Wykrywanie cyberzagrożeń i zapobieganie im

Termin DoS jest skrótem od angielskiego słowa "denial of service" (odmowa usługi), które na język polski można przetłumaczyć jako "odmowa świadczenia usługi". Jest to jedna z form ataków na usługi (internetowe), której celem jest wyłączenie lub zmniejszenie wydajności atakowanego urządzenia technicznego.[1] Atak ten jest realizowany przez przytłoczenie atakowanego systemu komputerowego (lub elementu sieci) powtarzającymi się żądaniami wykonania czynności przez system komputerowy. Atak ten może być również przeprowadzony poprzez przeciążenie kanałów informacyjnych między serwerem a komputerem użytkownika lub poprzez przeciążenie wolnych zasobów systemowych. System zaatakowany przez atak DoS objawia się w szczególności niezwykłym spowolnieniem działania usługi, całkowitą lub chwilową niedostępnością usługi (np. strony WWW) itp.

Różnica między atakami DoS, DDoS i DRDoS polega przede wszystkim na sposobie przeprowadzenia ataku. W celach ilustracyjnych do każdego typu ataku dołączono obrazy przedstawiające sposób jego przeprowadzenia.

W przypadku odmowy usługi (Denial of Service, DoS) istnieje tylko jedno źródło ataku. Ten rodzaj ataku jest stosunkowo łatwy do odparcia, ponieważ możliwe jest zablokowanie ruchu ze źródła ataku.

 

W przypadku DDoS (Distributed Denial of Service) docelowy system komputerowy zostaje przytłoczony pakietami wysyłanymi z wielu systemów komputerowych, które są rozmieszczone geograficznie, co utrudnia obronę i identyfikację atakującego. Takie ataki były stosowane na przykład przeciwko Yahoo! Inc., serwisy e-commerce itp.^[2] Bardzo często do tego typu ataków wykorzystywane są botnety lub działania użytkowników wspierających określoną kampanię internetową (patrz poniżej - Anonymous i LOIC).

 

W przypadku DRDoS (Distributed Reflected Denial of Service) jest to atak typu spoofed distributed DoS wykorzystujący mechanizm zwany odbiciem. Atak polega na wysyłaniu spreparowanych żądań połączenia do dużej liczby systemów komputerowych, które następnie odpowiadają na te żądania, ale nie do inicjatora połączenia, lecz do ofiary. Dzieje się tak dlatego, że w spreparowanych żądaniach połączenia jako adres źródłowy podawany jest adres ofiary, która jest następnie zalewana odpowiedziami na te żądania. Wiele systemów komputerowych staje się w ten sposób mimowolnymi uczestnikami ataku, odpowiadając poprawnie na żądanie połączenia.

Ataki DoS, DDoS, DRDoS bardzo często wykorzystują luki w systemie operacyjnym, działających programach lub protokołach sieciowych - UDP, TCP, IP, http itp.

 

Istnieje kilka podstawowych metod ataku DoS lub DDoS, z których najbardziej znane to:[3]

- Ping-Flood

Dzięki protokołowi Internet Control Message Protocol i narzędziu Ping (Packet Internet Groper) możliwe jest użycie polecenia "ping" do określenia "żywotności" systemu komputerowego o danym adresie IP oraz do określenia czasu odpowiedzi takiego systemu. W ataku Ping-Flood ofiara jest zalewana dużą liczbą tzw. pakietów ICMP Echo Request, na które ofiara zaczyna odpowiadać, wysyłając tzw. pakiety ICMP Echo Replay. Atakujący ma nadzieję, że w ten sposób przeciąży przepustowość łącza ofiary (zarówno dla odbierania, jak i wysyłania danych). Sam atak można dodatkowo wzmocnić, ustawiając pakiet ping emitujący pakiety ICMP na flood. Wówczas pakiety te zaczną być wysyłane bez oczekiwania na odpowiedź. Jeśli docelowy system komputerowy nie dysponuje wystarczającą mocą obliczeniową, można go w ten sposób uczynić niedostępnym.

- Przepełnienie wolnych zasobów systemowych (SYN-Flood)

SYN-Flood to rodzaj ataku, w którym atakujący próbuje przytłoczyć swoją ofiarę dużą liczbą żądań połączenia. Atakujący wysyła sekwencję pakietów poleceń SYN (zwanych pakietami SYN) do docelowego systemu komputerowego (ofiary), a docelowy system odpowiada na każdy pakiet SYN wysyłając pakiet SYN-ACK, ale atakujący nie odpowiada dalej. Docelowy system komputerowy czeka na ostateczne potwierdzenie, zwane pakietem ACK, od inicjatora połączenia (atakującego) i posiada zasoby przydzielone dla tego połączenia, ale ma ich ograniczoną ilość. Może to spowodować wyczerpanie zasobów systemowych celu ataku.[4]

- Spofing adresu źródłowego (spoofing IP)

Spoofing IP to działania polegające na spoofingu (fałszowaniu) adresu źródłowego wysyłanych pakietów, kiedy to atakujący inicjujący połączenie z maszyny A o adresie IP a.b.c.d jako adresie źródłowym wstawia np. adres IP d.c.b.a do wysyłanych pakietów i wysyła je do celu B. Miejsce docelowe B odpowiada na ten adres źródłowy, tzn. nie kieruje odpowiedzi na adres IP a.b.c.d, ale na adres IP d.c.b.a. Tę metodę można wykorzystać do nasilenia (wzmocnienia) ataków DoS, DDoS. Atakujący stosuje tę technikę, gdy nie potrzebuje odpowiedzi od miejsca docelowego na swoje żądanie nawiązania połączenia, ale chce je tylko zaangażować. Jeśli atakujący umieści adres IP celu ataku (np. a.a.a.a) jako źródłowy adres IP w wysyłanych przez siebie pakietach i wyśle te pakiety do wielu innych systemów komputerowych (adresów IP), to odpowiadają one systemowi komputerowemu a.a.a.a. W ten sposób realizowany jest atak DRDoS.

- Atak smerfów

Atak ten jest realizowany poprzez błędną konfigurację systemu, która umożliwia wysyłanie pakietów do wszystkich komputerów podłączonych do sieci komputerowej za pośrednictwem adresu rozgłoszeniowego.

Celem ataków DoS/DDoS zazwyczaj nie jest zainfekowanie komputera lub systemu komputerowego ani pokonanie zabezpieczeń, np. chroniącego go hasła, ale obezwładnienie go lub czasowe wyłączenie poprzez serię powtarzających się żądań. Zazwyczaj powoduje to ograniczenie lub zablokowanie dostępu do usług.

Aby móc prawnie ukarać "atakującego" za ataki DoS lub DDoS, należy ustalić, czy jego działania były nielegalne, a jeśli tak, to jak poważne. Chodzi o to, że charakter ataku DDoS może mieć np. całkowicie prawidłowe działanie internautów, którzy w jednym momencie (w krótkim czasie) próbują połączyć się z serwerem internetowym firmy oferującej zniżki na bilety lotnicze i np. ogłosić, że od godz. 12.00 nastąpi powszechna obniżka cen biletów lotniczych o 75%. Duża liczba użytkowników może też korzystać z serwisu internetowego popularnego dziennika medialnego, który informuje o ważnym lub interesującym dla mediów wydarzeniu, takim jak objęcie urzędu przez nowego prezydenta, śmierć ważnej osobistości itp. Jeśli docelowy system komputerowy (serwer WWW) jest niewymiarowy lub źle skonfigurowany (nie jest w stanie obsłużyć wymaganej liczby dostępów), ulegnie awarii w podobny sposób, jak w przypadku ukierunkowanego ataku DDoS. Powstaje zatem pytanie, czy użytkownicy, którzy próbowali zalogować się na stronie w danym czasie i w ten sposób de facto spowodowali zamknięcie danego serwisu, powinni zostać ukarani.

Uważam, że w opisanych powyżej przypadkach, mimo że użytkownicy spowodowali zmasowany atak DDoS na usługi dostawcy, nie jest realistyczne, ani nawet możliwe, aby ukarać tych "pseudo-atakujących" za pomocą jakichkolwiek środków prawnych, ponieważ ich działania od początku nie były nielegalne.

Innym przypadkiem byłaby jednak sytuacja, w której atakujący, na przykład, zbierają się za pośrednictwem Internetu i w określonym czasie, dzięki ponownemu zalogowaniu się do udostępnionej usługi, przejmują nad nią kontrolę.[5] Takie przypadki miały miejsce np. w kontekście protestów przeciwko ACTA (Anti-Counterfeiting Trade Agreement) w 2012 r., kiedy jedną z możliwości przeprowadzenia tych ataków było użycie urządzenia rozpowszechnianego przez zwolenników Anonymous, LOIC (Low Orbit Ion Cannon).

 

LOIC (Low Orbit Ion Cannon)[6]

Wyimaginowanym następcą LOIC było oprogramowanie HOIC (High Orbit Ion Cannon), które zostało opracowane jako zamiennik LOIC.

 

HOIC (Wysokoorbitalne Działo Jonowe)[7]

Działania napastników w tym przypadku są z pewnością bezprawne, ponieważ napastnicy mieli świadomość lub przynajmniej rozumieli, że ich działania naruszają prawa innych osób. W takim przypadku można zastosować środki prawne z zakresu prawa karnego, administracyjnego i cywilnego.

Dzięki przyjęciu Konwencji o cyberprzestępczości, nie tylko w krajach Unii Europejskiej, powinna nastąpić harmonizacja prawa karnego, a w szczególności przyjęcie takich norm prawnych, które umożliwią karanie ataków DoS lub DDoS na podstawie prawa karnego danego kraju. Rozdział II - Środki, które należy podjąć na szczeblu krajowym, Sekcja 1 - Przestępstwa przeciwko poufności, integralności i użyteczności danych i systemów komputerowych, Artykuł 4 - Ingerencja w dane, Konwencji wzywa do ochrony przed takimi atakami oraz do wdrożenia środków prawnych:

1.     Each Party shall take such legislative and other measures as may be necessary to make it a criminal offence under its national law to intentionally damage, erase, degrade, alter or suppress computer data.

2.     Strona może zastrzec sobie prawo do uznania zachowania opisanego w ust. 1 za przestępstwo tylko wtedy, gdy powoduje ono poważną szkodę.

Możliwości stosowania sankcji karnych w Republice Czeskiej

Z brzmienia paragrafu 230(2) (Nieuprawniony dostęp do systemu komputerowego i nośnika informacji) TZK wynika, że:

Kto uzyskuje dostęp do systemu komputerowego lub nośnika informacji oraz

(a) w sposób nieuprawniony wykorzystuje dane przechowywane w systemie komputerowym lub na nośniku informacji,
(b) w sposób nieuprawniony usuwa dane przechowywane w systemie komputerowym lub na nośniku informacji lub w inny sposób niszczy, uszkadza, zmienia, tłumi, obniża ich jakość lub czyni je bezużytecznymi...

Z powyższego przepisu wynika, że napastnik dopuszczający się ataku DoS lub DDoS, aby zostać pociągniętym do odpowiedzialności karnej, musi nielegalnie uzyskać dostęp do systemu komputerowego, a następnie wyprzeć znajdujące się w nim dane. [8]

W tym przypadku dwa odrębne artykuły (rozdział II, sekcja 1, art. 2 - Bezprawny dostęp i art. 4 - Ingerencja w dane) konwencji o cyberprzestępczości zostały de facto połączone w jedno postanowienie.

Tym samym ustawodawca de facto uniemożliwił karanie sprawców ataków DoS lub DDoS na drodze karnej, gdyż wymagane jest, aby sprawca uzyskał nieuprawniony dostęp do systemu komputerowego. Tak więc taka interpretacja prawna wymagająca nieuprawnionego dostępu do systemu komputerowego pozwala na ukaranie sprawcy jedynie za zachowania wymienione w Konwencji o cyberprzestępczości w Artykule 2 - Nieuprawniony dostęp: "Każda ze Stron podejmie takie środki ustawodawcze i inne, jakie mogą być konieczne do uznania za przestępstwo karne, zgodnie z jej prawem krajowym, umyślnego uzyskania nieuprawnionego dostępu do całości lub części systemu komputerowego".

Z technicznego punktu widzenia ataki DoS lub DDoS nie powodują uzyskania dostępu do systemu komputerowego lub jego części, a przynajmniej nie jest to ich głównym celem.[9]

Z powyższych względów jestem przekonany o konieczności wprowadzenia do czeskiego ustawodawstwa odrębnego przestępstwa, które chroniłoby systemy komputerowe przed DoS, DDoS, DRDoS itp. i które w szczególności przestrzegałyby postanowień Konwencji o cyberprzestępczości. Na przykład, można użyć następującego sformułowania:

 "Kto utrudnia korzystanie z systemu komputerowego bez upoważnienia.... "

Obecnie teoretycznie możliwe jest karanie sprawców ataków DoS i DDoS za przestępstwo z paragrafu 228 (uszkodzenie mienia) kodeksu karnego.[10] Jednak warunkiem skorzystania z instytucji szkody majątkowej musiałby być fakt, że mienie to (w tym system komputerowy) zostało zniszczone, uszkodzone lub stało się bezużyteczne. Warunek ten dotyczy jednak zasadniczo tylko tego typu ataków, jeśli chodzi o pewną czasową bezużyteczność.

W tym kontekście pojawia się jednak pytanie, w jaki sposób i w jaki sposób zostanie określona rzeczywista szkoda w przypadku uszkodzenia mienia oraz przeciwko komu będzie można ją odzyskać.[11]

Inne przestępstwa, które atakujący przeprowadzający atak DoS lub DDoS może popełnić w pewnych okolicznościach, obejmują paragraf 272 (Ogólne zagrożenie), paragraf 273 (Ogólne zagrożenie przez zaniedbanie) kodeksu karnego.

Z punktu widzenia ewentualnego ścigania karnego sprawcy ataków DoS lub DDoS istotne jest również ustalenie (identyfikacja) sprawcy tego konkretnego przestępstwa. Pozostaje pytanie, kto powinien być pociągnięty do odpowiedzialności karnej jako sprawca, który np. spowodował niedostępność określonej usługi (np. aplikacji internetowej).

Możliwości ścigania karnego w Polsce

W tym przypadku zastosowanie ma art. 268 Kodeksu karnego, który stanowi, że:

§ 1. Kto, nie będąc do tego upoważnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnych informacji albo w inny sposób uniemożliwia lub znacznie utrudnia osobie upoważnionej zapoznanie się z nimi, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.