Έλλη Πετρίδη Εάν όντως ισχύει το ότι το ΕΔΥΤΕ (Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας) δέχθηκε «μεγάλης κλίμακας και διάρκειας κατανεμημένη επίθεση (DDoS)» τότε αυτό από μόνο του σημαίνει ότι το σύστημα (άραγε μόνο αυτό;) είναι «ξέφραγο αμπέλι» αφού μπορεί να «γονατίσει» από ένα είδος κακόβουλης μεν αλλά ερασιτεχνικής και ξεπερασμένης εδώ και πάνω από μία δεκαετία πρακτικής.
Αυτές οι επιθέσεις στον κυβερνοχώρο ήταν πολύ της μόδας στις αρχές του αιώνα και μπορούσαν όντως να είναι προξενήσουν ζημιά στην επιχείρηση ή τον φορέα που τη δεχόταν καθώς επέφεραν παρατεταμένη διακοπή λειτουργίας. Δεν υπάρχει όμως καμιά απολύτως δικαιολογία το να μην μπορεί να αντιμετωπιστεί σήμερα.
Τι είναι επίθεση DDOS
Η επίθεση DDoS είναι μια σχετικά απλή μορφή κυβερνοεπίθεσης στην οποία οι δράστες επιδιώκουν να διακόψουν ή να προκαλέσουν την κατάρρευσης ενός ιστότοπου, δικτύου ή άλλη διαδικτυακή υπηρεσία υπερφορτώνοντάς τα με μεγάλο όγκο πλαστών ή ανεπιθύμητων αιτημάτων.
Είναι πλέον γνωστό ότι οι εξελιγμένες ομάδες απειλών χρησιμοποιούν επιθέσεις DDoS κυρίως ως μέρος ή ως απόσπαση της προσοχής από άλλες, πιο σοβαρές δραστηριότητες, όπως η κυβερνοκατασκοπεία και το κυβερνοσαμποτάζ.
Το πιο προφανές σημάδι μιας επίθεσης DDoS είναι η κακή απόδοση ή η μη διαθεσιμότητα του στοχευμένου συστήματος ή υπηρεσίας. Στην περίπτωση ενός ιστότοπου, αυτό μπορεί να μεταφραστεί σε μεγάλους χρόνους φόρτωσης ή σε αδυναμία πρόσβασης σε άτομα εντός και εκτός επιχείρησης.
Ευτυχώς όμως εδώ και καιρό υπάρχουν δημόσια διαθέσιμες υπηρεσίες και εφαρμογές παρακολούθησης επιθέσεων DDoS, όπως το downforeveryoneorjustme.com ή το downdetector.com
Μια συνηθισμένη επίθεση DDoS attack αποκρούεται εύκολα από μέτρια συστήματα αν δεν ξεπεράσουν τα 1εκ χτυπήματα ΤΟ ΔΕΥΤΕΡΟΛΕΠΤΟ (RPS).
Σήμερα και χθες δεν απέκρουσαν συνήθη επίθεση, από αυτές που δέχονται σχεδόν καθημερινά όλα τα συστήματα υποδομών, με 165εκ χτυπήματα σε 1 ώρα.
(Σημείωση: Η 1 ώρα έχει συνήθως 3600 δευτερόλεπτα. Που πάει να πει ότι τα μέτρα προστασίας τους ήταν αυτά που πάρθηκαν με το αγιασμό των servers)
Αξίζει να διαβάσει κανείς την τεχνική ανάλυση του secnews.gr το οποίο έχει ήδη ξεκινήσει τις έρευνες για να βρεθεί η πραγματική αιτία πίσω από το φιάσκο με την Τράπεζα Θεμάτων ενώ σε πρώτη φάση καταλήγουν στα παρακάτω συμπεράσματα:
“Στην Τράπεζα Θεμάτων, πιθανολογούμε ότι το περιστατικό οφείλεται
Α) αποκλειστικά στην έλλειψη παντελούς προετοιμασίας για ανάλογα περιστατικά
Β) στην μη αξιοποίηση με τον βέλτιστο τρόπο των πόρων του GRNET/ΕΔΥΤΕ
Γ) στον λανθασμένο λογικό σχεδιασμό της εφαρμογής
Δ) Στην μη αξιοποίηση των υπάρχοντών στοιχείων (μιας και διαπιστώσαμε ότι υπήρξε επαυξημένη κίνηση διαδικτυακού φόρτου μέρες πριν το περιστατικό)
Ε) Στην πλήρη έλλειψη πλάνου και εκπαίδευσης των φορέων σχετικά με την αντιμετώπιση αντίστοιχων καταστάσεων και ανυπαρξία plan-b”
Οπως πολύ σωστά υποστήριξε ο Μάνος Σφακιανάκης, Πρ. Διεθνούς Ινστ. Κυβερνοασφαλείας η επίθεση στην Τράπεζα Θεμάτων (αν ήταν DDOS) θα μπορούσε να έχει αποφευχθεί:
«Επειδή έχω αντιμετωπίσει δεκάδες περιστατικά ίδια, η επίθεση θα μπορούσε να είχε αποφευχθεί εάν υπήρχαν άνθρωποι για αυτόν τον σκοπό και μπορούσαν να δρομολογήσουν την επίθεση σε άλλα σημεία. Με απλά λόγια, εάν είχατε ομάδα κυβερνοασφάλειας, το θέμα τώρα θα είχε αποφευχθεί. Έχω εμπειρία, έχω διαχειριστεί κρίσεις τέτοιου είδους, όλα αυτά θέλουν ασκήσεις κυβερνοασφάλειας πριν γίνουν. Οι χάκερς είναι δίπλα μας. Άρα πρέπει να πάρουμε όλα τα μέτρα εκείνα για να μπορέσουμε να αποφεύγουμε τις επιθέσεις».
Και πως μπορεί κάποιος να την αποφύγει;
#1: Με εκπαίδευση προσωπικού
Οι υπάλληλοι-χρήστες είναι σημαντικό να γνωρίζουν πώς διαδίδεται μία επίθεση DDoS, ώστε να αποφεύγουν ενέργειες που ενδέχεται να την προκαλέσουν.
Παράλληλα τόσο οι χρήστες όσο και οι ειδικευμένοι IT υπάλληλοι της επιχείρησης θα πρέπει να ενημερώνονται για τον τρόπο χρήσης τυχόν εγκατεστημένων προγραμμάτων προστασίας, προκειμένου να γίνεται η καλύτερη δυνατή χρήση τους.
Πηγές: orthology.gr, eset.com, safetydetectives.com
#2: Με Rate limiting
Στις πιο εξειδικευμένες μεθόδους cybersecurity, σημαντικό είναι το rate limiting στην κυκλοφορία δεδομένων.
Rate limiting είναι η μείωση του ποσοστού κυκλοφορούντων δεδομένων σε ένα δίκτυο μέσω της χρήσης πλαφόν κυκλοφορίας, ώστε να αποφεύγεται η υπερφόρτωση του δικτύου.
Έτσι, μπορεί μεν να υπάρχουν προσπάθειες DDoS attack, αλλά το εργαλείο rate limiting παρεμποδίζει την ροή αυξημένου όγκου δεδομένων μετριάζοντας το αντίκτυπο της DDoS attack.
Τρόπος #3: Web application firewall
Συγχρόνως, ένα web application firewall (WAF) τίθεται στη σχέση μεταξύ ενός server και του διαδικτύου, ώστε να αναχαιτίσει τυχόν ύποπτες ροές δεδομένων προς τον προστατευόμενο server.
Χρήσιμο παράδειγμα την περίπτωση αυτή είναι το Kerio Control, ένα συνδυαστικό λογισμικό firewall και VPN. Το Kerio Control προσφέρει υπηρεσίες firewall με φιλτράρισμα τόσο των δεδομένων web και εφαρμογών όσο και των δεδομένων που ανταλλάσσονται από συσκευή σε συσκευή.
Ως αποτέλεσμα παρεμποδίζεται η κυκλοφορία δεδομένων προερχόμενων από botnets
#4: Χρήση υπηρεσιών cloud
Συνεχίζοντας, ακόμη και εάν δεν αποτελεί ακριβώς τρόπο προστασίας, η χρήση υπηρεσιών cloud βοηθά τον περιορισμό των κινδύνων που προκύπτουν από τυχόν επίθεση DDoS.
Ένα cloud φέρει μεγαλύτερο bandwidth από ότι ένας server, το οποίο μάλιστα μπορεί να διευρυνθεί περαιτέρω αναλόγως του πακέτου υπηρεσιών cloud που επιλέγεται.
Έτσι, είναι πιο δύσκολο για έναν επιτιθέμενο μέσω DDoS να υπερφορτώσει το σύστημα με δεδομένα.
Αλήθεια τι έχει απογίνει το Cloud του δημοσίου;
Και γιατί δεν ήταν εγκατεστημένη σε αυτό η Τράπεζα Θεμάτων;
Ισως αυτά τα ερωτήματα να πρέπει να απασχολήσουν τον εισαγγελέα του Αρείου Πάγου Ισίδωρο Ντογιάκο ο οποίος ζήτησε να υπάρξει έρευνα για τα περιστατικά της Δευτέρας και της Τρίτης.
Ο ανώτατος εισαγγελικός λειτουργός διαβίβασε ήδη την παραγγελία του στον Προϊστάμενο της Εισαγγελίας Πρωτοδικών Αθηνών, Αντώνη Ελευθεριάνο, ζητώντας τη συνδρομή του τμήματος Δίωξης Ηλεκτρονικού Εγκλήματος και τη σε βάθος έρευνα.
Σύμφωνα με την εντολή, για τον εντοπισμό των δραστών οι αρμόδιες αρχές μπορούν να προχωρήσουν ακόμα και σε κατασχέσεις ευρημάτων και άλλων στοιχείων που μπορούν να οδηγήσουν στον εντοπισμό των υπαιτίων.
Ανάμεσα όμως στους υπαίτιους είναι εκείνη που άφησαν αθωράκιστο το σύστημα. Αν όντως, επαναλαμβάνουμε, πρόκειται για επίθεση DDOS.
Υπάρχει και άλλη εκδοχή;
Βεβαίως! Υπάρχει η εκδοχή το σύστημα να μην άντεξε το βάρος όχι κάποιων χάκερ αλλά των ίδιων των σχολείων που μπήκαν για να αντλήσουν θέματα. Να μην μπορούσε δηλαδή να σηκώσει ούτε αυτούς!
Ο,τι κι αν συμβαίνει από τα δύο το σίγουρο είναι πως δεν φταίει ούτε η υπηρεσιακή κυβέρνηση ούτε η… απλή αναλογική. Η απλή λογική θα φταίει και η αμέλεια εκείνων που άφησαν ένα (μόνο;) κρίσιμο σύστημα να λειτουργεί ως «ξέφραγο αμπέλι».