Relacja z pola walki

Internet nie jest ani spokojnym, ani przyjaznym miejscem. Najlepiej wiedzą o tym administratorzy sieci i serwerów, którzy na co dzień obserwują i odpierają tatki intruzów. Globalna sieć stwarza globalne możliwości szkodzenia, wymuszania, kradzieży. Metod jest wiele, ale najskuteczniejsze i najbardziej dochodowe są wielkie ataki, podczas których cel jest atakowany z wielu, bardzo wielu miejsc na całym Świecie.

Spektakularnym przykładem ataku, którego powodzenie zależy od skali jest atak DDOS (Distributed Denial of Service). Opowiemy o nim więcej w innym artykule, teraz wystarczy wiedzieć, że aby się powiódł dużo (naprawdę dużo, czasami setki tysięcy lub miliony) urządzeń musi jednocześnie zaatakować jeden cel. Na pozór każde z nich z osobna nie robi niczego niestosownego: wysyła pakiet danych pod wskazany adres ip, potem jeszcze raz, i kolejny, w rezultacie urządzenie będące celem ataku jest zalewane taką ilością pakietów, że nie ma szansy poprawnie odpowiedzieć na żadne zapytanie. Obrona jest trudna i nie zawsze skuteczna, bo pakiety danych pochodzą z różnych adresów IP, często zlokalizowanych w odległych od siebie częściach Świata.

Udany atak oznacza poważne kłopoty i straty. Dopóki trwa, klienci ofiary mają niewielkie szanse na normalne korzystanie z jej serwisów. Wyobraź sobie, że kilka tysięcy osób umawia się na wizytę w sklepie. Niczego nie kupują, tylko wchodzą i wychodzą. Co jakiś czas uda się wejść klientowi, który przyszedł na zakupy, ale przez większość czasu sklep jest zablokowany i nie przynosi dochodu. Jeśli jest to bank, międzynarodowy sklep internetowy, firma hostingowa, przewoźnik lotniczy itp. można mówić o stratach sięgających milionów dolarów. Na godzinę.

Kto i po co przeprowadza takie akcje? Powodów i celów do osiągnięcia jest wiele: polityczne (blokada znienawidzonego rządu), ekonomiczne (pogorszenie rynkowej pozycji konkurencji), ideologiczne (blokowanie działalności przedsiębiorstw i korporacji szkodzących przyrodzie). W grę wchodzi także terroryzm i wymuszanie okupów obietnicą przerwania ataku po otrzymaniu sowitej zapłaty.

Zbudowanie sieci, która może posłużyć do ataku jest czasochłonne, wymaga cierpliwości, wiedzy, doświadczenia. Można jednak pójść na skróty i... zapłacić za wykorzystanie istniejącej infrastruktury utrzymywanej przez przedsiębiorczych przestępców "na wynajem". Za odpowiednią cenę dokonają oni ataku w zastępstwie swojego klienta. Rozpoznają cel, zaleją go potokami pakietów. Potop będzie miał taką intensywność, jakiej zechce zleceniodawca i potrwa tak długo, na jak długo wystarczą pieniądze (w wersji prepaid).

Jak często dzieją się takie rzeczy? Szczerze mówiąc, nieustannie. Zawsze ktoś atakuje i ktoś ponosi straty albo usiłuje się bronić. Producenci oprogramowania antywirusowego, dostawcy usług z zakresu bezpieczeństwa sieci, analitycy i firmy konsultingowe gromadzą informacje o podejrzanej aktywności. Wykorzystują dane dostarczane przez programy zainstalowane w różnych miejscach: u dostawców Internetu, w sieciach WAN i MAN. Dane aktualizowane niemal w czasie rzeczywistym są bezpłatnie udostępniane. Poniżej są linki do map ataków opracowywanych przez:

Każdy serwis wykorzystuje własne źródła danych, więc wyniki obserwacji nie są identyczne, jednak wielkie, zsynchronizowane ataki można rozpoznać w wielu z nich, albo nawet we wszystkich. Zapoznanie się z możliwościami wymienionych serwisów chwilkę potrwa, zwłaszcza, jeśli zagłębimy się w filtry, zaawansowane statystyki, itp. a trzeba pamiętać, że to tylko część ogólnodostępnych narzędzi. Warto zwrócić uwagę na nazwy złośliwych programów, listy krajów, w których znajdują się cele i tych z których wychodzą ataki.