Hlavní navigace

Útok proti WikiLeaks: Když hacktivisté bojují mezi sebou navzájem

Pavel Čepský

Pokusy o odstavení vybraných serverů a jejich služeb patří mezi stále se opakující útoky, průběžně se však mění jednotlivé cíle i použité techniky. Co právě hýbe touto oblasti a na co se můžeme (ne)těšit?

Server WikiLeaks se na jedné straně těší velké popularitě, zároveň je však trnem v oku nejen různým vládním organizacím, ale také běžným uživatelům. Není proto divu, že se čas od času objeví akce, která se snaží oblibu či funkce serveru nabořit. První polovina tohoto měsíce se nesla v duchu plánovaného a cíleného DDoS útoku, který Wikileaks odstavil na dobu více než jednoho týdne.

Pro úplnost dodejme, že server byl zavalen masivními požadavky a útok vyřadil z provozu také zrcadlené či spřátelené weby. Na první pohled by se mohlo jednat o běžný DDoS útok, jichž průběžně přichází velké množství, nicméně bylo zde přeci jen několik atypických prvků. Tím nejvíce markantním se stala síla útoku 10 Gb/s, který při zorganizování jedinou skupinou dosahuje nadprůměrných hodnot. K útoku se oficiálně přihlásila skupina AntiLeaks, která vystupuje proti žádosti zakladatele WikiLeaks Juliana Assange o azyl v Ekvádoru.

Z pohledu bezpečnosti tedy bylo zajímavé sledovat, jak bude celý DDoS popsán – nakonec se potvrdila domněnka o využití takzvaného DNS amplification útoku. Hlavní roli v tomto scénáři hrají otevřené (často špatně nakonfigurované) DNS servery, na které útočníci vyšlou požadavky s podvrženou adresou cíle útoku, ve finále je pak tento požadavek DNS serverem zesílen. Při správné volbě dotazů se tak tyto otevřené DNS servery stávají ideálním nástrojem pro zneužití a cílenému znásobení datového toku, kterého by jinak útočníci jen stěží dosáhli. S rostoucím počtem zneužitých DNS serverů je útok silnější a zvyšuje se datový tok.

Ačkoliv si to v současnosti příliš neuvědomujeme, stáváme se v posledních měsících svědky historického milníku, který opět posune termín hacking někam dál. Stále častěji jsou členové různých sdružení označování jako hacktivisté – skupiny, které využívají síťové útoky a hacking k tomu, aby upozornili na ožehavá témata a svými činy podporovali konkrétní věc. Dle jejich mínění jde vždy o dobrou věc (nebo boj proti potenciálně špatné věci, jako v aktuálním případě AntiLeaks), což je vždy hlavní ingredience specificky motivovaných útoků. I když se útočníci hájí myšlenkou boje za něco nebo proti něčemu, jedná se o útoky jako kterékoliv jiné.

WikiLeaks
Kauzy kolem WikiLeaks hýbou nejen světem počítačů

Moderní síťové války

Na první pohled se může zdát, že DDoS a DoS útoky jsou prakticky identické, pouze se jich účastní větší počet počítačů. Techniky, kterými útočníci poskládají armádu útočících počítačů, se nicméně liší. V případě DDoS útoků byla dříve běžná synchronizace, útočníci se domluvili, jaký typ útoku použijí a ve kterou dobu. Přesně ve stejný čas pak najednou vyslali požadavek na server, který hodlali shodit.

Postupem času ale uvedený přístup začal být neefektivní, a to vinou jak stoupajícího počtu uživatelů, kteří byli pro provedení útoku potřební, tak složitější koordinace. Útočníci proto začali spoléhat na neslavně proslulé botnety, tedy sítě vzdáleně ovládaných počítačů. Základní cíl je jednoduchý: infikovat co nejvíce strojů a získat je pod svou kontrolu, z takto zotročené armády zombie počítačů pak na dálku zároveň odeslat smrtící požadavky vyhlédnutému serveru.

Srovnejme nyní kauzu v podobě souboje AntiLeaks vs. WikiLeaks s dřívějšími DDoS útoky, které naopak bojovaly právě za WikiLeaks. Ano, jedná se o slavné útoky, na nichž se podíleli i běžní uživatelé, stačilo si stáhnout jednoduchého LOIC klienta a začlenit svůj počítač do dobrovolně budovaného botnetu. Výhodou bylo, že cíl a myšlenka měly spoustu sympatizantů, najít dobrovolníky proto nebylo těžké. V případě čerstvého útoku by AntiLeaks základnu dobrovolníků hledalo jen stěží, a proto vsadilo na klasický scénář.

Stávající praxe zatím stále ukazuje, že běžné DDoS útoky hrají prim, a není překvapením využití standardních botnetů. Pro vybudování dostatečně velkého botnetu útočníci nejčastěji volí některého z populárních trojských koní, samotní uživatelé ve skutečnosti zpravidla ani netuší, že je jejich počítač infiltrován. Útočník se totiž snaží všechny své ovečky udržet v domnění, že se nic neděje, a tak nedochází k mazání dat, lákání peněz nebo jiné okaté činnosti.


LOIC se stal jedním z populárních nástrojů pro organizované DDoS útoky

Snad nebude hůř

Mezi moderními DDoS útoky také vyčnívá občasné zneužití P2P sítí, které ukazuje další možnost, jak lze takovýto typ útoků provést. Oproti jiným variantám se často jedná o zneužití chyby v P2P klientovi, a tedy otevření cestičky do uživatelova počítače po jeho odstavení z provozu. První krok spočívá v odpojení klienta od serveru a následném připojení přímo k jeho počítači. Nevýhodou je však nutnosti detailní znalosti konkrétního protokolu a čekání na chybu, na druhou stranu však zneužitím útočník může získat mnoho obětí během okamžiku.

FIN17_soulejova2

Hacktivistům bohužel často jde o velice kontroverzní témata, a tak jsou útoky na služby, které využívají i „normální“ uživatelé bez jakékoliv touhy po webových přestřelkách, minimálně diskutabilní. Pokud některý server nenabídne své služby a běžný uživatel je vinou cíleného DDoS útoku nebude moct využít, jen těžko bude zkoumat, zda hacknutí bylo v zájmu dobré či špatné věci. Odepření přístupu ke službě, kterou právě chce nebo musí použít, prostě a jednoduše nepotěší.

Zajímavým atributem světa moderních hackerů a hacktivistů současnosti se stávají přestřelky přímo mezi jednotlivými skupinami. Proti odstavení WikiLeaks se kdysi postavili Anonymous, válku této skupině pak vyhlásili hackeři z Turecka a nabourali přímo stránku Anonplus.com. Nyní zase AntiLeaks zabojovali proti WikiLeaks a nezbývá než čekat, co nás v podobném duchu během krátkého časového horizontu nadcházejících týdnů či měsíců ještě potká. Propagandistická témata a vzájemné souboje jen tak neutichnou, po dlouhé době právě prožívají svou největší slávu. Jen si přejme, aby z pohledu nestranných a nezaujatých pozorovatelů nebylo mnohem hůř.

Našli jste v článku chybu?
22. 8. 2012 14:08
PT (neregistrovaný)

Musim souhlasit, ze jsme svedky posunu - kybervalky opravdu zacinaji (resp. boje vyplouvaji konecne napovrch) :-) Jak ruzne "gangy" kovboju typu Anon nebo AntiLeaks (a kdovikolik dalsich hackeru s politikou) tak i vlad, viz Stuxnet nebo nedavny Flame nebo hackovani gmailu z Ciny.

Docela by me zajimalo, kolik do toho ruzne vlady pumpuji a jak silne si vytvareji jednotky. Nechci to nejak precenovat, ale ta moznost, ze utocnik muze zustat naprosto neidintifikovan a dokonce utok nerozpoznan po cele…