Миналият петък се очакваше да бъде просто един нормален край на поредната есенна седмица. Точно в петък, на 21-ви октомври, се случи една от най-сериозните и масови DDoS атаки (distributed-denial-of-service attack), които интернет е претърпявал през последните години. Проблемът този път е, че кибер атаката беше насочена не към конкретен сайт, а директно към “сърцето на интернет”, което създаде сериозни затруднения за достъп до редица топ уебстраници.
В общи линии спряни бяха всички мейнстрийм услуги и сайтове, които съвременният интернет потребител ползва. Три пъти в рамките на един ден масирани DDoS атаки причиниха недостъпността на сайтове като New York Times, The Verge, CNN, Spotify, Netflix, Playstation Network, Twitter, Reddit, Wired, People, Recode, The Guardian, Business Insider, FoxNews, HBO Now и още.
Въпросната атака успява да свали голяма част от интернета за повечето хора в Източното крайбрежие на САЩ, а в последствие и в Западното и в някои части на Западна Европа.
Първата атака започва около 7 сутринта на Източния бряг (2 часа следобед българско време) и е насочена към Dyn - компания за интернет инфраструктура, чието седалище е в Ню Хампшър. Атаката продължава около 2 часа. Сървърите на компанията са атакувани втори път малко преди обед. Dyn съобщават и за трета вълна от атаки малко след 4 следобед (11 вечерта българско време). И в трите случая трафикът към сървърите на Dyn е блокиран от лавина от зловредни заявки от десетки милиона IP адреса. От компанията описват събитията като "много сложна и всеобща атака", пише Webcafe, базирайки се на Wired.
Няколко часа след първата атака започнаха прекъсвания на сайтове по цялата част на света. Потребители от Ню Йорк, та чак до Малайзия започват да изпитват затруднения с достъпването на повече от 1200 уеб домейна.
На практика услугите на Dyn осигуряват преобразуването на интернет адрес зададен на “човешки език” в IP адрес, по който рутерите могат да насочват трафика. DDoS атаката залива DNS съвъра с ужасно много на брой заявки за информация, че в крайна сметка той да не може да отговори на нито една от тях. Освен това се създава и допълнително натоварване от страна на обикновените потребители, които натискат постоянно рефреш в опит да достъпят любимия си сайт, мислейки, че проблемът е в тяхното устройство.
Въпреки че Dyn по принцип е готова за DDoS атаки, толкова огромна никой не е очаквал. Според шефа на стратегическия отдел на Dyn Кайл Йорк атаката идва от “десетки милиони” адреси от машини, които са заразени с вирусен софтуер. Въпросният код носи името Mirai и се възползва от недостатъчната защитеност на IoT устройства като умни камери, перални, рутери, климатици, бейби монитори. Той прониква в тях и започва да ги кара да атакуват едновременно съвърите, формирайки ботнет. Йорк потвърди още, че става дума за атаки, фокусирани върху различни компютри от мрежата на Dyn.
“Атаката всъщност е много умна”, каза Йорк. “Буквално, десетки милиони устройства атакуваха един единствен дейта център”.
Според експерти по сигурността ботнетът Mirai е бил създаден от хиляди устройства, но зложелателите са успели да създадат впечатлението за още по-голям обхват на атакта чрез използването на техника, наречена “source spoofing”.
От Dyn съобщиха към края на деня, че фирмата за сигурност Flashpoint и доставчикът на облачни услуги Akamai са засекли, че ботове Mirai са отговорни за много, но не и непременно за целия трафик, с който е осъществена атаката.
Уязвимостта на IoT устройствата допринесе и за започването на процес по изтеглянето им от пазара. Китайската компания Hangzhou Xiongmai съобщи тази седмица, че започва изтеглянето на уеб камери от пазара, чиито компоненти са използвани в масираната атака срещу Dyn. Според експерти причината за лесния достъп и хакване на въпросните умни устройства са лесните за отгатване първоначални пароли, които мнозина от потребителите така и не са сменили след първото пускане на джаджата. Подобна беше и основната теория, споделена от Independent.
От изданието добавят, че за да участвате в атаката просто трябва да сте си купили уеб камера, с която да следите дали всичко е наред в дома ви или просто да съглеждате какви ги върши кучето. Освен запазването на първоначалните пароли, проблем е и цялостната липса на софтуерна защитна в много модели, произведени от малки и неизвестни производители, които атакуват пазара с достъпни модели. В момента, в който ги включите, те се превръщат в съобразна форма уязвим на атаки компютър. А представете си, когато се съберат хиляди, а защо не и милиони от тези джаджи?
Това със сигурност накара много хора да се замислят дали тяхната камера или умен хладилник не са били неволни съучастници в атаката и част от споменатия ботнет. Но все пак може би това не е точно така. Не и към момента, обясняват от Wired.
След по-задълбочен анализ на атаката, информацията беше допълнена. „Зомби“ камерите, участвали в атаката, всъщност са камери за сигурност, използвани в индустрията – такива, каквито можем да видим по бензиностанции, складове и т.н. Защо това е важно? Защото голяма част от тях са наистина стари модели, които са далеч от стандартните на по-новите модели.
„Голяма част от тези камери са разработени през (и около) 2004 година“, обяснява Зак Уикхолм от Flashpoint, фирмата за сигурност, която проследява атаката. „Както повечето неща, произведени в зараждането на интернет, те са просто създадени да работят. В този процес е липсвала изцяло идеята за сигурност“. Допълнителен проблем е и директната им връзка с модем, което ги прави още по-податливи на хакерски атаки.
И това всъщност е от изключителна важност. Устройствата, част от умния дом, обикновено са скрити зад защитна стена (firewall) и нямат директна комуникация с интернет. Това не ги направи напълно защитени, тъй като ако атаката премине защитата на домашната мрежа, ще се разпростре към всички устройства в нея.
Според Wired именно спомената по-горе компания Hangzhou Xiongmai е основният производител на камерите, използвани в атаката. Трудното в случая е, че тя произвежда и много устройства за други компании, които просто слагат своята марка. Така много от бизнесите могат да използват камера, произведена от Hangzhou Xiongmai, но да няма как да го разберат. Това прави изтеглянето на всички опасни камери много, много трудно. Още по-обезпокоително е, че пътят за справяне с този проблем също е мъглив, а атаката ни показа, че IoT има още една опасна страна, за която до този момент не беше сериозно обмисляна. Днес много компании се включват в IoT сегмента, произвеждайки достъпни чипове и поставяйки ги в всевъзможни джаджи и продукти. Очакванията са, че до 2021 година тази индустрия ще е на стойност трилиони долари, а това привлича наистина много производители, много от които нямат подготовката да произведат достатъчно сигурни устройства.
Причините зад атаката все още не са изяснени. Петъчното фиаско обаче показва колко е крехък интернет, когато е подложен на такова сериозно нападение. Трите атаки породиха редица спекулации кой стои зад тях. Според някои конспиративни теории става дума за политическа атака срещу САЩ от страна на Русия (и дори Северна Корея). Към конспирацията се включиха и WikiLeaks, които публикуваха странен туит, който гласи: "Г-н Асандж (създателят на WikiLeaks бел. ред.) е все още жив и WikiLeaks продължава да работи. Молим хората, които ни подкрепят, да спрат да смъкват американския интернет. Доказахте това, което искахте". На практика те твърдят, че причината за атаката е отмъщение на техни подръжници след по-ранен туит, в който се казва, че добре въоръжена полиция е пред посолството на Еквадор в Лондон, където Джулиан Асандж е под политическо убежище, коментира Webcafe.
„През последните една-две години някой тества защитите на различните компании, които поддържат критичните интернет структури. Това са малки атаки, които с голяма точност могат да определят, по какъв начин е осигурена защитата и какво ще е необходимо за да се прекъсне нормалната им работа. Не знаем кой върши това, но на мен ми се струва, че това е някоя голяма държава. Моите първи варианти са Китай и Русия„, каза експертът по информационна безопасност Брус Шнайдер.
Потребителите от Dark Web пространството са категорични, че Северна Корея седи зад атаките към Dyn. Според тях, а и някои експерти, отговорник за атаката е т.нар. “Бюро 121” - звено, подпомагано от севернокорейската управляваща партия и разполагаща с 2000 хакери.
Вероятността никога да не разберем кой стои зад “свалянето на интернет” е много голяма. Само времето ще покаже отговорите на някои въпроси, свързани с това колко е защитен интернет, как функционират тези защити в ерата на Интернет на нещата и доколко е добре да се централизира всичко в една структура на един континент.
Прочетете: Официално: AT&T придобива Time Warner за 85.4 милиарда щатски долара