V kontexte ostatných udalostí a útokov na české firmy, média a banky sa ukázalo že väčšina ľudí predpokladá že tento typ útoku je výhradne aktom vandalizmu. Ukážeme si že to tak nie je. Doba kedy sa útoky (nielen) kategórie Denial of service / Distributed denial of service robili čiste ako demonštrácia technologických schopností geekov sú dávno preč.
Útoky typu DoS boli populárne odjakživa, je pomerne široko známy napríklad Ping of death prípadne Ping flood.
Neskôr boli široko používane útoky z kategórie SYN flood, UDP flood a podobne. Tento typ bol obzvlášt obľúbený na univerzitnej pôde kde boli široké linky a minimum ochranných mechanizmov. Študenti sa bežne zabávali s nástrojmi ako je hping a vzájomne si zhadzovali mašiny, najmä tým ktorý tomu menej rozumeli. :)
Presný termín kedy sa z tychto útokov stal výnosný biznis model nepoznám (netuším kto speňažil prvý botnet), ale pre majiteľa botnetu je najlepší biznis prenájom kapacity napadnutých počítačov. Takto je napríklad odosielaný spam a sú realizované i DDoS útoky (samozrejme na DDoS sú aj iné metódy, viď napríklad LOIC a Anonymous, ale pre potreby krátkosti tento aspekt vynechávam).
Skúste si predstaviť že ste v pozícií biznisu ktorý na elektronickej komunikácií závisí – ste e-shop, banka s e-bankingom, webový portál. Vaše príjmy závisia výrazne na tom že sú vaše weby dostupné online. Nie je neobvyklé že na vás demonštratívne zaútočia na dve hodiny (botnety sa často účtujú po hodine) a následne príde oznámenie že sa budete deliť o zisky, inak budete nedostupný. Tento model bol veľmi populárny okolo roku 2006 a cielený na e-shopy.
Ako som sa dozvedel po novom sa poskytuje ochrana pred týmto útokom a to tak že zaplatíte pevnú čiastku a ako bonus v prípade že vaša konkurencia požiada o útok na vás bude táto požiadavka ignorovaná.
Tým sa dostávam k obchodnému modelu dva. Model spočíva v tom že útočník prevedie analýzu trhu, najde si minimálne dva relevatné subjekty a nechá ich licitovať na koho bude útok vedený. To mi príde zvlášt pikantné a sadistické.
Ako sa stanovuje cena za ochranu?
Útočníci často vedia koľko stojí kapacita linky, paušál v nejakej CDN alebo napríklad u CloudFlare a stanovia cenu nižšiu ako vychádzajú uvedené obranné mechanizmy. Takáto jednoduchá ekonómia za tým všetkým je.
Ako je vidieť ide v zásade o obdobu výpalníctva známeho z devätdesiatych rokov, teda nič inovatívne.
Veľmi kreatívny spôsob zarábania zvolili script kiddies v roku 2010 keď prišli s požiadavkou že útokom bude možné odolať v prípade že si cieľ kúpi ich prostredníctvom služby veľmi známej CDN ktorá spustila affiliate program. V tomto prípade však stačilo požiadať o informácie ako a kam zaplatiť a CDN informovať o tom že ich affiliate partner takýmto spôsobom zneužíva program. Je pravda že existovalo pre klienta riziko že DDoS bude pokračovať, ale odhad bol správny že ide iba o amatérsky pokus.
Ďalší dôvod prečo sa objavia útoky na mediálne exponované stránky je demonštrácia sily botnetu. Ide o to že na navštevovaných stránkach sa demonštruje sila a skutočnému cieľu príde iba výzva na úhradu s tým že keď veľké portály neodolali ako chcú odolať oni? Opäť ide ale o variáciu známeho výpalníctva. V prípade zaznamenanom na českom internete môže ísť o demonštráciu sily s tým že Česká republika poslúžila ako digitálna strelnica.
Na záver: koľko vlastne stojí prenájom botnetu a kto za to môže?
Hoci to môže znieť šokujúco botnety sú celkom lacné, v roku 2010 keď som sa problematikou zaoberal najvýraznejšie bolo možné prenajať botnet už od 10 USD za hodinu a priemerná cena bola okolo 150 USD za 24 hodín. Kvalitnejšie botnety ktoré garantovali útočnú kapacitu stáli od cca 200 USD. Holt, i skladník ve šroubárně si může pronajat botnet. :)
Za najväčšie zlo posledných cca dvoch rokov pokladám Javu vzhľadom k tomu ako Oracle pečie na jej bezpečnostné opravy a client side útoky to myslím celkom potvrdzujú, takže ak chcete jednoznačného vinníka vylejte si zlosť na Oracle. Možno ten bordel začnú opravovať. :)