Botnet obřích rozměrů, tvořený hacknutými, k internetu připojenými chytrými zařízeními typu kamery, žárovky a termostaty, zaútočil na účet bezpečnostního bloggera, spadajícího pod velkou americkou IT firmu Akamai. Ta mu nakonec musela účet zrušit, neboť jeho obrana zabrala příliš mnoho zdrojů.
Nebylo to tak, že by se firma nepokoušela útoku bránit – tři dny tak činila – ale nakonec se vlivem vysokých finančních nákladů vzdala a zákazníkovi musela účet zrušit, popisuje Andy Ellis, hlavní bezpečnostní manažer firmy.
Akamai tedy zrušila ochranu blogu Briana Krebse „Krebs on Security“, který zůstává nedostupný. Provoz v době útoků činil 665 Gb/s a web zcela zahltil. Velikost útoku je téměř dvojnásobná oproti jakémukoli jinému, který kdy firma zažila.
Analýza botnetu internetu věcí generujícího takový datový provoz podle Ellise zabere určitý čas, ale mohl by vést k lepším obranným nástrojům na zmírnění následků útoku.
Dopad je podobný jako v roce 2010, kdy Anonymous útočili pomocí open-source programu LOIC nebo jako v roce 2014, kdy DDoS útoky dočasně poškodily servery hostingových služeb Joomla a Wordpress.
Lekce pro podniky dle Ellise spočívá v tom, že současné formy ochrany proti DDoS útokům se musí zlepšit, aby se weby zvládly ubránit i vyšším objemům dat.
Internet věcí musí zapracovat na zabezpečení
Podle firmy Akamai stojí za útokem na web Briana Krebse velký botnet, složený primárně ze zařízení internetu věcí. Použito dokonce bylo takové množství zařízení, že útočník ani nemusel využívat běžné taktiky, využívané na zvýšení efektivity jednotlivých přístrojů, sdělil Ellis.
Přesný počet zařízení zneužitých k útoku zatím není znám, ale mohl by snadno dosahovat jednoho milionu.
„Stále se snažíme odhadnout velikost,“ říká Ellis. „Myslíme si, že jde o přehnaný odhad, ale nakonec se může ukázat, že není daleko od pravdy.“
S předpokládaným množstvím zařízení internetu věcí dosahujícího 21 miliard v roce 2020 by velikost botnetů, tvořených těmito relativně nechráněnými přístroji, mohla dosáhnout gigantických rozměrů, myslí si Dave Lewis, významný bezpečnostní odborník Akamai. Sdělil to během čtvrteční konference Security of Things Forum v Cambridgi v Massachussetts.
„Co když útočník do zařízení vpraví kód, aby vytvořil Fitbit botnet?“ Naráží na slavné fitness náramky Lewis. Výzkumníci prokázali, že bezdrátově nahrát do Fitbitu malware jde do 10 sekund, takže nejde o přehánění. Zabezpečení zařízení internetu věcí je skutečně chabé, pokud vůbec existuje.
Některé z přístrojů zjištěné během útoku využívaly klienty, které standardně běží na kamerách.
„Možná jde o podvod, ale možná do útoku opravdu zasáhly kamery,“ věří Lewis. „Jsou tu náznaky, že se v botnetu nacházela zařízení internetu věcí, a ne v malém množství.“
Útočník ani nevyužil klasické metody zesílení distribuovaného DoS útoku typu odražení, takže šlo o legitimní http requesty, potvrdil Ellis.
Mnoho informací o útoku je stále nejasných nebo neznámých. Kdo útočil nebo jaké metody útočník použil k ovládnutí jednotlivých zombie, se lze jen domnívat.
Akamai kontaktovali i jiní poskytovatelé, kteří zažili podobné útoky v menším rozsahu. Z části šlo o herní stránky, o útocích na něž Krebs psal; dle Ellise zde může existovat souvislost.
Firma útok zanalyzuje a vyvine nástroje pro boj s podobnými útoky, dodává.
Poškozený blogger Krebs po útoku o vynuceném smazání jeho účtu tweetnul:
„Nemohu Akamai vinit z jejich rozhodnutí. Asi jsem je dnes stál hodně peněz. Sbohem všichni. Bylo to fajn.“
PŘEDPLATNÉ
ČLÁNKY DO MAILU