Weekendul trecut am asistat la unul dintre cele mai mari atacuri din istoria Internetului
3 min read
Dacă ați încercat weekendul trecut să navigați pe Twitter, Amazon sau AirBnB, probabil că ați întâmpinat dificultăți de încărcare a site-urilor, într-un caz fericit sau chiar cel mai probabil un mesaj de eroare.
Acest lucru s-a datorat unuia dintre cele mai grave atacuri de tip DDoS din istoria Internetului, care a vizat compania Dyn, cel mai mare furnizor de DNS (Domain Name System – denumire tehnica pentru adresele de web ale site-urilor) din lume, care are pe lista de clienți pe lângă numele enumerate mai sus, giganți ca Google, Spotify, Netflix sau Reddit. Atacurile s-au repetat de mai multe ori pe parcursul weekendului iar experții în securitate avertizează că frecvența lor va crește.
Atunci când accesați un site, tastați în bara browserului adresa lui, cum ar fi www.cisco.ro. Browserul vostru acceasează acea adresă cu ajutorul sistemelor DNS, care caută adresa IP a site-ului (echivalentul numeric pe Internet). Însă din cauza atacului suferit pe parcursul weekendului, sistemele Dyn DNS nu reușeau să găsească acel IP iar site-urile respective nu putea fi accesate. Acest lucru nu era posibil pentru ca Dyn fusese victima unui atac uriaș. Nu mai puțin de 10 milioane de boți au transmis în continuu trafic către Dyn, sub forma așa-numitului atac denial-of-service și au făcut sistemele companiei indisponibile. Ce este interesant e că mai bine de două treimi dintre acești boți nu au fost PC-uri sau rutere, ci dispozitive de înregistrare video conectate(DVR) sau camere IP, ceea ce reprezintă un exemplu relevant pentru vulnerabilitățile care vin odată cu extinderea universului Internet of Things.
In sistemul DNS sunt doua componente :
- Serverele DNS autoritative care mentin maparile dintre numele de domenii si IP-uri. Acest server autoritativ a fost atacat in cadrul Dyn
- Serverele DNS recursive care intreaba servele autoritative care este IP-ul pentru un anumit domeniu, ori de cate ori un utilizator da click pe un link sau cere pagina de web a unui domeniu. OpenDNS este un astfel de server recursiv.
Așa cum a observat și presa de specialitate din marea Britanie, OpenDNS, cea mai importantă achiziție pe care Cisco a făcut-o anul acesta a fost singurul provider de DNS care a putut ajuta utilizatorii blocați în afara Internetului.
Acest lucru a fost posibil pentru că soluția OpenDNS preia cererile DNS care vin dintr-un Enterprise și le analizează înainte de a le trimite la provider și invers. OpenDNS are vizibilitate asupra 3% din toate cererile de pe planetă. Ca o comparație, Google are 7%. Urmărind aceste cereri DNS, OpenDNS reușește să identifice comportamentul site-urilor și atacatorilor care vor să transmită malware sau care fac atacuri DDoS, corelând comportamentul din DNS cu atacurile văzute.
Cum a fost posibil ca OpenDNS sa raspunda cererilor DNS atunci cand serverul autoritativ Dyn era sub atac DDoS ?
OpenDNS foloseste o tehnologie numita SmartCache, care va returna ultimul IP aflat anterior, ori de cate ori serverele autoritative sunt indisponibile. In timpul acestui atac, imediat ce a realizat ca DynDNS nu este disponibil, serviciul Cisco OpenDNS a returnat cererilor ultima adresa IP stiuta pentru domeniile solicitate. Desi OpenDNS nu ar fi putut sa previna acest atac, tehnologia SmartCache a eliminat impactul atacului pentru utilizatorii ce au folosit OpenDNS.
Serverele OpenDNS nu pot proteja clienții împotriva unui atac de tip DDos asupra lor, însă pot proteja clienții împotriva altor tipuri de atacuri.
Să luăm ca exemplu ransomware, căci este cel mai popular: un site nou-nouț care conține ransomware apare online – pentru a putea fi accesat, el trebuie înregistrat în DNS. Față de un site obișnuit pe Internet, el se va înregistra la diferite servere DNS autoritare și cu IP-uri diferite, însă cu aceeași destinație finală. De asemenea înregistrările vor fi multe și într-un timp scurt, pentru un același site. OpenDNS urmărește fix acest comportament neobișnuit pe care un site inocent nu îl poate avea și poate cataloga site-ul ca fiind suspect cu mult înainte ca engine-urile de reputație(ale oricărui vendor) să poata reacționa. OpenDNS poate proteja și împotriva atacurilor în care se folosesc dispozitive de tip IoT, căci orice dispozitiv care se dorește să fie accesat pe Internet, se înregistrează la DNS, deci e văzut de OpenDNS.
Ce pot face organizațiile? Planificarea din timp a metodelor de prevenție este esențială, cu accent pe protocoale suplimentare de rezolvare a potențialelor amenințări.
Avantajul tehnologiei Cisco poartă numele Cisco Umbrella și vine ca și soft direct pe ruterele ISR4K de la Cisco – pentru a proteja întreaga rețea din spate- sau direct pe stațiile de lucru, în cazul în care utilizatorii au stații mobile. De asemenea, inteligența din OpenDNS (ce vede suspect serviciul) este raportată în AMP, astfel încât AMP să beneficieze de și mai multe fluxuri de informație, pe lângă Talos (inteligența Cisco centrală) sau SenderBase (inteligența email a Ironport).
Soluția tehnică oferită de Cisco poate fi testată gratuit aici pentru o perioadă de 14 zile.