Az orosz Kaspersky Lab infobiztonsági cég nemrég közzétette, illetve átfogó blog-bejegyzésben elemezte a saját üzemeltetésű, DDoS-megelőző és botnet-figyelő hálózata által gyűjtött statisztikai adatokat, amelyek jellemző képet adnak az interneten a 2011-es év második felében észlelt, elsősorban webszerverek ellen irányuló, elosztott szolgáltatás-megtagadás típusú hálózati támadásokról. A kiemelt esetek között külön figyelmet érdemel, hogy 2011. augusztus 10-én DDoS-támadás érte a hongkongi börze (HKEX) nagyvállalati bejelentéseket közlő weboldalát. Az információ-hiányos időszakban elkövethető spekulációs visszaélések megelőzése érdekében az üzemeltetők közel egy napig felfüggesztették hét jelentős piaci szereplő, többek között az HSBC bank, a Cathay Pacific légitársaság és a China Power International energetikai cég részvényeinek kereskedelmét.
A nagy kárt okozó incidens ügyében a hatóság nyomozást indított, és két héten belül letartóztattak egy 29 éves üzletembert, aki fertőzött gépekből álló botnet segítségével támadott, így akarta saját javára befolyásolni a piaci pozíciókat. A tetthelyhez közeli Kwun Tong városrészben lakó férfi bűnösségét a lefoglalt tárgyi bizonyítékok (5 számítógép, 2 telefon és 2 külső adattároló) információ-tartalma is igazolja, így tettéért akár a maximálisan kiszabható 5 évhez közeli börtönbüntetésre is számíthat.
Hasonlóan nagy jelentőségű volt az az egy teljes hétig tartó DDoS-támadás, amelyet 2011. július 16-án indított egy orosz netbűnöző-vállalkozó, Pavel Vrublevsky abból a célból, hogy tönkretegye az online fizetési tranzakciókat feldolgozó ASSIST céget. A rivális, már korábban 40 százalékos piaci részesedéssel bíró ChronoPay szolgáltatásainak igénybevétele felé terelve ezzel az Aeroflot légitársaságot.
Vrublevsky számítása végül nem vált be: a férfit jogosulatlan számítógépes hozzáférés (272. paragrafus) és kártékony programok terjesztésének (273. paragrafus) vádjával letartóztatták az orosz hatóságok. A helyi piacon legnagyobbnak számító Aeroflot légicég végül a ChronoPay helyett az Alfa Banknak adta az internetes fizetés-feldolgozási megbízást, ami a pórul járt ASSIST tulajdonosait kevéssé vigasztalhatja.
Akciós csomagok az üdültetésben
Tavaly óta immár a kisebb cégek körében sem szokatlanok a DDoS-támadások: a biztonsági kutatók három iparágat emelnek ki a leginkább figyelemre méltó esetek közül.
Az utazási irodák közt kíméletlen küzdelem folyik a gazdasági válság és a saját nyaralás-szervezés elterjedése miatt megritkult ügyfelek megszerzéséért. A Kaspersky Lab mérései szerint a nyári főszezonban és az év végi ünnepek idején itt két nagy DDoS-hullám zajlott. Ezek a szokásosnál ötször intenzívebb támadások nem a nagy turisztikai üzemeltetőket, hanem a kisebb utazás-közvetítők weblapjait sújtották. Eközben megélénkült a spam-terjesztők idegenforgalmi ajánlatokat hirdető tevékenysége is.
Feltehetően megrendelésre dolgozó kiberbűnözők tevékenységének lehettünk a tanúi, és az utazási piaccal összefügghet az is, hogy 2011. második felében több taxis szolgáltatásokat nyújtó külföldi portál esett erőteljes DDoS-támadás áldozatául. Meglepő módon egymás webhelyeinek hálózati elárasztása és a párhuzamos spammelés tavaly egy olyan kisipari vagy trafik-jellegűnek vélt tevékenység esetében is megjelent, mint a nyomtatók festék-tartályainak utántöltése.
Bűnözők egymás ellen
A tolvajok ma már egymástól is lopják a sávszélességet: mint fentebb olvashatták, a tavalyi év második felében rekordnak számító, egyetlen oldalt sújtó legnagyobb számú DDoS-támadás célpontjai is kiberbűnözők voltak. Elsősorban a lopott banki kártyaadatok kereskedelmével foglalkozó illegális webfórumok üzemeltetői ugranak egymásnak ilyen módon, gyakoriságban őket követik a hacker-oldalaknak otthont adó "golyóálló" nethoszting és VPN-szolgáltató cégek elleni hálózati elárasztásos támadások.
A profit-érdektől mentes hálózati támadások terén az Anonymous online tiltakozó közösség ezúttal a bohóc szerepét alakította: közel 30 e-aktivistának sikerült rendőrkézre juttatnia saját magát azzal, hogy a nem e-bűnözésre, hanem biztonsági tesztelésre kifejlesztett, LOIC nevű eszközzel hajtottak végre DDoS-elárasztást. Mivel ez a program egyáltalán nem álcázta a kiinduló címet, a netszolgáltatók könnyen azonosíthatták a társadalmi munkában végzett kormányzatok elleni támadás alig 20 éves átlag-életkorú résztvevőit.
A bohózat következő állomásaként egy renegát Anonymous-tag, CMD kihirdette, hogy elkészült a LOIC utódja. A Ref-Ref nevű DDoS eszközről azt híresztelték, hogy Java vagy JavaScript nyelven íródott, és SQL-adatbázisok túlterhelésére alkalmas, illetve ártalmas .js kódot tud feltölteni a célba vett távoli kiszolgálókra. Végül kiderült, hogy a webszerverek processzor- és memória-erőforrásainak kimerítésére, lefagyások előidézésére szánt program nem is létezett, csak az anarchista hackerek olcsó PR-trükkjéről volt szó.
Amire a webmestereknek oda kell figyelniük
Természetesen a Ref-Ref skandalum ellenére is jócskán akadnak olyan, már létező vagy legalább a koncepció szintjén működőképes DDoS-eszközök, amelyek kockázatával a Kaspersky Lab véleménye szerint is érdemes számolniuk a szerver-üzemeltetőknek, ha nem akarnak áldozattá válni.
Az októberben publikált THC támadókód a biztonságos webkapcsolathoz kapcsolódó extra számítás-igényt használja ki a távoli szerver túlterhelésére azzal, hogy állandóan új titkosító kulcs létrehozását kéri az "SSL renegotiation" funkciót támogató webkiszolgálóktól. Szerencsére a Microsoft IIS szervere nem sebezhető ezen a téren, a többi gyártó termékét pedig az "SSL acceleration" képesség védheti a túlterhelés ellen, vagy tűzfal-szabállyal el lehet dobni a THC-visszaélésen ért hálózati kapcsolatokat.
Augusztusban a piacvezető Apache webszerverben találtak olyan rést, amely lehetővé teszi a visszaélést a fájlok kisebb darabokban történő letöltését támogató "HTTP header range bytes" kéréssel. Ha DDoS-támadás céljából túl sok darabot igényelnek egyidejűleg a hackerek, akkor a gzip-tömörítéssel elfoglalt szerver-szolgáltatás kifogyhat a memóriából. A hibát kihasználó kártékony Perl-szkript ellen az Apache HTTPD legalább 2.2.20 verziójára történő frissítéssel lehet védekezni.
Évzárásként a Microsoft adott ki soron kívüli biztonsági javítást az ASP.NET környezethez. Mindezt tette idejében, mert 2012 elején egy "Hybris Disaster" álnevű hacker közzétette azokat a speciális ellenőrző-összegeket (hash), amelyek alkalmasak az MS11-100 javítófoltot nélkülöző szerverek elleni DDoS-támadás céljára. A hiba amúgy általános jellegű, a CRuby és JRuby szoftverek új verzióinak kiadására, illetve a PHP "max_input_vars" támogatás bevezetésére is azért került sor, hogy kiküszöböljék ezt a CPU-túlterheléssel fenyegető sebezhetőséget.
Rekordok
A Kaspersky megoldások által 2011. második felében elhárított legerősebb DDoS-támadás 20 százalékkal súlyosabb volt, mint az előző időszakban: a hálózati elárasztás adatforgalma 600 megabitet tett ki másodpercenként, amely 1,1 millió, egyenként általában 64 bájtos, rövid UDP-csomagból adódott össze. Ugyanebben az időszakban a Kaspersky védelem által kezelt átlagos DDoS-támadás ereje 110 megabit per másodpercnek adódott, ez 57 százalékos erősödést mutat a tavalyi év első feléhez képest.
A legtöbbször ismétlődő, 384 rendbeli DDoS-támadás egy kiberbűnözők által üzemeltetett webportált sújtott, talán a szervezett bűnözői csoportok egymás közötti rivalizálásának részeként. A legkitartóbb DDoS-támadást egy utazási témájú webhely ellen indították a hackerek, ez 80 napig 19 óráig 13 percig és 5 másodpercig tartott - ennyi idő alatt Verne regényhőse, Willy Fogg meg is kerülte a Földet. Az átlagos DDoS-támadások időtartama ennél rövidebbnek adódott, mindössze 9 és 1/2 órát tett ki.
