Programišiams NATO susitikimas jau prasidėjo: kaip apsisaugoti nuo purtančių DDoS atakų

Praėjusią savaitę per Lietuvą nusiritusi paskirstytųjų paslaugų trikdymo (DDoS) atakų banga dar kartą priminė, jog šiuo metu internete saugiai jaustis nebegali nė viena organizacija. Šįkart programišiai puolė nesirinkdami – jie kirto ir valstybinėms institucijoms, ir didesnių bei mažesnių verslo atstovų sistemoms. Visgi ekspertai tai vadina tik lengvu apšilimu prieš liepą Vilniuje organizuojamą NATO viršūnių susitikimą ir pateikia kelis patarimus, kaip pasiruošti galimai dar labiau išaugsiančiam DDoS atakų skaičiui.

Per DDoS atakas įvairių įstaigų ir įmonių sistemos buvo bombarduotos užklausomis iš milijonų užkrėstų kompiuterių, telefonų ir kitų įrenginių, tokiu būdu siekiant jas padaryti nepasiekiamas teisėtiems vartotojams.

„Kibernetinio saugumo prasme Lietuva niekada nebuvo saugus uostas, bet tokie šalyje vykstantys pasaulinės reikšmės renginiai, kaip NATO viršūnių susitikimas, į mus dar labiau nukreipia įvairių kibernetinių nusikaltėlių taikiklį. Pastarieji labai dažnai taip siekia tik kelti chaosą ir visa tai naudoti viešiesiems ryšiams, todėl jų veiksmuose ieškoti logikos beprasmiška – nuo programišių gali kliūti iš esmės bet kuriai lietuviškai interneto svetainei, nepriklausomai nuo jos dydžio ar turinio. Geriausias būdas nuo to apsisaugoti yra specializuotos antiDDOS gynybos priemonės, pavyzdžiui, „Cloudflare“ ar panašios sistemos, kitų specializuotų priemonių naudojimas bei svetainės ir įmonės IP adresų „higiena“, – teigia „Telia“ Skaitmeninės pažangos centro kibernetinio saugumo ekspertas Darius Povilaitis.

Pradėkite nuo „Cloudflare“

Pasak D. Povilaičio, DDoS atakos esmę geriausiai padeda paaiškinti analogija, kurioje organizacijos internetinis puslapis ar sistema yra viešai prieinama kelis šimtus vietų turinti automobilių stovėjimo aikštelė. Kol ja naudojasi klientai, eismas vyksta tinkamai, tačiau vieną dieną piktavaliams į ją sukvietus tūkstančius ar milijonus automobilių, joje susiformuoja kamštis ir klientai nebeturi galimybės privažiuoti bei pasinaudoti įmonės paslaugomis.

„Plačiai pasaulyje ir Lietuvoje žinoma „Cloudflare“ apsaugos nuo DDoS paslauga veikia kaip savotiškas eismo reguliuotojas, automatiškai patikrinantis kiekvieną įvažiuojantį ir sulaikantis įtartinus lankytojus. Kitaip tariant, sistema atpažįsta ir gali būti suderinta blokuoti tam tikrų IP adresų ir botų kenkėjišką elgesį bei juos blokuoja, taip neleisdama susiformuoti tyčia sukeltam „kamščiui“ ir išlaikydama svetainę pasiekiamą paprastiems vartotojams. Nepaisant to, kad ši paslauga yra nebrangi ir nesunkiai įjungiama, taip prieinama plačiam vartotojų ratui, nemaža dalis Lietuvos organizacijų yra visiškai neapsaugotos, kas ir lemia didelį DDoS atakų mastą šalyje“, – aiškina pašnekovas.

Pasirūpinkite „palaidais“ IP adresais

Vis dėlto antiDDoS gynybos priemonių paslaugų įdiegimas automatiškai neapsaugo nuo išmanesnių programišių, kurie geba atrasti tiesioginius interneto svetainės IP adresus, pasinaudoti neteisinga konfigūracija arba pačios „Cloudflare“ sistemos savybėmis ir taip apeiti gynybinius filtrus.

„Geras to pavyzdys – nuolat atakuojama Lietuvos Respublikos Seimo svetainė. Interneto duomenų bazėse nesunkiai buvo galima rasti  Lietuvos Respublikos Seimo svetainių IP adresų istoriją, o Lietuvos Respublikos Seimo tinklo IP adresus išduoda ir el. paštu siunčiami laiškai. Naudojant šią informaciją galima susikurti kenkėjiškas „Cloudflare“ paskyras ir per jas atakuoti tikrąsias svetaines.  Todėl yra labai svarbu suprasti, kaip veikia gynybinė sistema, kokie jos privalumai bei trūkumai, ir kaip juos išnaudoja programišiai“, – pataria „Telia“ Skaitmeninės pažangos centro atstovas.

Papildomą dėmesį sutelkite užsienio prieigai

D. Povilaitis akcentuoja, kad didelės dalies DDoS atakų atveju įstaigų ir įmonių sistemos bombarduojamos užklausomis iš milijonų užsienio šalyse užkrėstų kompiuterių, telefonų ir kitų įrenginių. Taigi, jeigu svetainė skirta pirmiausia Lietuvos lankytojams, prieiga iš užsienio turėtų būti papildomai apsaugota. Tai padaryti galima užsienio lankytojams nustačius, pavyzdžiui, „JS Challenge“ apsaugą – vartotojas arba vartotojo naršyklė turi atlikti tam tikrus veiksmus, kad būtų prileisti prie svetainės – dažnai tai tampa problema DDOS atakoje dalyvaujantiems įrenginiams.

Įvertinkite galimybę naudoti „Rate Limiting“ režimą

Dar viena strategija, kurią galima panaudoti kovai su DDoS – „Rate Limiting“ režimas. Jis leidžia nustatyti, kiek užklausų per tam tikrą laikotarpį gali įvykdyti kiekvienas lankytojo IP adresas, ir pasiekus tam tikrą limitą užblokuoti visus jo kreipinius.

Padėti gali ir ryšio operatorius

Ekspertas prideda, kad kovoje su DDoS naudingas gali būti ir ryšio operatoriaus indėlis. DDoS apsaugą įsigijusių klientų interneto ryšio kanalas gali būti saugomas, o kombinuojant šią apsaugą bei ryšio operatorių galimybes naudoti aibę IP adresų kartu su specializuotomis antiDDOS apsaugos sistemomis, tokiomis kaip „Cloudflare“, tiek ryšio linijos, tiek svetainės apsauga gali būti tikrai aukšto lygio.

„Užfiksavus neįprastai didelį ar specifinį srautą bei kitus DDoS būdingus požymius, sistema automatiškai pradeda valyti kliento ryšio kanalą. Jei kliento svetainė pasiekiama per šį ryšio kanalą, ji tampa nepasiekiama iš kitų šalių, bet išlieka atvira vartotojams Lietuvoje. Tačiau, kaip jau buvo minėta, geriausi rezultatai pasiekiami kombinuojant įvairių gynybinių sistemų galimybes. Apie besitęsiančią ataką klientas yra nedelsiant informuojamas ir kartu su juo ieškoma situacijos sprendimo variantų, jei jų reikia“, – tradicinę žalos valdymo veiksmų seką atskleidžia „Telia“ Skaitmeninės pažangos centro kibernetinio saugumo ekspertas.