"Mi čakamo. Prej ali slej bo naredil napako."

Objavljeno: 25.1.2011 | Avtor: Matjaž Klančar | Kategorija: Vklop | Revija: Januar 2011

Z Gorazdom Božičem, vodjo slovenskega CERT, organizacije, ki spremlja in ukrepa ob internetnih napadih, smo se pogovarjali o napadih DDOS, orožjem zadnje vojne med podporniki in nasprotniki organizacije Wikileaks.

Kaj je to TOR?

Komunikacija prek omrežja TOR gre skozi množico posredniških (proxy) strežnikov, zato jo je bolj ali manj nemogoče razvozlati. Zaradi tega je priljubljeno orodje tistih, ki želijo biti v internetu anonimni, pa najsi bodo to običajni uporabniki ali pa teroristi. Za uporabo je dovolj TOR dodatek za firefox ...

www.monitor.si/clanek/ce-nas-popade-paranoja

Za začetek morda - kaj sploh je napad DOS, kaj DDOS in kakšna je razlika med njima?

Zelo na kratko: DOS pomeni Denial Of Service, torej je to vsak napad, ki kakorkoli onemogoči računalnik, spletni strežnik ali kar infrastrukturo (usmerjevalnike, strežnike DNS ...). DDOS pa doda besedico Distributed, kar pomeni, da v takem napadu sodeluje več ali kar množica napadalcev.

Napadi DOS in DDOS v resnici niso nič novega, mar ne?

Seveda, eden prvih je bil kar zelo kratek programček v perlu, udp.pl, ki ga Google še danes brez težav najde. Začelo pa se je s Trinoo, TNT in Stacheldraht programi. Prvi napadi so temeljili na pošiljanju (pre)velikih paketov ICMP (te uporablja ping) in t. i. SYN flood, kjer so pošiljali množico paketov SYN, ne da bi čakali na odgovor (ACK). Zaradi tipične konfiguracije sistemov, spomnim se takratnih Solarisov, so strežniki zaradi prekoračitve medpomnilnika nehali delovati. Danes se večinoma uporabljajo napadi s (pre)velikimi paketi UDP, ki zasedejo vso pasovno širino do strežnika, in aplikacijski napadi, ki poskušajo z zahtevami preobremeniti sam strežnik.

Kakšni so sploh cilji takih napadov?

Različno, od medsebojnih napadov "mularije", za zabavo, do primerov, ko je v ozadju denar. Recimo spletne igralnice v Ameriki, ki so večinoma registrirane nekje "off shore", na Bahamih. Konkurenca je huda, zato se igralnice gredo DDOSanje konkurence. Po nekaj urah, ko je igralnica nedostopna, verjetno kar nekaj uporabnikov izgubi živce in se odloči za zamenjavo igralnice.

Ali pa naš, slovenski primer izpred nekaj let, ko se je tak boj vnel med dvema ponudnikoma igralnih strežnikov, ki sta za dostop (na črno, seveda) zaračunavala. Zaradi "zDOSanega" enega strežnika so se igralci preselili na drugega.

Kaj pa državno "DOSanje"?

V zadnjih napadih na Iran, kjer so bili cilj nuklearni objekti oz. organizacije, so zelo verjetno sodelovali Američani, da. No, tega seveda ni moč enostavno dokazati, čeprav je v preiskavi sodeloval tudi slovenski CERT. Si pa predstavljam, da bi bilo v primeru vojaškega napada ene države na drugo verjetno smiselno raziskati internetno strukturo napadenega in mu z natančno usmerjenimi "DDOS napadi" vsaj za nekaj časa ohromiti komunikacijsko infrastrukturo. Verjetno bi bilo smiselno napasti ključne usmerjevalnike na hrbtenici in DNS strežnike. Mimogrede, napadi DNS strežnikov so znani, tudi pri nas je bil pred leti DOSan SiOLov strežnik.

Težava napadov DDOS je verjetno množica računalnikov, ki v njih sodelujejo.

Res je. V resnici poznamo tri načine, kako strežnik zasuti s prometom številnih računalnikov. Najpreprostejši, a zelo učinkovit je volonterski pristop, ki je bil uporabljen v napadih na Estonijo leta 2007. Takrat so se na ruskih forumih začela pojavljati navodila, kako v ukaznem oknu sestaviti ukaz ping, ki bo pošiljal dovolj velike pakete izbranim estonskim strežnikom (šlo je za maščevanje, ker je estonska vlada dala odstraniti neki sovjetski spomenik). Množica uporabnikov, ki so navodila uporabili, je bila dovolj velika, da so imeli v Estoniji hude težave, kako strežnike napadenih ministrstev, nekaterih časopisov in nacionalne televizije spet "spraviti v svet". Uspelo jim je šele s pomočjo drugih evropskih centrov CERT (tudi našega) in z uporabo dragih strojnih naprav Argon networks.

Podoben, volonterski način je v uporabi danes, pri napadih na nasprotnike strani Wikileaks, le da si napadalci namestijo posebnega odjemalca. Ta njihov računalnik preda v uporabo centralnemu nadzorniku in ta potem z njimi "strelja" v izbrano tarčo (mastercard.com, visa.com).

Tretji način pa temelji na okuženih računalnikih, ki imajo na ta način nameščenega odjemalca (t. i. bota), s katerim centralno upravljajo brez vednosti uporabnika tega računalnika.

Kako pa se jih lahko ubranimo? Videti je, da težko, glede na težave mastercard.com in visa.com, ki smo jim bili priča?

Osnovne napade lahko odvrnemo s pravilno spisanimi pravili na večjih usmerjevalnikih Cisco ali Juniper. Uporabimo npr. pravilo, da je X paketov UDP na sekundo dovoljenih, če jih je več, gre najverjetneje za napad in se jih ignorira. Za napad, kjer množica napadalcev "bere" neko izbrano spletno stran, pa se pred spletni strežnik namesti posredniški (proxy) strežnik, ki potem take strani streže bliskovito hitro, kar iz pomnilnika.

Kako pa tak centraliziran sistem za DDOSanje sploh deluje, kako ga je mogoče odkriti in razbiti?

Pri uporabniku nameščeni "bot" (odvisno seveda od izvedbe) se ponavadi povezuje na neki spletni naslov (kontrolni strežnik), kjer poskuša prebrati seznam "tarč", oziroma sprejeti navodila, kdaj in kam mora "streljati". S tem kontrolnim strežnikom upravlja zlonamerni "heker" ali skupina, pri tem pa seveda ne moremo privzeti, da je ta kar pri hekerju doma, temveč gre le za enega izmed zlorabljenih računalnikov.

Odkrivanje gre ponavadi po verigi nazaj. Najprej na napadenem strežniku vidimo, katera IP številka ga napada (okuženi računalnik), organi pregona pa lahko od ponudnika interneta hitro ugotovijo, kdo je lastnik te IP številke. Ko tako dobimo dostop do okuženega računalnika, je treba izolirati sam "bot" in ga analizirati. Ugotoviti, kaj počne in na kateri strežnik se povezuje. Mimogrede, tukaj, za tole steno, imamo dva od sveta izolirana računalnika, ki ju uporabljamo prav v ta namen. S tem smo ugotovili, kje je kontrolni strežnik; če dobimo fizični dostop do njega in njegovih LOGov, lahko v zapiskih zelo verjetno najdemo tudi IP številko samega nadzornika/hekerja.

Mimogrede, naj se pohvalim, da smo ravno pred kratkim sodelovali pri razvozlavanju nekega takega omrežja; na koncu je eden naših strokovnjakov pričal na sodišču v New Jerseyju, kjer so izvajalca napadov tudi na podlagi naše analize in pričanja že obsodili. V ZDA gre to malce hitreje kot pri nas, če smem pripomniti.

Popravite me, če se motim - živim v prepričanju, da če je za medsebojno komunikacijo uporabljeno omrežje TOR, je promet enostavno nemogoče razvozlati. In če bi "boti" s kontrolnimi strežniki komunicirali na tak način, enostavno ni nobene možnosti, da bi tako omrežje razbili?

K sreči boti še niso tako sofisticirani, da bi imeli vgrajene TOR odjemalce. Smo pa imeli že kar nekaj primerov, ko je nekdo pri goljufijah ali grožnjah pošiljal elektronsko pošto prek TOR omrežja. Prišli smo do nekega IP naslova in upali, da gre za naslov pošiljatelja, pa se je izkazalo, da gre za uporabnika, ki ima na svojem računalniku nameščen odjemalec TOR in le sodeluje pri posredovanju šifriranih povezav do drugih odjemalcev TOR.

To, da ima odjemalec TOR, ni nič nelegalnega?

Seveda ne. Uporaba v nelegalne namene pa je eno izmed pravnih vprašanj glede interneta, kjer je še veliko sivine. Mi kot preiskovalci v takem primeru končamo. Nimamo kaj.

Se pravi, da imajo "zlobneži" v resnici orožje, ki je nezlomljivo?

Da, v resnici se tako preiskovanje izkaže za preveč zapleteno, drago in dolgotrajno. Razvozlati bi namreč morali IP naslov naslednjega odjemalca TOR, pa naslednjega, pa naslednjega ... Lahko pa narediš to, da kakšne zadeve podtakneš na strežnik pod tvojim nadzorom in storilca zvabiš tja. Najbolj enostaven primer je, da na strežnik, do katerega heker dostopa prek TORa, odložiš neke datoteke in potem gledaš, kdo, s katerega IP naslova, je posegal po njih. Lahko, da je do njih spet posegal prek TORa, lahko pa tudi, da se bo spozabil. To je človeško in se zgodi.

Pa se res spozabijo?

Pred kratkim sem bil v Roterdamu na simpoziju, kjer je bilo zanimivo predavanje ameriškega "secret servicea". Razložili so, kako so razbili omrežje hekerjev, ki so vdrli v neko banko, multinacionalko, prišli do internega strežnika in baze, ki je shranjevala številke kartic in pine. Nešifrirane! Te podatke so hekerji pobrali in jih distribuirali okrog drugim po vsem svetu. Ljudem, ki jih niti niso poznali. Neko omrežje oportunističnih kriminalcev, ki so potem iz teh podatkov naredili kopijo kartice, šli na bankomat in s PINom dejansko dvigovali denar. Iz podatkov so vedeli tudi, koliko ima človek limita, tako da niso dvigovali preveč naenkrat. Kako so jih potem dobili? Dobili so jih na take ... napake. Predavatelj je rekel, tako delamo. Mi čakamo. Normalno policijsko delo. Nekdo se skriva in skriva, čakaš in prej ali slej bo naredil neko napako. In so ujeli te, ki so dvigovali denar. Dva so dobili, ko sta denar spravljala kar v vreče. Ženski, ki je stala v vrsti, se to ni zdelo v redu, in ju je prijavila. Nato so jima zasegli telefon in računalnik in videli, s kom sta komunicirala, in na koncu so po dolgi in obsežni akciji razbili celotno omrežje.

Verjetno težave eksponenčno narastejo, ko gredo povezave prek državnih meja?

Vsekakor, še posebej, če so vpletene države, ki imajo zgodovino ne najboljšega sodelovanja pri takih preiskavah. Predstavljam si, da v Rusiji za raziskovanje prej omenjenih napadov na Estonijo ni bilo ravno veliko navdušenja. Tudi sicer je Rusija ena izmed držav, ki je zaenkrat še nekoliko "težavna" glede kiberkriminala. Spomnim se primera, ko smo nedvoumno ugotovili, da je storilec komuniciral prek poštnega portala inbox.ru, vendar se je postavilo vprašanje, ali bo ruska policija sploh ukrepala. Takrat, ko smo to delali, je bilo to še zelo vprašljivo, zdaj malo manj. So pa zato še vedno na voljo države, kjer na sodelovanje bolj ali manj ne moremo računati. Trenutno sta taki tudi Nigerija in Gana.

Morda še mnenje o samem Wikileaksu. Zdaj, ko so se razširili na tisoče zrcalnih naslovov, je verjetno mogoče zagotovo reči, da jih ne bo mogoče zbrisati iz spleta?

Da, težko si predstavljam, da bi jih, mislim, da je to bolj ali manj nemogoče. Težko bi dovolj hitro našli vse strežnike v vsej tej množici držav in jih blokirali. Tudi po filmskem scenariju, ko bi Obama dvignil telefon in dal zeleno luč NSA, FBI in Pentagonu za usklajeno akcijo brisanja strežnikov.

Po drugi strani, ZDA so v resnici ustanovile internet in tudi ICANN, ki zdaj vzdržuje vrhnje domene za svetovni internet. Teoretično bi verjetno lahko CIA vpadla v ICANN in izbrisala Wikileaks, ali pač ne?

V resnici ne, ker odgovornost za posamezne svetovne poddomene leži na lokalnih upravljalcih. Za domeno .SI, recimo, skrbimo mi pri ARNESu. ICANN bi lahko v fantazijskem scenariju le zbrisal celotno domeno .SI (oziroma švicarsko .CH, če smo pri wikileaks.ch), a si težko predstavljam, da bi si kdo to upal narediti. S tem bi de facto zbrisali iz interneta cele države, to pa ni več hec. Po drugi strani pa bi se dalo tudi tak skrajni ukrep hitro kompenzirati.

Za konec, kaj pa naš wikileaks, ki smo ga postavili na wikileaks.mladina.si, je varen?

Odvisno od tega, kako dobro skrbite zanj! Če pa, recimo, CIA vdre v centralni Wikileaksov strežnik, od koder rsyncajo kopije, vam lahko podtaknejo različne vsebine tudi na wikileaks.mladina.si in dobijo dostop do njega. Ko so enkrat tam, lahko nadaljujejo z raziskovanjem vašega lokalnega omrežja in poskusijo vanj podtakniti kakšne trojance na prenosnike. Vprašanje, ali ste dovolj zanimivi za takšno akcijo, pa seveda prepuščam vam ...

Na naslovu

www.monitor.si/datoteke/botnet.avi

si lahko pogledate, kako je videti povezava s kontrolnim strežnikom anonps.net, ki se je uporabljal v napadih na mastercard.com in visa.com.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki