În septembrie 2016, krebsonsecurity, site-ul unuia dintre cei mai cunoscuți jurnaliști specializați pe cyber-security, a fost lovit de un atac DDoS. La momentul respectiv, site-ul era găzduit de Akamai, o companie foarte mare. Ca să vă faceți o idee, ei găzduiesc, printre altele, inclusiv miliarde de poze uploadate pe Facebook.
Serverul Akamai era atacat cu aproximativ 620 gigabiți pe secundă, de două ori mai mult față de cel mai mare atac DDoS înregistrat vreodată până atunci. După două zile în care au rezistat atacului, se pare că cei de la Akamai au trebuit să oprească serverul, pentru că se cheltuiau foarte mulți bani încercând să țină serverul online.
Pe lângă cantitatea mare de date, interesant a fost că acest atac nu semăna cu cele clasice, deci era foarte greu de evitat. Nucleul atacului nu era localizat undeva, ci mai degrabă venea din toate colțurile lumii. Mai târziu și-au dat seama și cum a fost posibil acest lucru. În spatele atacului a fost un malware numit Mirai, care se folosea de o rețea (botnet) de dispozitive IoT din toată lumea, infectate de-alungul timpului. Camere de supraveghere, DVR-uri, NAS-uri, imprimante și alte asemenea.
Atacul a venit după ce Brian Krebs, autorul blogului, a scris un articol care a dus la condamndarea unor indivizi care ofereau servicii de tip DDoS contra cost. La momentul respectiv problema era că Brian nu știa unde să se ducă pentru hosting, că nimeni nu voia să-l primească. În cele din urmă s-au oferit cei de la Google, iar cei din spatele Mirai au fost arestați, nu înainte să mai comită 2-3 atacuri, poate chiar mai mari. Vă mai aduceți aminte de un mare downtime, când nu mergea jumătate de internet (Airbnb, Mashable, Imgur, Indiegogo, Netflix, Pinterest, Reddit, Spotify șamd.)? De acolo era.
Bun, deci am aflat cum a fost posibil atacul, i-am arestat pe cei care au fost în spatele lui, s-a aflat codul sursă pentru Mirai și am început să rafinăm metodele de protecție împotriva lui. Totul e în regulă.
Nu chiar. Conform nimeni altuia decât Brian Krebs, acum se pregătește ceva și mai mare. IoT Reaper se numește (sau IoTroop), și adună device-uri infectate într-un ritm mai alert decât Mirai. Împrumută părți de la Mirai, însă este mai subtil, mai eficient și se comportă altfel. Deci la un moment dat cred că va trebui să ne pregătim pentru încă un outage mai serios.
Despre botnets, Mirai și alte asemenea am auzit prima dată în prezentarea lui Mihai Vasilescu la Defcamp 8, apoi am mai citit, că mi-a plăcut subiectul. Dacă vreți să vedeți prezentarea lui, o las mai jos:
Cam așa stă treaba cu securitatea dispozitivelor IoT. Sunt dispozitive foarte ieftine, făcute să fie foarte ușor de instalat de către oricine oricine și nu primesc aproape niciodată patch-uri de securitate. Din această cauză sunt foarte ușor de atacat. Viitorul va fi interesant 🙂
Discover more from revoblog.ro
Subscribe to get the latest posts sent to your email.
Cred că soluția stă în contracarare la nivel de servere web – când un astfel de atac se constată (a durat două zile la Akamai, timp mai mult decât suficient pentru contracarare), se identifică tipul de mesaj, se lansează ofensiva la nivel de server web (serverele comunică între ele caracteristicile fizice ale mesajelor) și acestea sunt blocate înainte să ajungă la serverul țintă.
Abia când virusurile vor încorpora caracteristici de AI/Machine Learning, vor fi extrem de dificil de contrat – acum AI/Machine Learning poate fi utilizată pentru contracarare….