♦ „Costul pentru atacatori e minim, deoarece majoritatea atacatorilor folosesc resurse care nu sunt ale lor. Ei folosesc reţele de calculatoare care sunt infectate cu diverşi viruşi sau diverse programe nautorizate, care le fac să fie în controlul atacatorului“.
Atacurile prin care accesul la diferite resurse - precum magazine online, site-uri ale unor instituţii sau punctele de acces ale angajaţilor la reţelele companiilor - s-au înmulţit şi au crescut în intensitate pe teritoriul României, astfel că o protecţie eficientă poate fi oferită doar de furnizorii de internet prin soluţii de „curăţare“ a traficului.
Ţinte au început să fie şi jucători din sistemul bancar local.
„În ultima lună, de exemplu, pot să vă zic că am avut două atacuri destul de mari, de 75 şi de 100 de gigabiţi pe secundă împotriva unor ţinte din domeniul bancar“, a declarat în cadrul emisiunii ZF Tech Day Adrian Popa, senior OSS & automation engineer, Orange Business.
În medie, la nivel internaţional un atac de tip DDoS (denial of service) are o dimensiune de 5-50 Gbps, ceea ce arată că atacurile împotriva ţintelor din sistemul bancar local au angajat resurse peste medie.
Reprezentantul Orange nu a oferit detalii despre numele băncilor vizate sau durata & rezultatul atacurilor, dar a precizat că în noile condiţii de piaţă, în care aceste atacuri sunt mai frecvente, clienţii încep să caute singuri furnizorii pentru a se proteja. „În trecut, înainte de 2020, era dificil să aduci clienţi, să le explici de ce au nevoie de asemenea soluţii. Acum, deoarece atacurile au crescut şi ca frecvenţă şi ca răspândire, clienţii sunt conştienţi şi cer ei să fie protejaţi“.
Orice companie care are resurse accesibile via internet trebuie să se protejeze, a avertizat Adrian Popa. „Clienţii trebuie să înţeleagă că orice resursă publică este atacabilă, iar atacatorii pot fi orice tip de entităţi inclusiv un stat ostil care doreşte să întrerupă funcţionarea unor anumite servicii“.
Orange Business oferă asemenea soluţii de protecţie împotriva atacurilor de tip DDoS, care sunt detectate inclusiv cu ajutorul unor echipamente dedicate. „Din punctul de vedere al soluţiei, detecţia se face la nivelul ruterelor care se află la graniţa reţelei Orange cu ceilalţi furnizori de internet. Avantajul acestor ruoutere este că au vizibilitate asupra traficului internaţional şi în momentul în care un atac este iniţiat, acesta va trebui să traverseze unul sau mai multe echipamente de acest tip.“
„Când are loc un asemenea atac clienţii businessului vizat ar experimenta întârzieri sau nu ar putea accesa deloc resursa - site-ul să spunem. Practic, asta duce la o pierdere de business, la pierderea reputaţiei magazinului respectiv. În anumite situaţii în care resursa, să zicem, este de interes naţional, poate duce şi la altfel de probleme mai grave. Ce face soluţia noastră? În momentul în care se depăşesc pragurile de trafic stabilite pentru acest obiect la nivelul reţelei, se iniţiază rerutarea traficului clientului printr-un echipament de curăţare, acest echipament de curăţare impune mai multe profile de curăţare şi în urma analizei traficului trimite doar traficul considerat legitim înapoi spre client“.
După ce traficul este „curăţat“ de traficul trimis doar pentru a bloca accesul la resurse, lucrurile revin la normal chiar dacă atacatorii continuă să trimită trafic fals spre site-ul vizat. „În acel moment ei consumă resurse dar nu-şi mai ating scopul. Clienţii finali nu observă că site-ul este sub atac şi pot să-şi facă mai departe operaţiile uzuale“.
Atacurile de acest tip sunt frecvente şi pentru că sunt uşor de lansat şi nu au costuri foarte mari, a explicat Adrian Popa. „Este foarte simplu să lansezi un atac, din păcate. Şi din cauza aceasta, atacurile de tip denial of service nu vor dispărea niciodată, părerea mea, din internet. Atacatorii abuzează de protocoale scrise prin anii 70-80, când mentalitatea era diferită şi se mergea mai mult pe încredere şi specialiştii nu se gândeau că acestea să fie folosite sau exploatate în modurile în care sunt folosite astăzi. Aşa că este nevoie de o monitorizare şi un mecanism de protecţie pentru a opri atacurile volumetrice“.
Ce a mai declarat Adrian Popa în cadrul emisiunii:
Acum, o întrebare pe care o avem câteodată de la potenţiali clienţi sau de la clienţi existenţi este că de ce am nevoie de soluţia aceasta şi nu mă pot proteja eu singur dacă îmi cumpăr un firewall care oferă protecţie anti-denial of service? Răspunsul este că acel firewall oferă o protecţie anti-denial of service pentru anumite tipuri de atacuri, doar că nu va face faţă unui atac volumetric. Şi ce înseamnă lucrul ăsta? Imaginaţi-vă că un client este conectat la furnizorul de internet cu o bandă limitată, să spunem 100 Mbps, printr-o linie închiriată. Atâta timp cât atacul este mai mare decât banda contractată de client, indiferent ce protecţie sau curăţare poate să realizeze clientul, nu va fi niciodata suficientă pentru că <mai sus> este o congestie care îl va afecta. Numai furnizorul de internet sau un furnizor de cloud ar putea să cureţe astfel de atacuri.
Înainte de 2020, atacurile erau relativ rare, dar erau de lungă durată. Puteau să dureze ore întregi sau chiar zile întregi. De curând, tipul de atacuri s-a schimbat un pic şi le vedem, ele sunt mult mai dese, dar sunt de durate relativ scurte, 15-20 de minute, dar pot porni, se opresc.
Atacurile s-au înmulţit din pandemie când a încept lumea să lucreze de acasă, se trecuse la work from home. De atunci am văzut o creştere a frecvenţei atacurilor, pentru că atacatorii puteau să afecteze o companie mult mai uşor, atacând concentratorul de VPN, să zicem, la care toţi cei care lucrează de acasă se conectau ca să poată să acceseze resursele companiei. Făcând indisponibil VPN-ul compania îşi pierdea productivitatea pentru că oamenii nu puteau să se conecteze la resurse şi să schimbe mesaje şi să-şi facă treaba.
Costul pentru atacatorii e minim, deoarece majoritatea atacatorilor folosesc resurse care nu sunt ale lor. Ei folosesc reţele de calculatoare care sunt infectate cu diverşi viruşi sau diverse programe nautorizate, care le fac să fie în controlul atacatorului.
Atacatorii dau o comandă de atac asupra unei resurse şi calculatoare din toată lumea, zeci de mii de calculatoare, încep să transmită trafic către acea destinaţie. Iar atacatorul nu trebuie decât să ştie o adresă pe care să o atace. Deci nu trebuie să ştie absolut nimic despre resursa atacată, nu trebuie să facă o analiză complexă, nu trebuie să facă absolut nimic. Important e să-i umple banda cu trafic nesolicitat şi e suficient, atacul are succes.
Singura cerinţă tehnică pentru ca un client să folosească resursa noastră este ca entitatea care doreşte protecţie e să fie client Orange, adică să aibă conectivitate prin Orange. Asta deoarece, în momentul rerutării, această rerutare se face doar la nivelul reţelei Orange şi, practic, dacă clientul este în alt ISP, nu se poate aduce uşor traficul în reţeaua Orange pentru curăţare. Deci, atâta timp cât este client Orange, are un IP fix, are anumite resurse de tip business, e ok, se poate proteja fără intervenţie în reţeaua clientului, adică nu trebuie instalat ceva la client, totul se face în reţeaua core a Orange.
cu susţinerea
Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.zf.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi in această pagină.
ABONEAZĂ-TE