Press Release, Κυβερνοπόλεμος

Τι είναι οι κυβερνοεπιθέσεις DDoS και πως μπορούν να αντιμετωπιστούν

Γράφει η Σωτηρία Καρυοφύλλη,

Τα τελευταία 24ωρα γίνεται λόγος για επιθέσεις στην τράπεζα θεμάτων των προαγωγικών και απολυτηρίων εξετάσεων των λυκείων, με αποτέλεσμα να μην υπάρχει πρόσβαση από τους χρήστες στην σχετική πλατφόρμα. Με αφορμή αυτό το περιστατικό, κρίνεται σημαντικό να γίνει λόγος για το συγκεκριμένο είδος Κυβερνο-επίθεσης, το οποίο ονομάζεται DDoS, ως μια ευκαιρία για ενημέρωση του κοινού και πληροφόρηση σχετικά με τους τρόπους προστασίας.

Η επίθεση DDoS (Distributed Denial-of-Service Attack) ή αλλιώς Κατανεμημένη Επίθεση Άρνησης Υπηρεσίας, είναι κάθε κακόβουλη προσπάθεια υπερφόρτωσης της κυκλοφορίας δεδομένων σε μια συσκευή ή δίκτυο υπολογιστών, με σκοπό την πρόκληση δυσλειτουργίας σε αυτά, είτε εξαντλώντας τους πόρους μιας εφαρμογής, είτε διακόπτοντας ολοκληρωτικά τις υπηρεσίες δικτύου. Πιο συγκεκριμένα, η υπερφόρτωση της κυκλοφορίας προκαλείται με την επάλληλη αποστολή δεδομένων στις συσκευές-στόχους από ένα εξωτερικό κακόβουλο χρήστη ή, όπως συνηθίζεται να αναφέρεται, hacker. Ο αυξημένος όγκος δεδομένων που προκύπτει από την επίθεση δεν επιτρέπει την είσοδο νέων δεδομένων, με αποτέλεσμα οι χρήστες των συσκευών-στόχων να μην μπορούν να πραγματοποιήσουν ενέργειες, καθώς καθεμία απαιτεί και την ανταλλαγή δεδομένων. Έτσι, το τελικό αποτέλεσμα της DDoS attack είναι να αποκλείεται η πρόσβαση των εξουσιοδοτημένων χρηστών στο δίκτυο. Γενικά, αυτός ο όγκος δεδομένων προέρχεται από ένα σύνολο διασυνδεδεμένων συσκευών, οι οποίες έχουν μολυνθεί με κάποιο malware (κακόβουλο κώδικα με στόχο την πρόκληση βλάβης στο χρήστη ή την απόκτηση προσωπικών δεδομένων). Κάτι τέτοιο επιτρέπει στο διαχειριστή του malware να ελέγχει και να πραγματοποιεί ενέργειες συγκεντρωτικά, λειτουργώντας ως botnet (σύνολο συσκευών που έχει μολυνθεί από malware και ελέγχεται από το διαχειριστή του). Επομένως, αποστέλλοντας τις κατάλληλες εντολές, το botnet αποστέλλει δεδομένα στις συσκευές-στόχους ταυτόχρονα και διαδοχικά.

Σε αυτό το σημείο πρέπει να γίνει μια διαφοροποίηση μεταξύ επιθέσεων DDoS και DoS. Η διαφορά έγκειται στον αριθμό των μηχανών που επιτίθενται. Στην περίπτωση της Άρνησης Υπηρεσίας (DoS), η επίθεση συνήθως χρησιμοποιεί ένα σενάριο ή εργαλείο, προέρχεται δηλαδή από μια μεμονωμένη συσκευή και στοχεύει έναν συγκεκριμένο server ή endpoint. Αντιθέτως, η επίθεση DDoS πραγματοποιείται από ένα μεγάλο δίκτυο παραβιασμένων συσκευών, που ελέγχονται και μπορούν να χρησιμοποιηθούν για την υπερφόρτωση επιλεγμένων ιστοτόπων, υπηρεσιών ή και γενικών δικτύων των θυμάτων. Μερικές από τις πιο κοινές DDoS Attacks είναι ονομαστικά οι ογκομετρικές επιθέσεις, οι επιθέσεις πρωτοκόλλου και οι επιθέσεις επιπέδου εφαρμογής.

Υπάρχουν ορισμένες ενδείξεις που δείχνουν ότι το δίκτυο δέχεται επίθεση DDoS. Αρχικά, μπορεί να εμφανίζεται μια ξαφνική αύξηση κυκλοφορίας στο web που προέρχεται από την ίδια διεύθυνση ή περιοχή διευθύνσεων ΙΡ. Στη συνέχεια, ενδέχεται να υπάρχουν αργές ή ακανόνιστες επιδόσεις δικτύου και, τέλος, η υπηρεσία δικτύου, το ηλεκτρονικό κατάστημα ή κάποια άλλη υπηρεσία να αποσυνδέονται τελείως.

Τα πιο συνηθισμένα κίνητρα των κυβερνοεγκληματιών αποτελούν η απόκτηση χρημάτων πουλώντας επιθέσεις DDoS ως υπηρεσία, ο εκβιασμός των πιθανών στόχων για να πληρώσουν λύτρα, ο χακτιβισμός και η απόκτηση ανταγωνιστικού πλεονεκτήματος. Στον τομέα αυτό, πολύ συχνά αποτελούν στόχο  εταιρίες και οργανισμοί, για αυτό το λόγο κρίνεται απαραίτητο να αναφερθούν κάποιοι τρόποι προστασίας ενάντια σε τέτοια περιστατικά κυβερνοεπιθέσεων.

Αρχικά, είναι σημαντικό να υπάρχει κατάλληλη εκπαίδευση του προσωπικού των επιχειρήσεων για τους τρόπους διάδοσης τέτοιων επιθέσεων, για τον εντοπισμό και την αποφυγή ενεργειών, που ενδεχομένως αποδειχθούν κακόβουλες μελλοντικά. Σημασία, επίσης, πρέπει να δίνεται και στη δημιουργία ενός σχεδίου δράσης ή μιας στρατηγικής άμυνας κατά των επιθέσεων DDoS, ως έτοιμη λύση στην περίπτωση που προκύψει οποιοδήποτε πρόβλημα.

Φυσικά, η συνεργασία με ειδικούς κυβερνοασφάλειας αυξάνει την προστασία, καθώς έτσι προτείνονται και υλοποιούνται στρατηγικές λύσεις, ενώ παρέχονται και κατάλληλα εργαλεία προς εγκατάσταση από καταρτισμένο προσωπικό. Τέτοια εργαλεία βοηθούν στη μείωση του ποσοστού κυκλοφορούντων δεδομένων σε ένα δίκτυο μέσω της χρήσης πλαφόν κυκλοφορίας, ώστε να αποφεύγεται η υπερφόρτωση του δικτύου, ένας όρος που ονομάζεται rate limiting.

Συγχρόνως ένα web application firewall (WAF) τίθεται στη σχέση μεταξύ ενός server και του διαδικτύου, για να αναχαιτίσει οποιαδήποτε ύποπτη ροή δεδομένων, ενώ μια ευρύτερη χρήση υπηρεσιών Cloud φαίνεται να επιδρά προστατευτικά μειώνοντας  τους κινδύνους που προκύπτουν από οποιαδήποτε επίθεση DDoS.

Τέλος, χρειάζεται να ακολουθούνται γενικότερα κανόνες καλής κυβερνο-πρόληψης, οι συσκευές και τα λογισμικά να παραμένουν ενημερωμένα και να υπάρχει πολυεπίπεδος έλεγχος και λύσεις ασφαλείας, ώστε προληπτικά οι συσκευές να μην αποτελούν μέρος ενός πιθανού botnet.

 

Πηγές:

https://www.orthology.gr/el/blog/item/84-ddos-attack.html 

https://www.eset.com/gr/distributed-denial-of-service/ 

https://www.microsoft.com/el-gr/security/business/security-101/what-is-a-ddos-attack