Neseniai programišių grupės „Anonymous“ nariai drąsiai paskelbė, kad kovo 31 dieną jie išjungs internetą. Ta proga netgi buvo sukurtas pavadinimas „Operation Blackout“, interneto diskusijų kambariuose netyla diskusijos, rašo bbc.co.uk.

Grasintojai netgi papasakojo, kaip internetą išjungs. Programišiai tvirtina, kad iš rikiuotės išves Domenų vardų paslaugą (DNS, Domain Name Service) koordinuojančias tarnybines stotis ir tokiu būdu internetas liausis veikęs.

Ką gi reikštų šių stočių išjungimas? DNS jūsų į naršyklės adreso eilutę suvedamu adresus (pavyzdžiui, www.lrs.lt) konvertuoja į skaitinį IP adresą (tokį, kaip 193.219.60.42). Iš esmės tai galima būtų vadinti telefono numeriu internete. Jei kokiu nors būdu neleistumėte vartotojams prieiti prie interneto telefonų knygos, tai internetas iš esmės taptų neveiksnus.

Siūlomos atakos teorija grindžiama faktu, kad DNS paslauga teikiama pagal medžio struktūrą: ji prasideda nuo 13 tarnybinių stočių aukščiausiame lygmenyje, kiekviena iš šių stočių bendrauja su lygiu žemiau esančiomis tarnybinėmis stotimis, kurios savo ruožtu informaciją perduoda lygiu žemiau ir taip toliau.

Atlikus pakeitimus aukščiausiame lygyje, jie yra nukopijuojami per visą internetą, taigi, ieškodami virtualioje vietinėje interneto telefonų knygoje visuomet pasieksite tą vietą, kurios norite. Bet jeigu staiga pavyktų sutrikdyti visų 13 aukščiausio lygio DNS tarnybinių stočių tarpusavio bendravimą, tuomet sutriktų likusios medžio dalies veikimas ir labai greitai niekas negalėtų pasinaudoti tais interneto adresais, kurie mums yra žinomi.

Paskelbus apie tokius kėslus, kilo šiokios tokios baimės, nes programišiai teisingai nurodė savo taikinių adresus. Tiesa, tą informaciją santykinai paprasta rasti internete. Buvo manoma, kad programišiai prieš esmines tarnybines stotis imsis paskirstytos atsisakymo aptarnauti (Distributed Denial of Service (DDoS) atakos taktikos. DDoS ataka vykdoma tarnybinę stotį užtvindant tokiu dirbtinai sudarytu užklausų srautu, kad ji nebegali aptarnauto normalaus užklausų srauto.

Bendrovės „Sophos“ vyriausiasis saugumo konsultantas Grahamas Cluley palygino tai su „15 storulių, bandančių vienu metu prasibrukti pro besisukančias duris – eismas visiškai sustoja“. Vienas iš būdų, kuriuo programišiai galėtų sugeneruoti tokį intensyvų srautą – pasinaudoti užgrobtais kompiuteriais, kurie užklausas tarnybinėms stotims siųstų koordinuotai.

Programišiai, pasinaudodami virusais, nieko neįtariančių žmonių kompiuterius gali paversti „botais“ arba „zombiais“. Pasinaudojant šiuo būdu 2012 m. vasario 28 dieną buvo sutrikdytas priėjimas prie FTB svetainės. Šios atakos rengėjai buvo programišiai, prisistatę kaip „Anonymous“ judėjimo nariai – manoma, taip jie keršijo už neseniai vykusius programišių areštus.

Ir tai tik viena iš daugelio organizacijų, kurios per daugelį metų nukentėjo nuo tokios atakos. „Jei atakuojantis turi pakankamo pralaidumo ryšio kanalą, galima išjungti bemaž viską. 2004 metais milžiniškas botnetas, sukurtas „Mydoom“ kirminu, trumpam išjungė google.com“, – sakė kibernetinio saugumo bendrovės „F-Secure“ vyriausiasis tyrėjas Mikko Hypponenas.

Sustiprintas puolimas

Taigi, kyla klausimas, ar pasinaudojant panašiu procesu galima sugeneruoti pakankamai srauto, kad būtų blokuojamas visas internetas. Kaip ir dažniausiai tokiais atvejais, atsakymas yra „priklauso nuo aplinkybių“. Savaime suprantama, atsakingi asmenys žino kokie yra patys svarbiausi DNS sistemos elementai ir turi gynybos planą.

13 aukščiausio lygio DNS tarnybinių stočių yra skirtingose valstybėse, jas prižiūri skirtingos organizacijos, jie veikia skirtingomis technologijomis. Galime tikėtis, kad, kaip ir dauguma internete esančių dalykų, aukščiausio lygio DNS tarnybinės stotys bus saugios.

Tačiau sunkumų gali kilti jeigu programišiai pakirs DNS sistemos veikimą pasinaudodami pačios sistemos ypatumais. Tai gali būti įvykdoma pasinaudojant procesu, vadinamu „stiprinimu“, kuris vykdomas remiantis dviem faktais:

1. DNS užklausa grąžina kur kas daugiau informacijos nei jos esama pačioje užklausoje.

2. Falsifikuoti adresą, iš kurio siunčiama užklausa, yra santykinai paprasta.

Norint įvykdyti ataką, programišiai pirmiausiai turėtų nusistatyti taikinį ir sukurti armiją „zombių“, imituojančių to taikinio IP adresą. Toks botnetas siųstų daugybę užklausų DNS tarnybinei stočiai, kuri savo didelės apimties atsakymais užtvindytų antrąjį taikinį, kurio IP adresą imituoja kompiuteriai „zombiai“, siuntę pirmines užklausas.

Sukūrus kelis tokius botnetus ir pasirinkus tinkamus taikinius, galima padaryti taip, kad DNS tarnybinės stotys pačios užtvindytų tinklą, kurį turėtų aptarnauti. Bendrovės „BH Consulting“ informacijos saugumo ekspertas Brianas Honanas pripažįsta, kad tokia rizika yra labai tikėtina.

„Reikia pažymėti, kad toks veikimo sutrikdymas, jei jis būtų sėkmingas, būtų lokalizuotas tuose interneto segmentuose, kurie yra jautrūs šioms atakoms. Deja, nors ši silpnybė yra gerai žinoma jau ne vienerius metus, didelė dalis DNS tarnybinių stočių nėra suderintos veikti taip, kad apsisaugotų nuo tokių atakų“, – sakė ekspertas.

Košmariškas scenarijus

Neseniai panaši ataka parklupdė vieną interneto paslaugų teikėją – atakai buvo panaudota 140 000 kompiuterių, priklausančių DNS sistemai. Atakos metu sugeneruotas toks duomenų kiekis, kad jis galų gale užtvindė ir užkimšo visą tinklą.

Yra santykinai paprastų būdų DNS tinklo kompiuterius suderinti taip, kad jie savo paieškas atliktų alternatyviais būdais, neleidžiančiais vykdyti „stiprinimo“. Tačiau taip suderinta tik nedaugelis kompiuterių.

Siekiant apsisaugoti nuo tokių atakų, buvo sukurta technologija, vadinama Domenų vardų sistemos saugumo praplėtimais (Domain Name System Security Extensions, DNSSEC). Bet prieš porą savaičių paaiškėjo, kad 40 % JAV jurisdikcijoje esančių DNS tinklo kompiuterių šios sistemos nėra įdiegę, nors to ir reikalauja JAV įstatymai.

Ir pagalvokite kas nutiktų, jei panaudojant tokį stiprinimo metodą DNS tinklo kompiuteriai pradėtų atakuoti patys save? Gauta duomenų lavina galėtų visiškai suluošinti dideles dalis interneto ir neleistų mums prieiti prie sistemų, kurios užtikrina įprastinę mūsų kasdienio gyvenimo tėkmę.

Taigi, jei manote, kad mūsų DNS paslauga yra saugi ir niekas niekada neišjungs interneto, prisiminkite posakį „niekada nesakyk niekada“.

Komentarai (11)