Hlavní navigace

Úspěšný útok na Internet -- II?

Michal Krsek

Před týdnem jsme se zabývali možnostmi útoku na internetovou infrastrukturu jako takovou (=Internet). Dnes se podíváme na to, jakými způsoby lze úspěšně zaútočit na aplikace (=internet). Takových útoků je mnohem více, jsou snadněji dosažitelné a jejich efekt na koncové uživatele (a média) bude stejný.

Pravděpodobně nejjednodušším útokem je útok na zdroje, které poskytují obsah. Protože velká část uživatelů se k Internetu chová jako k televizi, vyřazením několika „kanálů“. Těmi kanály jsou jednak velké portály a jednak servery se všeobecným zpravodajským obsahem. V ČR jde o cca deset zdrojů, které závisí většinou na jednom poskytovateli služeb (takže je třeba zlikvidovat nějakých deset subjektů). V případě celosvětového útoku jde sice počet do stovek, nicméně stále se jedná o relativně snadný cíl.

Útok na zdroje je možné uskutečnit několika způsoby.

Prvním a nejjednodušším je uskutečnit útok na funkčnost serverů (DoS útok) pomocí vygenerování velkého množství validních požadavků. Samozřejmě je většina serverů chráněna nějakým tím firewallem, takže klasické útoky s pomocí zfalšovaných hlaviček či využití specifické chyby operačního systému serverů nepřichází v úvahu. Nicméně většina zpravodajských serverů používá dynamicky generované stránky, a není je těžké stonásobkem běžných požadavků zlikvidovat. Nejvhodnější je útočit z mnoha počítačů tak, aby správci serverů nedokázali identifikovat útočníka (k tomu můžeme použít trojských koňů distribuovaných způsobem popsaným v minulém článku).

Druhým možným útokem na zpravodajské servery je útok na ISP, kteří jim poskytují konektivitu. Nemusíme přitom útočit na celou síť dotyčného ISP, stačí útok na přístupový směrovač (či přístupové směrovače), přes který je dotyčný producent obsahu připojen k Internetu. Takový útok je možný jak organizačně, tak technicky, a dá se dnes zvládnout s nulovým know-how (člověk stáhne útočící skripty).

Třetím, nejvíce nepravděpodobným, útokem je fyzický útok na servery či infrastrukturu. Pro úspěch takového útoku je třeba infiltrovat ISP – nejlépe jeho dohledové centrum – útočníky, kteří budou škodit (není to jednoduché řešení, ale je v principu reálné).

Variantou předchozího typu útoku je útok na keš systémy poskytovatelů obsahu. Značná část velkých poskytovatelů obsahu používá pro snížení zátěže svých systémů transparentní proxy keše. Pro úspěšný útok stačí vyřadit tuto keš – i když budou webové servery poskytovatele obsahu v pořádku, požadavky se k nim prostě nedostanou.

Druhým způsobem je útok na nějakou službu, která je využívána většinou uživatelů a je jimi chápána jako přirozená součást internetu. Takovou službou je například DNS, na kterou byl veden útok uvedený v předchozím článku. DNS se skutečně jeví jako velmi vhodný cíl. Přestože je tento systém geograficky dobře zajištěn (takže útok zvenčí je poměrně složitou záležitostí), proti útokům zevnitř tak dobře chráněn není.

Při posledním útoku se ukázalo, že většinu kořenových DNS serverů bylo možno vyřadit z provozu pouze generováním velkého množství ICMP paketů (v Internetu používaný například programy ping či traceroute). Jde o velmi známý a v jisté době často používaný útok, proti kterému je dnes většina potenciálních obětí zabezpečena (což o kořenových DNS serverech donedávna neplatilo). Protože administrátoři pravděpodobně své servery proti tomuto typu útoku zabezpečili, pro úspěch je třeba vymyslet jiný scénář.

Máme možnost útočit třemi způsoby.

Nejzákeřnější útok by byl veden přímo na obsah kořenových DNS serverů. Takový útok se již jednou zdařil (některým kořenovým serverům byly podvrženy nesprávné informace, na jejichž základě považovaly servery jednoho z provozovatelů alternativních DNS stromů za autoritativního). Celý systém má velkou setrvačnost, proto i krátkodobé zfalšování záznamů může způsobit problémy velké části těch uživatelů, kteří používají DNS. Úspěch takového útoku by závisel na počtu infikovaných serverů a době, po kterou by byl obsah zón změněn. Útok by byl pravděpodobně veden dvoufázově. V první fázi by došlo pouze k přesměrování na adresy falešných serverů, které by (ovšem) držely správné informace. Fáze druhá by nastala po odhalení útoku, kdy by došlo k vypnutí falešných serverů. Klientské požadavky by byly směrovány na vypnuté servery (až do vypršení timeoutů). Pro zjednodušení první fáze útoku by bylo vhodné nasadit vlastního člověka do vývoje DNS systémů, na kterých běží kořenové DNS servery (ten vpašuje do zdrojového kódu trojského koně, který ulehčí útok).

Další zajímavý útok je útokem na směrovací informace sítí, kde jsou umístěny kořenové DNS servery. Přesměrování na servery s falešným obsahem bude uskutečněno tak, že přesvědčíme velké poskytovatele tranzitní konektivity, že jsme síť (autonomní systém), ve které běží příslušné DNS servery. Takový útok není snadný, ale když ho srovnáme s potřebou rozložit celý směrovací systém (viz. předchozí díl), jde o velmi jednoduchou akci. Při náležitém naplánování akce může být protiakce zpožděna až o několik hodin. Opět se nám hodí zaměstnanci ISP, tentokráte nejlépe z divize network management.

No a nakonec nesmíme zapomenout na obligátní útok pomocí zahlcení systémů poskytujících DNS. Tentokrát není naším cílem zfalšovat obsah, ale prostě přinutit servery, aby neodpovídaly. Útok bude variantou prvního dnes popisovaného útoku. DNS servery jsou sice výkonné stroje, nicméně při plánování jejich výpočetního výkonu se počítá s tím, že až ke kořenovým nameserverům dojdou řádově jednotky procent DNS provozu. Máme-li k dispozici dostatečné množství připojených počítačů, můžeme vygenerovat takové množství požadavků, které servery nebudou schopny zvládat, a zároveň jejich administrátoři nebudou schopni všechny útočící klientské počítače odříznout (kvůli jejich počtu a jejich rozmístění po celém světě).

Protože v okamžiku, kdy nefunguje DNS, není běžný člověk schopen s internetem fungovat (nefunguje žádná „písemná“ adresa), faktickým vyřazením DNS z provozu dosáhneme nefunkčnosti internetu, jak ho běžní uživatelé používají.

Zcela jistě existují další reálné možnosti útoků, které zůstaly nepopsány. Laskavý PT čtenář si jistě všiml, že popsané scénáře jsou dostatečně obecné. Proto je autorem prošen o to, aby i příspěvky do diskuse byly v rozumné míře zobecněny. Internet (s velkým i malým „I“) není odolný vůči všem druhům útoků a hrozba například posledně jmenovaného není jen teoretická.

Našli jste v článku chybu?

21. 12. 2003 20:22

peter (neregistrovaný)
hmmmmm - mikrovlnky, TNT, Rambovia odstrelujuci servery a hlusiaci nic netusiacu obsluhu hadzanim CD-ciek (s tvrdenym povrchom) ... to je vsetko trochu nakladne (spocitajte si len cenu municie). To u nas (na Slovensku) sa podarilo jednej nemenovanej firme zrusit narodny internet na takmer dva dni a este sme si za to aj zaplatili !

22. 12. 2002 19:42

Ondrej (neregistrovaný)
Nekomu z Ameriky se podarilo nabourat se mi do systemu pres internet, ale nyni uz mam system chranen. Bylo to velmi neprijemne...
Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče