Ads 468x60px

torstai 28. maaliskuuta 2013

Palvelunestohyökkäykset vaarantavat koko Internetin toimintaa

DNS vuotaa

Tunnettu vapaaehtoisorganisaatio Spamhaus.org ylläpitää mustaa listaa roskapostittajista osana Internetin DNSBL-toimintaa. Huhujen mukaan eräs roskapostittaja hermostui maaliskuussa listalle joutumisestaan. Syytetty CyberBunker.com tosin kieltää osuutensa. (Heidän sivuilleen ei juuri nyt pääse ;-) Joka tapauksessa tällä viikolla Spamhausin nettiosoitteet joutuivat yllättäen massiivisen palvelunestohyökkäyksen kohteeksi. Hyökkäystekniikaksi identifioitiin DNS-heijastuksen käyttö. Kuva hyökkäyksen ideasta:


Kuva: Security Affairs, http://securityaffairs.co/wordpress/
Kieltämättä pirullisen nerokas idea on lähettää hyökkääjältä väärällä uhrin LÄHDEosoitteella (tyhmästi ja vaarallisesti konfiguroidusta operaattoriverkosta) PALJON DNS-kyselyjä lukuisiin julkisiin (tyhmästi ja vaarallisesti konfiguroituihin) DNS-palvelimiin, jotka kaikki sitten vastaavat yhdelle uhrille. Tempulla saadaan 36 tavun kyselyllä 3000 tavun vastauksia. Näin hyökkääjä saa satakertaisen vahvistuksen, eli voi suoltaa ulos 10 Mbit/s kyselytulvaa, ja uhri näkee 1 Gbit/s vastaustulvan. JOS hyökkääjä vuokraa pienenkin bottiverkon,  saadaan useamman sadan gigabitin vastaustulva per sekunti. Tällaisen verkon vuokra on halpa, parikymppia per päivä, dollareissa tai euroissa. Bitcoineissa vähemmän ;-) Kannattaa huomata, että eri syistä hyökkäys välttää melko tehokkaasti  pullonkaulat, eli koko liikennekuorma todellakin kasaantuu vasta uhrille.

Eurooppa (ja Suomikin) vuotaa

Spamhousin palveluntarjoaja CloudFlare torjui hyökkäyksen menestyksellisesti anycast-infrastruktuurillaan. Lopulta vihainen hyökkäys eskaloitui ja keskittyi Lontooseen, Amsterdamiin ja Frankfurtiin julkisiin liikennesolmuihin, ja hidasti suurimmillaan yhdestä pisteestä mitattuna 300 Gbit/s voluumillaan koko Euroopan liikennettä.

Kyseessä kuitenkin on jonkun pikkutekijän lähes olemattomilla resursseilla ja hetken mielijohteesta tekemä hyökkäys. Mitä tapahtuu, kun joku poliittinen, hyvin resurssoitu organisaatio tekee saman, vain sata kertaa pahempana?

Ongelma on, että vaikka lääkkeet infrastruktuurin korjaamiseen tässä tapauksessa ovat olemassa, niitä ei noin vain saada pakotettua potilaille. RFC 2827 on vuodelta 2000, mutta ilmeisesti hyökkääjän ja bottiverkon koneiden operaattoreilla homma ei ollut hanskassa. CERT-FI on tehnyt hyvää työtä avointen DNS-rekursoreiden karsimiseksi Suomesta, mutta niitä on maailmalla 22 miljoonaa.

Ja BTW, pienemmässä muodossa nämä saman tyyliset hyökkäykset ovat jatkuva riesa Suomessa, kun kaverin Mindcraft-servereitä kiusaavat kakarat puolivahingossa tukkivat operaattoriverkon runkoyhteyksiä.

HyvinvointiTIETOyhteiskunta vuotaa

Kuinka haavoittuva Internet loppujen lopuksi on? Päivän uutisissa mainitaan myös kohdistetusta sabotaasista valtamerien alla kulkevia runkokaapeleita vastaan. Tämä aiheutti merkittävää liikenteen hidastelua Pakistanissa ja Egyptissä.

Potentiaalisesti isoja ongelmia on myös  reititysprotokollaan BGP kohdistuvissa hyökkäyksissä. Pakistan kaappasi aikanaan vahingossa kaiken Youtube liikenteen BGP:llä mustaan aukkoon. Vaihtamalla muutamia rivejä reitittimen BGP-konfiguraatiossa he olisivat voineet kaapata paljon muutakin Internetin liikennettä mustaan aukkoon, ainakin hetkeksi. Venäjä käytti samoja  ideoita ja yritti väitetysti eristää koko Georgian Internetistä.

Yhdistämällä DDoS-hyökkäyksiä, merikaapeleihin kohdistuvaa sabotaasia, BGP-hyökkäyksiä ja vaikkapa DNS-juuripalvelimiin kohdistuvia hyökkäyksiä saataisiin ehkä oikein ajoitettuna aikaan tilanne, jossa suuri osa Internetistä saadaan lamaannutettua?

Internetin ja verkkojen katkottomaan toimintaan luottaminen on muodostunut lähes itsestäänselvyydeksi. Mikäli ihmisillä on riittävän pitkään joitakin palveluita jatkuvasti käytettävissä, niin pienikin katkos niiden saatavuuteen aiheuttaa välitöntä hädäntunnetta, eikä paljon lohduta se, että aikanaan on selvitty hyvin ilmankin niitä. Internetin toimintaan voisikin liittää termin "hyvinvointiTIETOyhteiskunta", jolla tarkoitetaan sitä, että netin katkottoman toiminnan oletetaan olevan perusoikeus ja itsestäänselvyys. Sen arvo huomataan vasta silloin kun sitä ei ole enää saatavilla. Internetin olemassaoloon perustuvat tällä hetkellä monien yritysten, ja myös valtioiden toiminnot, sekä yksityisten ihmisten elämä yhä enenevissä määrin. Tämä lisää myös sen haavoittuvuutta terrori- ja sodankäyntimielessä.

Näitä tapahtumia seuratessa kannattaakin miettiä mitä vaikutuksia netin totaalisella lamaantumisella voisi olla, jos sen kaikkia haavoittuvuuksia jossain vaiheessa joku haluaa hyväksikäyttää. Laitetaan se jatkuvuussuunnittelu kuntoon, kuten Mikko Hyppösellä tässä videossa. Samalla tulee hoidettua varautuminen niihin ihan omiinkin mokiin:

http://www.youtube.com/watch?feature=player_detailpage&v=cf3zxHuSM2Y#t=878s

Anssi Porttikivi ja Toni Sulankivi

Ei kommentteja:

Lähetä kommentti