.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Atacurile „Denial of Service“ – overview după zece ani
Acum aproape zece ani, mii de computere ale NASA, US Navy şi ale celor mai reputate universităţi americane, erau practic „trase pe dreapta“ în urma unui atac necruţător realizat printr-un bombardament de date. La acea dată, acest lucru era o noutate în arsenalul de luptă al hackerilor. Imediat, Computer Emergency Response Team (CERT) avertiza întreaga lume despre acest nou tip de atac denumit Denial of Service (DoS). Au urmat mai multe atacuri de proporţii asupra serverelor binecunoscutului web browser Yahoo şi a reţelei globale a Internetului. Multiplele căi de atac pe care le poate valorifica DoS îl face – în acest moment – să fie considerat una dintre cele mai importante ameninţări la adresa securităţii informaţiei.
Ce este un astfel de atac?
Un atac de tipul Denial of Service (DoS) este un incident de securitate a informaţiei în care o organizaţie sau un utilizator independent este privat de serviciile unei resurse pe care în mod normal o folosea fără probleme. Un atac de tipul Distributed Denial of Service (DDoS) implică un număr mare de sisteme compromise (numite şi „botnet“), care sunt folosite pentru a ataca o singură ţintă. Chiar dacă un atac DoS sau DDoS nu are ca scop sustragerea de informaţii confidenţiale, acesta poate cauza daune foarte mari unei organizaţii. De obicei, „pierderea serviciului“ înseamnă imposibilitatea de a utiliza unul sau mai multe aplicaţii ale reţelei, cum ar fi email-ul, sau chiar „căderea“ totală a reţelei. În unele cazuri, un atac DoS poate distruge fişiere sau aplicaţii şi poate forţa web site-uri chiar importante să-şi înceteze activitatea pentru o anumită perioadă. De multe ori, atacurile DoS încearcă să „consume“ toate resursele disponibile ale unui sistem sau web site. Atunci când oricare dintre aceste resurse critice atinge maximul său de utilizare, web site-ul devine inaccesibil. Deoarece mediile actuale ale aplicaţiilor web includ un server web, un server pentru baza de date şi un server de autentificare, atacurile DoS la nivelul aplicaţiilor pot avea ca ţintă fiecare dintre aceste componente independente. Spre deosebire de atacurile DoS la nivel de reţea, unde este necesar un număr mare de încercări de conectare, atacurile DoS la nivel de aplicaţii sunt mult mai uşor de realizat.
Studiu de caz al unui atac DoS
Să presupunem că este vorba despre web site-ul unui Centru de Sănătate care generează rapoarte privind istoricul medical al fiecărui pacient. Pentru fiecare cerere de raport, web site-ul cercetează în baza de date pentru a scoate toate înregistrările care se potrivesc cu codul pacientului. Deoarece în baza de date a web site-ului sunt stocate sute de mii de înregistrări, utilizatorul respectiv trebuie să aştepte aproximativ trei minute pentru a obţine raportul cu istoricul său medical. În timpul acestor trei minute de căutare, CPU-ul serverului bazei de date ajunge la 60% din maximul capacităţii sale de utilizare. Un atac DoS obişnuit la nivel de aplicaţie va trimite simultan 10 cereri de generare a unui raport de istoric medical. Aceste cereri cel mai probabil vor face ca CPU-ul serverului bazei de date să ajungă la utilizare 100%. În acest moment, sistemul va deveni inaccesibil. Un atac DoS îndreptat asupra server-ului de date va folosi tehnici de programare SQL pentru a modifica baza de date, astfel încât sistemul să devină inutilizabil (de exemplu ştergând toate datele, ştergând toate numele utilizatorilor etc.) Atacul DoS îndreptat asupra serverului web va folosi tehnici de „Buffer Overflow“ pentru a trimite o cerere creată într-un mod „special“ ce va duce la căderea server-ului şi, implicit, la nefuncţionarea site-ului.
Cum să supravieţuieşti unui atac DoS
Procesul de investigare trebuie să înceapă imediat după pornirea atacului DoS. Vor fi de dat şi de primit multe telefoane, email-uri, faxuri, între organizaţia victimă, furnizorul acesteia de Internet şi ceilalţi implicaţi. Este un proces care consumă mult timp, deci ar fi bine ca el să înceapă imediat. Cea mai uşoară cale de a supravieţui unui atac este să fii pregătit pentru acesta. Având adrese IP de rezervă pentru serverele critice, cu o cale de routare separată ce poate fi folosită pentru „load balancing“, puteţi fi în afara oricărui pericol în multe dintre cazuri. Filtrarea se dovedeşte deseori ineficientă, deoarece calea către filtru va fi blocată şi numai o mică parte din trafic va trece. Totuşi, folosind un filtru foarte puternic ce va refuza orice „pachet nedorit“, vă va fi mai uşor să supravieţuiţi unui atac DoS.
Metode de atac
Un atac „denial-of-service“ este caracterizat printr-o tentativă explicită din partea atacatorilor de a împiedica utilizatorii legitimi ai unui serviciu să folosească respectivul serviciu. Exemple pot fi:
• inundarea unei reţele cu date, împiedicând prin urmare traficul legitim de reţea;
• scoaterea din funcţiune a unui server trimiţând mult mai multe cereri decât poate manageriza acesta, împiedicând prin urmare accesul la un serviciu;
• restricţionarea unei anumite persoane de la accesarea unui serviciu;
• întreruperea serviciului unui anumit sistem sau al unei anumite persoane;
Atacurile pot fi îndreptate asupra oricărui dispozitiv de reţea, incluzând atacuri asupra routerelor, email-ului, servere de domeniu sau de web.
Un atac DoS poate fi comis în mai multe moduri.
Există cinci tipuri fundamentale de atac:
• consumarea resurselor unui sistem;
• distrugerea datelor de configurare;
• resetarea nesolicitată a sesiunilor TCP;
• distrugerea componentelor fizice de reţea;
• obstrucţionarea canalului de comunicare între utilizatorii legitimi şi victimă, astfel încât aceştia nu mai pot comunica în mod adecvat;
Simptomele unui atac DoS
United States Computer Emergency Readiness Team (CERT) defineşte simptomele unor atacuri DoS, care includ:
- activitatea neobişnuit de înceată a reţelei (la deschiderea fişierelor sau accesarea web site-urilor);
- indisponibilitatea unui anume web site;
- imposibilitatea de a accesa orice web site;
- creşterea dramatică a numărului de spam-uri primite.
Text: Teodor Niţu
teodor.nitu@marketwatch.ro
Parerea ta conteaza: 
Ce riscuri de securitate ne pandesc in 2014?
