Když patnáctiletý Kanaďan Michael Demon Calce odstavil svým projektem „Rivolta“ na několik hodin mimo provoz na počátku roku 2000 Yahoo, Ebay, CNN, Amazon či Dell, nejednalo se o vrchol éry DDoS, ale pouze první ukázku toho, čeho lze s poměrně jednoduchými nástroji dosáhnout (příběh jsme podrobně vyprávěli v minulém díle seriálu).
Zatímco v počáteční fázi vyžadovaly DoS útoky osobní hledání slabin i následnou iniciaci a řízení, skriptovací nástroje umožnily prakticky všechny tyto funkce automatizovat (a tedy nejen zefektivnit, ale také je zpřístupnit méně zkušeným útočníkům, kteří by dříve podobný útok nedokázali provést).
Následující dva roky se tak nesly v duchu stále častějších útoků DoS a DDoS využívajících více méně ty samé, v prostředí internetu jemuž měl ještě řadu let dominovat protokol IPv4 velmi účinné, metody – TCP Flood, ICM Echo request/reply a UDP Flood (některé z nich jsme detailně popsali v předchozích dílech). Ostatně i nástroje uveřejněné již v roce 1999, jako bylo Trinoo, Tribe Flood Network (TFN a TFN2K) nebo Stacheldraht, byly do značné míry stále účinné. Postupně se objevovaly i nástroje nové další jako byl mstream, t0rnkit, carko či Trinity. Řada z nich vycházela z úspěšného Stacheldrahtu, který byl určen pro Linux a fungoval jako DDoS agent s podporou podvržených zdrojových adres a podporující čtyři nejrozšířenější typy útoků (UDP, ICMP a TCP SYN flood a Smurf)
Novým fenoménem ale bylo především šíření nástrojů a DDoS agentů na napadené stanice pomocí červů, jako byl VBS/LoveLetter (respektive jeho varianty), Ramen i méně známí červi jako erkms či li0n. Noví červi, jako byl w0rmkit, navíc úspěšně využívali již dříve napadené a nezáplatované systémy, v nichž předchozí nákazy zanechávaly otevřená „zadní vrátka“ – tím si jejich autoři mohli ušetřit kus práce, protože nemuseli pro šíření nové nákazy hledat novou (neznámou) slabinu. Noví červi, jako byl Code Red a Code Red II (v seriálu jsme se mu již věnovali) nebo Leaves, navíc dokázali během šíření měnit své funkce a vlastnosti, nebo přímo obsahovali funkce pro provádění DoS útoků, nebo v některých případech rychlým množením a masivním šířením sebe sama způsobovali situace typu DoS (to byl případ Code Red, ale také Nimdy).
Počínaje červem Ramen (2001) přišla další fáze rozvoje DDoS – automatizováno bylo v podstatě vše, včetně šíření kódu využitelného pro útok. Postupně se měnil i způsob, jakým byl tento kód (tzv. Attack toolkit – sada útočných nástrojů) rozšiřován na napadené stroje. U některých červů se tak dělo z jednoho zdroje (řetězově tak probíhalo jen vlastní napadení), což na jednu stranu umožňovalo nasazovat nové verze útočného kódu, ale také to případně usnadnilo jejich zneškodnění zablokováním či odstavením onoho zdroje, v případě Ramen byla použita metoda zpětného řetězení, kdy se vlastní útočný kód mohl kopírovat a šířit mezi napadenými systémy obousměrně, a konečně Code Red (a dokonce i prastarý Morrisův červ z roku 1988), kdy se útočný kód šířil přímo při napadení systému.
Červ Ramen u napadených systémů nahrazoval index.html svou vlastní „verzí“.
S tím jak rostl počet počítačů připojených k internetu, zejména těch s operačním systémem Windows, měnila se i útočná strategie. První polo či plně automatizované útoky (skriptovací nástroje či červi) směřovaly zejména na unixové platformy a jejich známé slabiny (přednastavená hesla či nesprávná konfigurace). První rozsáhlé útoky na PC využívaly především metody sociálního inženýrství, protože ty byly, přinejmenším zpočátku, univerzální a účinné. S tím, jak rostla ostražitost uživatelů i počet PC s Windows připojených k internetu, začaly se objevovat „slepé“ útočné metody, které prostě využívaly konkrétní známou (nebo novou) slabinu určité verze OS, prohlížeče nebo aplikace. Jednalo se navíc o metody ideální pro plnou automatizaci. Před čtrnácti či patnácti lety navíc nebylo běžné používat na PC osobní firewall v OS, nebo zavírat nestandardní porty, jimiž byl malware často řízen.
Megaútok a botnety
Devět ze třinácti „kořenových“ DNS serverů, které řídí veškerý provoz na webu se stalo v pondělí večer cílem vážných útoků, které byly potenciálně schopné zastavit veškerou internetovou komunikaci. FBI a Bílý dům momentálně incident, který začal v 9 hodin večer GMT a trval zhruba hodinu, vyšetřují. […] Není jasné, kdo útok spustil a proč, servery byly zaplaveny falešnými pakety ze „zotročených“ systémů napadených a ovládaných hackery. Tato technika, známá jako distribuované odepření služby (DDoS), může napadené stroje vážně zpomalit nebo odstavit mimo provoz.
NewScientist.com, 23. října 2002
Útok z 21. října 2002 byl nejspíše ukázkou či testováním síly provozovatelů raných botnetů, během nějž se sice podařilo několik DNS serverů zahltit, nicméně po zhruba hodině útok zeslábl a provoz na webu se podařilo udržet (mimo jiné i díky tomu že kořenové DNS servery byly chráněny paketovými filtry, které blokovaly ICMP pingy). Byl ale zásadní proto, že ukázal, jak blízko kolapsu se provoz na internetu při dobře koordinovaném útoku může ocitnout (ještě lepší ilustrací byl podobný, ale mnohem delší čtyřiadvacetihodinový útok z února 2007).
Ukázka e-mailu obsahujícího jednu z pozdějších variant Mydoom.
Uplynulo o něco víc než rok, když se internetem začala šířit nová hrozba: červ Mydoom. Nákaza která byla poprvé odhalena 26. ledna 2004 se záhy stala nejrychleji se šířícím červem historie (k onomu datu pochopitelně). Mydoom se šířil emailem pomocí metod sociálního inženýrství – červ rozesílal zprávu, která vypadala jako nedoručený (vrácený) e-mail s přílohou, která obsahovala vlastní nákazu. Alternativně se také šířil pomocí P2P sítí. Z napadených počítačů vytvářel obří koordinovanou útočnou síť – botnet. Nejednalo se o botnet první (ten je o cca pět let dříve přisuzován spamerovi K.C. Smithovi), byl to ale jeden z prvních skutečně obřích botnetů vytvořených během několika dnů.
Mydoom byl zvláštní tím, že měl prakticky jediný zřejmý cíl. Kromě instalace zadních vrátek na portu 3127/tcp a umístění vlastního .dll souboru a procesu pod průzkumníkem obsahoval kód pro provedení DDoS útoku na portál společnosti SCO Group, která se v té době soudila o práva k části kódu v operačním systému Linux (ten napsalo a darovalo pro použití v Linuxu IBM). SCO se v celém sporu do jisté míry chovalo jako patentový troll a nakonec jej prohrálo poté, co byla sporná práva přiřčena soudem Novellu, který se jich (zjednodušeně řečeno) vzdal ve prospěch linuxové komunity. SCO následně vyhlásilo bankrot – to ale bylo v roce 2007 (dnes to, co z SCO zbylo, patří společnosti Xinuos).
SCO Group bylo prvním a hlavním cílem obřího DDoS útoku botnetu řízeného červem Mydoom.
Počátkem roku 2004 nebylo zdaleka jasné, jak spory dopadnou, a útok na SCO tak byl v podstatě trestem či hrozbou. Mydoom byl načasován tak, aby napadené počítače tvořící koordinovaný botnet spustily útok současně 1. února 2004. Přestože byl červ objeven o pět dní dříve a již 27. ledna vypsalo SCO odměnu čtvrt milionu dolarů za informaci o autorovi Mydoomu, červu se (navzdory chybám v jeho kódu, které šíření postupně zpomalovaly) podařilo úspěšně napadnout na milion počítačů. Ty spustily k naplánovanému datu nejmasivnější DDoS útok, jaký do té doby internet zažil. SCO preventivně odstranilo o den dříve z DNS svou doménu www.sco.com, což na jednu stranu znemožnilo její zahlcení, na stranu druhou byl ale výsledek stejný – doména prostě přestala dočasně existovat.
K vyhlášené odměně na dopaden autora červa se 29. ledna přidal dalším čtvrtmilionem dolarů Microsoft, a tak není divu, že se 3. února stal druhým cílem upravené verze Mydoom.B. Tento útok se ale nakonec příliš nezdařil (Microsoftu se patrně podařilo se na něj připravit). 12. Února sice autoři původního Mydoom.A vydávají červu „příkaz“, aby se přestal šířit, nicméně zadní vrátka na portu 3127 zůstávají u napadených počítačů otevřená a navíc se v rychlém sledu objevují nové varianty Mydoom. Objevují se tak další vlny útoku na Microsoft. K 1. březnu je autory „zastaven“ i Mydoom.B, nicméně 26. července se objevuje nová varianta, která úspěšně napadá vyhledávače Altavista, Lycos a Google – posledně jmenovaný je na část dne odstaven mimo provoz. Další verze červa se objevují ještě během podzimu a počátkem roku 2005 a nakonec i v roce 2009, kdy je červ znovu použit při útocích na Jižní Koreu a USA.
Mydoom představoval v oblasti DDoS hned několik zásadních zlomů. Demonstroval sílu obřích botnetů, které jsou schopny rozpoutat obrovské útoky, byl jedním z prvních příkladů DDoS „hacktivismu“ – útoku coby protestu (v tomto případě proti postupu SCO Group), jeho pozdější varianty dokázaly úspěšně napadnout největší servery, byl po letech zapojen do dalšího fenoménu – kybernetické války a stal se jedním z hlavních impulzů pro vznik společností, které se pustily do aktivního boje s (či spíše ochrany před) útoky DDoS jako je Prolexic Barretta Lynona .
K některým z těchto témat se vrátíme v dalších dílech seriálu.
Odkazy
- Wikipedie: DOS útok
- Wikipedie: Mydoom
- Wikipedie: SCO Group
- Wikipedie: Útoky na kořenové DNS servery
- Wikidot: Ramen
- NewScientist: Internets foundations shaken by attack
- Obrázky: Wikipedia / Wikimedia / Wikidot
