvort fyrirtæki hafi lent í árásum áður. 

Hvernig virka DoS árásir?

Eins ótrúlega og það hljómar er tiltölulega auðvelt að kaupa DDoS árás í gegnum netið. Í slíkum tilfellum er greitt fyrir umfang og tímalengd árása. Við förum ekki nánar út í það enda á þessi pistill ekki að fela í sér kennslu í því hvernig á að gera DDoS árásir! 

Árásir úr stofunni heima

Algengt er að árásaraðili notar sinn eigin búnað við árásir. Mjög misjafnt er hversu öflugur búnaður er notaður, það þekkist að heimatölvur séu notaðar og einnig að menn hafi leigt eða keypt búnað sem komið er fyrir í gagnaverum sem hafa stórar nettengingar.

Drónar og bottar notaðar við árásir

Stærstu árásirnar koma yfirleitt frá þeim sem stela aðgangi að tölvubúnaði sem er misnotaður í árásir. Þá nýta menn til dæmis tölvuveirur eða trójuhesta til að dreifa hugbúnaði sem er notaður til að fjarstýra viðkomandi tölvum eða snjalltækjum. Sýkt tæki eru kölluð bottar (bots) eða drónar (drones). Eins og gefur að skilja þá verða árásirnar öflugri eftir því sem nettengdu tækin sem beitt er til að gera árásina eru fleiri. Það er hægt að koma sér upp gríðarlega stórum og öflugum netum með þessum aðferðum.

Það er einfalt og ódýrt að setja upp DoS árás með því að nota heimilistölvu á heimatengingu en áhrifamáttur árása með þessum hætti er oftast tiltölulega lítill
Að leigja DDoS þjónustu er einfalt og getur verið afar áhrifamikið en er dýrt
Með því að leigja eða kaupa búnað og koma fyrir í gagnaveri hægt að gera stórar árásir en slíkt er flókið og dýrt í framkvæmd
Að koma sér upp fjarstýrðu neti af sýktum drónum er flókið í framkvæmd en það kostar lítið og hægt er að gera stórar árásir með slíkum hætti

Menn með einbeittan brotavilja, margfalda árásargetu sína með því að spegla árásarumferðina, svokallaðar “Reflection Attacks” Slíkar árásir hafa orsakað svo mikið álag að milljónir netnotenda hafa fundið fyrir þeim og rata slík mál reglulega í heimspressuna.

Er hægt að finna árásaraðila?

Árásir eru yfirleitt gerðar undir fölsku flaggi. Þá nýta menn sér svokallaðar “Randomly Spoofed“ IP tölur og það er erfitt verkefni að finna hvaða tæki eru notuð við árásina og enn erfiðara að komast að því hver stýrir tækjunum. Þó upprunaland árása finnist getur það tekið óralangan tíma að finna þá seku. Árásaraðilar finnast oft þegar þeir grobba sig af árásum á spjallsíðum eða þegar þeir senda hótunarbréf. Þegar árásaraðilar finnast getur verið flókið verkefni að draga þá fyrir dómstóla.

Hvernig er hægt að stoppa DoS árásir?

Það má flokka DoS árásir í tvennt til einföldunar.

“Application” árásir eru yfirleitt minni árásir sem nýta galla í hugbúnaði til að valda þjónusturofi eða öðrum skaða. Flestar slíkar árásir má stöðva með hugbúnaðarviðbótum í eldveggjum eða með vélbúnaði/hugbúnaði frá fyrirtækjum sem sérhæfa sig í DoS vörnum.

“Volumetric” árásir fela það í sér að gríðarlegt magn af netumferð er steypt á einhverja þjónustu á netinu. Þetta heldur viðkomandi þjónustu niðri og neyðir jafnvel netþjónustuaðila eða hýsingaraðila til að loka á viðkomandi þjónustu til að verja aðra viðskiptavini sína. Eina leiðin til að verjast slíkum risaárásum er að hafa meiri umferðargetu, öflugra vélarafl og hugbúnað sem er nýttur til að sía út árásarumferð sem heldur eðlilegri umferð gangandi. Slíkt er flókið í framkvæmd og getur kostað mikla fjármuni reyni fyrirtæki að gera slíkt upp á sitt einsdæmi. Menn nýta sér því sérhæfða þjónustuaðila til að verjast árásum af þessu tagi.

Misjafnir sauðir í mörgu fé

Þessi þjónusta kallast “Scrubbing” og er veitt af sérhæfðum þjónustuaðilum. Þar sem DoS er mjög vaxandi vandamál hafa sprottið upp fjölmörg fyrirtæki á þessu sviði. Þau veita misgóða þjónustu og það getur verið flókið að átta sig á hvaða vörn skal nýta. Það mætti meira að segja halda því fram að þessi geiri sé ennþá í „villta vestrinu“ þar sem fyrirtæki kalla lausnir og þjónustu sömu nöfnum þrátt fyrir að virkni og gæði sé ólík.

Samstarf við leiðandi aðila 

Undanfarin ár höfum við hjá Advania varist DoS árásum daglega og lagt í mikla vinnu við að finna réttu lausnirnar á þessu sviði, bæði fyrir okkur sjálf og viðskiptavini okkar. Við vinnum til dæmis náið með leiðandi aðila á þessu sviði sem heitir Staminus Communications. Á Haustráðstefnu Advania í fyrra hélt Matt Mahvi frá Staminus afar áhugaverðan fyrirlestur sem fór afar vel yfir áskoranir sem tengjast DoS og þeim vörnum sem hægt er að beita. 

 

Advania er með lausnir í DDoS vörnum og ef þú lesandi góður ert með spurningar sem tengjast DoS árásum þá skaltu ekki hika við að hafa samband.

TIL BAKA Í EFNISVEITU