Što je Botnet i DDoS napad – osnove koje bi trebali znati

Prije nekoliko dana (21.10.2016,) tri vala DDoS napad na DNS (eng. Domain Name System) hosting tvrtku Dyn, srušili su nekoliko najpopularnijih internet servisa: Twitter, Spotify, Reddit, PayPal. Probleme je imao CNN, Wall Street Journal  te pojedine stranica u vlasništvu Amazona. Ali ovoga puta hakeri nisu koristili samo računala ili smartfone, već web kamere s nejasnim porijeklom (uglavnom jeftine kineske) i druge digitalne uređaje koji su činili vojsku botova ili zombija.

Što je Botnet i DDoS napad – osnove koje bi trebali znati

Prije nekoliko dana (21.10.2016,) tri vala DDoS napad na DNS (eng. Domain Name System) hosting tvrtku Dyn, srušili su nekoliko najpopularnijih internet servisa: Twitter, Spotify, Reddit, PayPal. Probleme je imao CNN, Wall Street Journal  te pojedine stranica u vlasništvu Amazona. Ali ovoga puta hakeri nisu koristili samo računala ili smartfone, već web kamere s nejasnim porijeklom (uglavnom jeftine kineske) i druge digitalne uređaje koji su činili vojsku botova ili zombija. Što je botnet? Prema McAfee-u, botnet je mreža računala, mobilnih uređaja ili Internet stvari (engl. Internet of things), često pod kontrolom jednog kontrolnog (P2P) poslužitelja, u koje su ubačeni automatizirani programi za ostvarivanje određenih zadataka. Postoje dvije vrste botneta. Prvi je legitimni i koristi se za znanstvena istraživanja kako bi se pomoglo znanstvenicima smanjiti troškove i povećati učinkovitost obrade podataka.

Drugi je namijenjen stjecanju financijske koristi, krađi osobnih podataka i lozinki, širenju spama, ometanju/blokiranju konkurencije i kao sredstvo prosvjeda protiv odluka tijela javne vlasti ili akcija velikih korporacija. Također se koristi za distribuciju Ransomware-a malicioznog programa. No, botnet uređaji u mreži se ipak najviše koriste za DDoS (eng. Distributed Denial of Service) napade. Što je DDoS napad? DDoS napadi nisu novost i nema dana da negdje u svijetu nisu aktivni distribuirani napadi uskraćivanja usluga na poslužitelje. Nanose štetu tvrtkama, medijima, kartičarskim kućama ili bankama od nekoliko stotina do milijuna dolara. Sve ovisi o veličini i vrsti napada te trajanju koje može bit od nekoliko sati do nekoliko dana. Postoji nekoliko tehnika DDoS napada. Jedna od tehnika je slanje na server(e) žrtve više zahtjeva koji preopterećuju računalne resurse (komunikacijske kapacitete, diskovni prostor ili procesorsko vrijeme) tako da više nisu u stanju pružati namijenjene usluge i „padaju“.

DDoS napade uglavnom možemo podijeliti u tri kategorije:

• Standardni napadi

Iskorištavaju softversku ranjivost sustava, odnosno jednog ili više web poslužitelja za stvaranje DDoS „gospodara“ (eng. master). Potonji komunicira s ostalim ranjivim sustavima (agentima) preko kojih učitavaju specijalizirane programe za generiranje pakete koji na kraju odlaze ka žrtvi. Haker pakete u svim botnet uređajima aktivira samo jednom naredbom prije početka napada.

• „SYN Flooding“ napad koji iskorištava ´propust´ u TCP protokolu. Zastupljen je u 50% svih DDoS napada. Obrana se svodi na analizu paketa koji stižu na server, njihovom filtriranju u vatrozidu ili mrežnoj opremi.

• Napad na krajnje točke/sustava (Application Layer) je teško identificirati jer napadač šalje zahtjeve na server koji na prvi pogled izgledaju legitimno.

Kako pratiti DDoS napade u svijetu? Ako ste zainteresirani za praćenje napade u realnom vremenu to možete učiniti na interaktivnim kartama. Predlažemo vam ih nekoliko.

1. Norsecorp karta pokazuju porijeklo , vrste i mete napada, napadačev IP, itd. Prikaz na karti moguće je filtrirati: prema geolokaciji (Europa, SAD i Kina, Jugoistočna Azija, Zapadna Azija, Latinska Amerika, a globalni prikaz je zadana opcija) i protokolima (HTTP, Telnet, Microsoft-DS, Netis, SSH, RFB, MS WBT…..)

2. Digitalattackmap donosi također prikaz DDoS napada u svijetu i nudi filtriranja prikaza prema veličini napada (veliki,neuobičajen, kombiniran), vrsti napada i trajanju.

2. Kaspersky cybermap https://cybermap.kaspersky.com/stats/ prikazuje u stvarnom vremenu otkrivene botnet aktivnosti iz različitih izvora sustava.

3. Akamai je vizualizacija podataka praćenja u realnom vremenu o globalnom internetskom prometu uključujući viruse, cyber napade i još mnogo toga. Može se filtrirati po regijama.

4. Botnet karta aktivnost prijetnji po Trend Micro-u pokazuje zlonamjerne aktivnosti u mreži.

5. FireEye daje sažetak ukupnih napada na dnevnoj bazi što uključuje podjelu prema industrijskom segmentu i ljestvicu Top 5 napadača po zemlji.

Kako spriječite da vaš uređaj postane dio botnet mreže? Općenito botnet nije štetan za naše računalo ali je visoko rizičan i ne zaostaje za ostalim oblicima zloćudnog softvera. Može se integrirati u ostale funkcije i uništiti datoteke u računalu ili ukrasti podatke o kreditnoj kartici. Predlažemo vam nekoliko osnovnih savjeta za zaštitu:

1. Budite oprezni s USB uređajima koje priključujete na računalo jer mogu prenijeti bot s drugog uređaja i potajno ga instalirati bez vašeg znanja.
2. Koristite dobar anti virusni softver.

3. Budite oprezni kada surfate na internetu jer preko slikovnih datoteka ili dokumenata hakeri mogu lako ubaciti malware u vaše računalo. Čim kliknete na takvu datoteku potencijalno će te zaraziti druge računala na istoj mreži. Vidite li poruke poput obavijesti da ste jedan od izabranih sretnika…., nemojte kliknuti jer bi tako mogli preuzeti bot na računalo.

4. Ne kupujte jeftine kamere i slične elektroničke uređaje kineskih proizvođača ako nisu brand. Odaberite kamera od renomiranih tvrtki i redovito pratiti vezu da vidi da li se nešto čudno događa ili ne.