4. Przejawy cyberprzestępczości

4.13. Ataki DoS, DDoS, DRDoS

Termin DoS jest skrótem od angielskiego słowa "denial of service" (odmowa usługi), które na język polski można przetłumaczyć jako "odmowa świadczenia usługi". Jest to jedna z form ataków na usługi (internetowe), której celem jest wyłączenie lub zmniejszenie wydajności atakowanego urządzenia technicznego.[1] Atak ten jest realizowany przez przytłoczenie atakowanego systemu komputerowego (lub elementu sieci) powtarzającymi się żądaniami wykonania czynności przez system komputerowy. Atak ten może być również przeprowadzony poprzez przeciążenie kanałów informacyjnych między serwerem a komputerem użytkownika lub poprzez przeciążenie wolnych zasobów systemowych. System zaatakowany przez atak DoS objawia się w szczególności niezwykłym spowolnieniem działania usługi, całkowitą lub chwilową niedostępnością usługi (np. strony WWW) itp.

Różnica między atakami DoS, DDoS i DRDoS polega przede wszystkim na sposobie przeprowadzenia ataku. W celach ilustracyjnych do każdego typu ataku dołączono obrazy przedstawiające sposób jego przeprowadzenia.

W przypadku odmowy usługi (Denial of Service, DoS) istnieje tylko jedno źródło ataku. Ten rodzaj ataku jest stosunkowo łatwy do odparcia, ponieważ możliwe jest zablokowanie ruchu ze źródła ataku.

 

W przypadku DDoS (Distributed Denial of Service) docelowy system komputerowy zostaje przytłoczony pakietami wysyłanymi z wielu systemów komputerowych, które są rozmieszczone geograficznie, co utrudnia obronę i identyfikację atakującego. Takie ataki były stosowane na przykład przeciwko Yahoo! Inc., serwisy e-commerce itp.[2] Bardzo często do tego typu ataków wykorzystywane są botnety lub działania użytkowników wspierających określoną kampanię internetową (patrz poniżej - Anonymous i LOIC).

 

W przypadku DRDoS (Distributed Reflected Denial of Service) jest to atak typu spoofed distributed DoS wykorzystujący mechanizm zwany odbiciem. Atak polega na wysyłaniu spreparowanych żądań połączenia do dużej liczby systemów komputerowych, które następnie odpowiadają na te żądania, ale nie do inicjatora połączenia, lecz do ofiary. Dzieje się tak dlatego, że w spreparowanych żądaniach połączenia jako adres źródłowy podawany jest adres ofiary, która jest następnie zalewana odpowiedziami na te żądania. Wiele systemów komputerowych staje się w ten sposób mimowolnymi uczestnikami ataku, odpowiadając poprawnie na żądanie połączenia.

Ataki DoS, DDoS, DRDoS bardzo często wykorzystują luki w systemie operacyjnym, działających programach lub protokołach sieciowych - UDP, TCP, IP, http itp.

 

Istnieje kilka podstawowych metod ataku DoS lub DDoS, z których najbardziej znane to:[3]

- Ping-Flood

Dzięki protokołowi Internet Control Message Protocol i narzędziu Ping (Packet Internet Groper) możliwe jest użycie polecenia "ping" do określenia "żywotności" systemu komputerowego o danym adresie IP oraz do określenia czasu odpowiedzi takiego systemu. W ataku Ping-Flood ofiara jest zalewana dużą liczbą tzw. pakietów ICMP Echo Request, na które ofiara zaczyna odpowiadać, wysyłając tzw. pakiety ICMP Echo Replay. Atakujący ma nadzieję, że w ten sposób przeciąży przepustowość łącza ofiary (zarówno dla odbierania, jak i wysyłania danych). Sam atak można dodatkowo wzmocnić, ustawiając pakiet ping emitujący pakiety ICMP na flood. Wówczas pakiety te zaczną być wysyłane bez oczekiwania na odpowiedź. Jeśli docelowy system komputerowy nie dysponuje wystarczającą mocą obliczeniową, można go w ten sposób uczynić niedostępnym.

- Przepełnienie wolnych zasobów systemowych (SYN-Flood)

SYN-Flood to rodzaj ataku, w którym atakujący próbuje przytłoczyć swoją ofiarę dużą liczbą żądań połączenia. Atakujący wysyła sekwencję pakietów poleceń SYN (zwanych pakietami SYN) do docelowego systemu komputerowego (ofiary), a docelowy system odpowiada na każdy pakiet SYN wysyłając pakiet SYN-ACK, ale atakujący nie odpowiada dalej. Docelowy system komputerowy czeka na ostateczne potwierdzenie, zwane pakietem ACK, od inicjatora połączenia (atakującego) i posiada zasoby przydzielone dla tego połączenia, ale ma ich ograniczoną ilość. Może to spowodować wyczerpanie zasobów systemowych celu ataku.[4]

- Spofing adresu źródłowego (spoofing IP)

Spoofing IP to działania polegające na spoofingu (fałszowaniu) adresu źródłowego wysyłanych pakietów, kiedy to atakujący inicjujący połączenie z maszyny A o adresie IP a.b.c.d jako adresie źródłowym wstawia np. adres IP d.c.b.a do wysyłanych pakietów i wysyła je do celu B. Miejsce docelowe B odpowiada na ten adres źródłowy, tzn. nie kieruje odpowiedzi na adres IP a.b.c.d, ale na adres IP d.c.b.a. Tę metodę można wykorzystać do nasilenia (wzmocnienia) ataków DoS, DDoS. Atakujący stosuje tę technikę, gdy nie potrzebuje odpowiedzi od miejsca docelowego na swoje żądanie nawiązania połączenia, ale chce je tylko zaangażować. Jeśli atakujący umieści adres IP celu ataku (np. a.a.a.a) jako źródłowy adres IP w wysyłanych przez siebie pakietach i wyśle te pakiety do wielu innych systemów komputerowych (adresów IP), to odpowiadają one systemowi komputerowemu a.a.a.a. W ten sposób realizowany jest atak DRDoS.

- Atak smerfów

Atak ten jest realizowany poprzez błędną konfigurację systemu, która umożliwia wysyłanie pakietów do wszystkich komputerów podłączonych do sieci komputerowej za pośrednictwem adresu rozgłoszeniowego.

Celem ataków DoS/DDoS zazwyczaj nie jest zainfekowanie komputera lub systemu komputerowego ani pokonanie zabezpieczeń, np. chroniącego go hasła, ale obezwładnienie go lub czasowe wyłączenie poprzez serię powtarzających się żądań. Zazwyczaj powoduje to ograniczenie lub zablokowanie dostępu do usług.

Aby móc prawnie ukarać "atakującego" za ataki DoS lub DDoS, należy ustalić, czy jego działania były nielegalne, a jeśli tak, to jak poważne. Chodzi o to, że charakter ataku DDoS może mieć np. całkowicie prawidłowe działanie internautów, którzy w jednym momencie (w krótkim czasie) próbują połączyć się z serwerem internetowym firmy oferującej zniżki na bilety lotnicze i np. ogłosić, że od godz. 12.00 nastąpi powszechna obniżka cen biletów lotniczych o 75%. Duża liczba użytkowników może też korzystać z serwisu internetowego popularnego dziennika medialnego, który informuje o ważnym lub interesującym dla mediów wydarzeniu, takim jak objęcie urzędu przez nowego prezydenta, śmierć ważnej osobistości itp. Jeśli docelowy system komputerowy (serwer WWW) jest niewymiarowy lub źle skonfigurowany (nie jest w stanie obsłużyć wymaganej liczby dostępów), ulegnie awarii w podobny sposób, jak w przypadku ukierunkowanego ataku DDoS. Powstaje zatem pytanie, czy użytkownicy, którzy próbowali zalogować się na stronie w danym czasie i w ten sposób de facto spowodowali zamknięcie danego serwisu, powinni zostać ukarani.

Uważam, że w opisanych powyżej przypadkach, mimo że użytkownicy spowodowali zmasowany atak DDoS na usługi dostawcy, nie jest realistyczne, ani nawet możliwe, aby ukarać tych "pseudo-atakujących" za pomocą jakichkolwiek środków prawnych, ponieważ ich działania od początku nie były nielegalne.

Innym przypadkiem byłaby jednak sytuacja, w której atakujący, na przykład, zbierają się za pośrednictwem Internetu i w określonym czasie, dzięki ponownemu zalogowaniu się do udostępnionej usługi, przejmują nad nią kontrolę.[5] Takie przypadki miały miejsce np. w kontekście protestów przeciwko ACTA (Anti-Counterfeiting Trade Agreement) w 2012 r., kiedy jedną z możliwości przeprowadzenia tych ataków było użycie urządzenia rozpowszechnianego przez zwolenników Anonymous, LOIC (Low Orbit Ion Cannon).

 

LOIC (Low Orbit Ion Cannon)[6]

Wyimaginowanym następcą LOIC było oprogramowanie HOIC (High Orbit Ion Cannon), które zostało opracowane jako zamiennik LOIC.

 

HOIC (Wysokoorbitalne Działo Jonowe)[7]

Działania napastników w tym przypadku są z pewnością bezprawne, ponieważ napastnicy mieli świadomość lub przynajmniej rozumieli, że ich działania naruszają prawa innych osób. W takim przypadku można zastosować środki prawne z zakresu prawa karnego, administracyjnego i cywilnego.

Dzięki przyjęciu Konwencji o cyberprzestępczości, nie tylko w krajach Unii Europejskiej, powinna nastąpić harmonizacja prawa karnego, a w szczególności przyjęcie takich norm prawnych, które umożliwią karanie ataków DoS lub DDoS na podstawie prawa karnego danego kraju. Rozdział II - Środki, które należy podjąć na szczeblu krajowym, Sekcja 1 - Przestępstwa przeciwko poufności, integralności i użyteczności danych i systemów komputerowych, Artykuł 4 - Ingerencja w dane, Konwencji wzywa do ochrony przed takimi atakami oraz do wdrożenia środków prawnych:

1.     Each Party shall take such legislative and other measures as may be necessary to make it a criminal offence under its national law to intentionally damage, erase, degrade, alter or suppress computer data.

2.     Strona może zastrzec sobie prawo do uznania zachowania opisanego w ust. 1 za przestępstwo tylko wtedy, gdy powoduje ono poważną szkodę.

Możliwości stosowania sankcji karnych w Republice Czeskiej

Z brzmienia paragrafu 230(2) (Nieuprawniony dostęp do systemu komputerowego i nośnika informacji) TZK wynika, że:

Kto uzyskuje dostęp do systemu komputerowego lub nośnika informacji oraz

(a) w sposób nieuprawniony wykorzystuje dane przechowywane w systemie komputerowym lub na nośniku informacji,
(b) w sposób nieuprawniony usuwa dane przechowywane w systemie komputerowym lub na nośniku informacji lub w inny sposób niszczy, uszkadza, zmienia, tłumi, obniża ich jakość lub czyni je bezużytecznymi...

Z powyższego przepisu wynika, że napastnik dopuszczający się ataku DoS lub DDoS, aby zostać pociągniętym do odpowiedzialności karnej, musi nielegalnie uzyskać dostęp do systemu komputerowego, a następnie wyprzeć znajdujące się w nim dane. [8]

W tym przypadku dwa odrębne artykuły (rozdział II, sekcja 1, art. 2 - Bezprawny dostęp i art. 4 - Ingerencja w dane) konwencji o cyberprzestępczości zostały de facto połączone w jedno postanowienie.

Tym samym ustawodawca de facto uniemożliwił karanie sprawców ataków DoS lub DDoS na drodze karnej, gdyż wymagane jest, aby sprawca uzyskał nieuprawniony dostęp do systemu komputerowego. Tak więc taka interpretacja prawna wymagająca nieuprawnionego dostępu do systemu komputerowego pozwala na ukaranie sprawcy jedynie za zachowania wymienione w Konwencji o cyberprzestępczości w Artykule 2 - Nieuprawniony dostęp: "Każda ze Stron podejmie takie środki ustawodawcze i inne, jakie mogą być konieczne do uznania za przestępstwo karne, zgodnie z jej prawem krajowym, umyślnego uzyskania nieuprawnionego dostępu do całości lub części systemu komputerowego".

Z technicznego punktu widzenia ataki DoS lub DDoS nie powodują uzyskania dostępu do systemu komputerowego lub jego części, a przynajmniej nie jest to ich głównym celem.[9]

Z powyższych względów jestem przekonany o konieczności wprowadzenia do czeskiego ustawodawstwa odrębnego przestępstwa, które chroniłoby systemy komputerowe przed DoS, DDoS, DRDoS itp. i które w szczególności przestrzegałyby postanowień Konwencji o cyberprzestępczości. Na przykład, można użyć następującego sformułowania:

 "Kto utrudnia korzystanie z systemu komputerowego bez upoważnienia.... "

Obecnie teoretycznie możliwe jest karanie sprawców ataków DoS i DDoS za przestępstwo z paragrafu 228 (uszkodzenie mienia) kodeksu karnego.[10] Jednak warunkiem skorzystania z instytucji szkody majątkowej musiałby być fakt, że mienie to (w tym system komputerowy) zostało zniszczone, uszkodzone lub stało się bezużyteczne. Warunek ten dotyczy jednak zasadniczo tylko tego typu ataków, jeśli chodzi o pewną czasową bezużyteczność.

W tym kontekście pojawia się jednak pytanie, w jaki sposób i w jaki sposób zostanie określona rzeczywista szkoda w przypadku uszkodzenia mienia oraz przeciwko komu będzie można ją odzyskać.[11]

Inne przestępstwa, które atakujący przeprowadzający atak DoS lub DDoS może popełnić w pewnych okolicznościach, obejmują paragraf 272 (Ogólne zagrożenie), paragraf 273 (Ogólne zagrożenie przez zaniedbanie) kodeksu karnego.

Z punktu widzenia ewentualnego ścigania karnego sprawcy ataków DoS lub DDoS istotne jest również ustalenie (identyfikacja) sprawcy tego konkretnego przestępstwa. Pozostaje pytanie, kto powinien być pociągnięty do odpowiedzialności karnej jako sprawca, który np. spowodował niedostępność określonej usługi (np. aplikacji internetowej).

Możliwości ścigania karnego w Polsce

W tym przypadku zastosowanie ma art. 268 Kodeksu karnego, który stanowi, że:

§ 1. Kto, nie będąc do tego upoważnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnych informacji albo w inny sposób uniemożliwia lub znacznie utrudnia osobie upoważnionej zapoznanie się z nimi, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.



[1] Por. np. MARCIÁ-FERNANDÉZ, Gabriel, Jesús E. DÍAZ-VERDEJO i Pedro GARCÍA-TEODORO. Ocena ataku DoS o małej szybkości przeciwko serwerom aplikacji. Computers & Security, 2008, vol. 27, nr 7-8, s. 335-354.

CARL, Glenn, Richard BROOKS i Rai SURESH. Wykrywanie odmowy usługi na podstawie falek. Computers & Security, 2006, vol. 25, nr 8, s. 600-615.

RAK, Roman i Radek KUMMER. Zagrożenia informacyjne w latach 2007 - 2017. Magazyn Bezpieczeństwa, 2007, t. 14, nr 1, s. 3.

[2] Ponadto, na przykład, ataki DoS na strony internetowe urzędu prezydenckiego, parlamentu, ministerstw, mediów i dwóch estońskich banków - Estonia (2007). Estonia odzyskuje siły po potężnym ataku DDoS. [online]. [cytowany 4 marca 2010] Dostępny w: http://www.computerworld.com/s/article/9019725/Estonia_recovers_from_massive_DDoS_attack

[3] Por. JIROVSKÝ, Václav. Cyberprzestępczość. Nie tylko o hakowaniu, łamaniu zabezpieczeń, wirusach i trojanach bez tajemnic. Praga: Grada, 2007, s. 66.

[4] W tym miejscu warto wspomnieć o Handshake - procesie, którego zadaniem jest ustalenie parametrów kanału komunikacyjnego między dwoma podmiotami przed rozpoczęciem właściwej komunikacji. Handshake jest wykorzystywany na przykład w Internecie do otwierania połączenia TCP (tzw. trójstronny handshake, czyli wymiana trzech datagramów), a dopiero potem następuje właściwa transmisja danych. Nawiązanie połączenia TCP wymaga wykonania trzech osobnych kroków:

1.      Strona inicjująca połączenie (klient) wysyła segment TCP z ustawioną flagą SYN.

2.      Strona odbierająca połączenie (serwer) odpowiada segmentem TCP z ustawionymi flagami SYN+ACK.

3.      Klient odpowiada segmentem TCP z ustawioną flagą ACK

Inne segmenty TCP mają ustawioną tylko flagę ACK.

Więcej szczegółów można znaleźć np. w TCP handshake, czyli mocny uścisk dłoni . Dostępny pod adresem: https://networkacademy.pl/tcp-handshake/

Istnieją inne sposoby ataku DoS, np. "TearDrop", "Nuke", "Peer-to-Peer attack" itp. Por. [online]. https://pl.wikipedia.org/wiki/Blokada_usług.

[5] Może się również zdarzyć, że atakujący rozsyła fałszywe informacje, np. "6 czerwca 2016 r. od 12 do 13 bilety Lufthansy będą darmowe! Kliknij tutaj, aby uzyskać więcej informacji."

[6] LOIC [online]. Dostępne pod adresem: https://i.ytimg.com/vi/QAbXGy0HbrY/maxresdefault.jpg

[7] HOIC [online]. Dostępne pod adresem: https://npercoco.typepad.com/.a/6a0133f264aa62970b0167612ea130970b-pi

[8] Tłumienie oznacza działania wymienione w art. 4 konwencji o cyberprzestępczości.

[9] Jeśli na przykład zalew PING jest wykorzystywany do ataku DoS lub DDoS, można sobie wyobrazić całą sytuację jako ciągłe połączenie (i późniejsze rozłączenie) z określonym numerem telefonu. Powoduje to sytuację, w której zaatakowany numer telefonu nie może wykonać własnego połączenia (funkcja dzwonienia jest zablokowana), ale żaden z dzwoniących (atakujących) nie uzyskuje żadnych danych przechowywanych na zaatakowanym telefonie.

[10]Zob. art. 228 ust. 1 TZK:

"Kto cudzą rzecz niszczy, uszkadza lub czyni bezużyteczną i przez to powoduje szkodę w cudzym mieniu, która nie jest nieznaczna, podlega karze pozbawienia wolności do roku, zakazu prowadzenia działalności albo przepadku rzeczy lub innej wartości majątkowej".

Niewielka szkoda oznacza szkodę w wysokości co najmniej 5 000 CZK (zob. art. 138 ust. 1 TZK)

[11] Czy te szkody zostaną wyegzekwowane od każdego atakującego? Czy też szkody te zostaną "rozdysponowane" pomiędzy atakujących?