I. Noțiunea “denial-of-service”
Atacul denial-of-service se poate defini ca o încercare explicită din partea
făptuitorului de a împiedica utilizatorul legitim al unui serviciu de a folosi
acel serviciu, prin unul dintre următoarele moduri:
• acțiunea de a “inunda” o rețea, împiedicând astfel traficul normal din rețeaua
respectivă;
• acțiunea de a întrerupe conexiunile dintre două sisteme având ca rezultat
întreruperea accesului la un serviciu;
• acțiunea de împiedicare a accesării serviciului de către o anumită persoană;
• acțiunea de întrerupere a serviciului către o anumită persoană.
Indiferent de grija, efortul și resursele alocate în securizarea împotriva
pătrunderilor ilegale, sistemele conectate la Internet se confruntă cu pericolul
atacurilor denial-of-service în mare măsură din cauza celor două caracteristici
fundamentale ale Internetului:
• Internetul este compus din resurse limitate și consumabile. Într-adevăr,
lățimea de bandă, puterea de procesare, facilitățile de stocare constituie ținta
obișnuită a unor asemenea atacuri, prin consumarea resurselor disponibile,
necesare funcționării normale a unui serviciu on-line;
• Securitatea pe Internet prezintă un înalt grad de interdependență. În general
atacurile denial-of-service sunt lansate din puncte exterioare sistemul sau
rețele victimă. Așadar, indiferent de gradul de protecție de care se bucură
anumite proprietăți, expunerea la aceste tipuri de atacuri depinde de nivelul de
securitate al sistemelor aflate în amonte de ele, generalizând la întregul
Internet.
II. Delimitarea și clasificarea atacurilor
Mai întâi trebuie subliniat faptul că nu toate întreruperile serviciilor,
chiar și cele care rezultă dintr-o activitate ilicită, se pot considera atacuri
denial-of-service. Uneori o întrerupere a serviciului poate fi confundată ușor
cu o încărcare legitimă a rețelei. Pentru a da un exemplu, să ne imaginăm
inundarea cu conectări legitime a unui sit de web ca urmare a unor evenimente
majore, precum dezastrul din 11 septembrie 2001. Utilizatorii ar putea întâmpina
dificultăți în conectare pentru simplul motiv că cei mai mulți dintre ei
încearcă să se conecteze în același timp, fiind exclusă în acest caz
posibilitatea unui atac denial-of-service.
Anumite atacuri se pot executa, având la dispoziție resurse modeste,
împotriva unor situri sofisticate. Ele se cunosc sub denumirea de atacuri
asimetrice.
În general se cunosc trei tipuri de atac:
A. consumarea de resurse rare, limitate și greu de înlocuit;
B. distrugerea sau modificarea informațiilor de configurare;
C. distrugeri fizice sau modificarea echipamentelor de rețea.
A. Calculatoarele și rețelele care le cuprind au anumite necesități în
funcționarea lor – lățime de bandă, memorie sau spațiu pe disc, timp de
procesare, structuri de date, acces la alte calculatoare sau rețele, precum și
unele resurse vitale – alimentarea cu energie electrică, ventilație și chiar
răcire cu apă.
1. Conexiunea la rețea. Cele mai frecvente
atacuri sunt îndreptate împotriva conexiunii la rețea, având ca scop
împiedicarea legării posturilor la rețea. În atacurile de tip “SYN flood” se
inițiază procesul de conectare la mașina victimă, dar se evită faza de terminare
a conexiunii. În acest timp mașina victimă rezervă un număr limitat de structuri
de date necesare realizării conexiunii inițiate. Ca rezultat, conexiunile
legitime sunt oprite deoarece mașina victimă așteaptă terminarea conexiunilor
false. Acesta este un exemplu de atac asimetric.
2. Folosirea propriilor resurse împotriva
victimei. Într-un astfel de atac intrusul folosește pachete UDP modificate de la
un serviciu la altul, consumând astfel toată lățimea de bandă alocată între ele.
În acest fel conectivitatea rețelei pentru toate calculatoarele din aceeași
rețea este compromisă.
3. Consumarea lățimii de bandă. Un intrus
poate fi în stare să consume toată lățimea de bandă disponibilă dintr-o rețea
prin generarea unui mare număr de pachete conținând informații de control și
dirijarea lor prin acea rețea. Se cunosc inundări cu pachete TCP, ICMP (ping
floods) și pachete UDP. Mai mult, făptuitorul poate coordona mai multe mașini de
pe rețele diferite pentru obținerea acelui efect.
4. Consumarea altor resurse. O resursă
preferată de intruși este spațiul disponibil pe disc. Acesta se poate consuma în
multe moduri: bombardamentul cu corespondență (mail bombing) - generarea de
mesaje excesive de poștă electronică; generarea intenționată de erori care se
înregistrează automat de către sistem; copierea de fișiere lungi în spațiile de
ftp ale rețelelor. O altă tehnică speculează blocarea conturilor și drepturilor
de acces în urma unui număr de încercări nereușite. De asemenea pot fi victime
ale atacurilor și alte echipamente legate în rețea: imprimantele,
înregistratoarele cu bandă, conexiunile.
B. Distrugerea sau modificarea informațiilor de configurare. Se știe
faptul că un calculator cu o configurare inadecvată nu va funcționa bine sau nu
va funcționa deloc. Spre exemplu, dacă un intrus poate modifica informațiile de
rutare de pe un server sau ruter, rețeaua deservită va cădea.
C. Distrugerea fizică sau modificarea echipamentelor de rețea. În acest
tip de atac esențială este securitatea fizică a echipamentelor.
III. O incursiune în interiorul unui atac
Atacul denial-of-service decurge după un scenariu cu etape pregătitoare și
dezlănțuirea efectivă a atacului. Făptuitorul folosește un software client
pentru trimiterea de comenzi către noduri din rețea. Nodurile rețelei vor
trimite mai departe bombardamente cu pachete către sistemele victimă. În mod
evident, softul client utilizat nu provine în mod direct de la sistemul
atacatorului, ci de la un sistem compromis, aflat la câteva noduri distanță de
terminalul acestuia. De aici se trimit comenzile de atac către nodurile ce vor
genera atacul efectiv. Amploarea unui atac poate fi mare sau foarte mare, dacă
ne gândim că nodurile implicate pot număra mii, fiecare trimițând mii de pachete
pe minut către sistemul victimă. Având la dispoziție mii de noduri bine
dispersate geografic, milioanele de pachete de informație vor paraliza teoretic
orice victimă, inclusiv victime care folosesc mai mulți ISP, conexiuni
redundante și rutere de bandă largă.
Potrivit cu noile tendințe în tehnologia atacurilor denial-of-service, se
remarcă trei momente: desfășurarea , folosirea și impactul instrumentelor de
atac.
Instrumentele de atac au evoluat rapid în gradul de sofisticare, ele scanând
după potențialele victime prin căutarea de vulnerabilități. Primele instrumente
de scanare generau liste de potențiale victime. Evoluția s-a produs în sensul
automatizării proceselor de scanare, de identificare a vulnerabilităților și de
compromitere a sistemelor. Cel mai bun exemplu de astfel de instrumente îl
constituie viermii.
Un vierme este un cod informatic dăunător cu autopropagare. Spre deosebire de
viruși, care așteaptă ca utilizatorul să acționeze într-un fel pentru
continuarea propagării, viermii se pot propaga de la sine. Înaltul grad de
automatizare al viermilor la care se adaugă relativa răspândire a
vulnerabilităților pe care le exploatează a permis compromiterea unui mare număr
de sisteme în doar câteva ore (viermele “Code Red” a infectat mai mult de 250
000 de sisteme în numai 9 ore pe 19 iulie 2001).
Una dintre cele mai recente tendințe înregistrate este compromiterea
ruterelor. Aceste echipamente de rețea sunt preferate de intruși ca platforme de
atac, pentru apartenența lor la infrastructura rețelelor, spre deosebire de
servere, la care accesul și monitorizarea se fac mai des. Ruterele au din
fabricație parole de acces implicite, conținute de orice documentație tehnică.
Dacă parolele nu sunt schimbate printr-o configurare atentă intrușii sunt pur și
simplu invitați să obțină un acces neautorizat.
În general, impactul unui atac depinde de aptitudinea acestuia de a consuma
resursele disponibile. Impactul se poate multiplica dacă luăm în considerare
proximitatea în rețea a sistemului victimă față de alte sisteme care se folosesc
la lățimea de bandă a primului. Activitatea de scanare și de propagare poate
genera o saturare a rețelelor prin furtunile de informații de trafic generate de
activitatea viermilor (address resolution protocol – ARP).
IV. Impactul economic și măsuri de prevenție
Datorită unei naturi asimetrice a pericolului (un impact imens cu resurse
minime), denial-of-service rămâne un mod de operare preferat de criminalitatea
informatică.
Evaluarea cât mai aproape de realitate a pagubelor suferite de organizații și
de companii depinde de măsura în care acestea le raportează instituțiilor
specializate în reacțiune față de atacurile informatice. Cercetătorii de la
Cooperative Association for Internet Data Analysis – CAIDA au raportat în
februarie 2001 un număr de 12 805 atacuri în peste 5 000 de posturi distincte de
pe Internet, aparținând a numai puțin de 2 000 de organizații, și asta în
intervalul a trei săptămâni.
Se pare că totuși cel mai amplu impact al acestor evenimente de securitate
este timpul și resursele consumate pentru reparații. Publicația “Computer
Economics” estima că pagubele viermelui Code Red se cifrau la 2,6 miliarde de
dolari, iar viermele Sircam a costat alte 1,3 miliarde de dolari (pentru
comparație, se estimează că 9 din 11 atacuri vor costa aproximativ 15,8 miliarde
dolari în restaurare informatică și a utilităților de comunicație). Se pot
înregistra desigur și alte pagube colaterale din partea sistemelor vecine
afectate în performanțele de operare.
Răspunsul dat unui atac informatic în general este de fapt răspunsul la
câteva întrebări: Cât de important este Internetul pentru afacerea
dumneavoastră? Care sunt șansele ca un atac să lovească în compania
dumneavoastră? Ce nivel de risc este acceptabil? Cât timp poate funcționa
afacerea fără serviciile electronice? Într-adevăr, apărarea împotriva atacurilor
denial-of-service este departe de a fi o știință exactă.
Din punctul de vedere al organizării afacerii se conturează trei abordări:
• Concepția afacerii în vederea supraviețuirii. Trebuie avute mereu în vedere
canalele clasice de comunicare ca alternativă la oprirea comunicațiilor
electronice pe un termen nederminat;
• Concepția rețelelor în vederea supraviețuirii. Se pot lua măsuri diverse,
mergând de la absorbția atacului, închiderea serviciilor noncritice și până la
separația serviciilor, acordarea sistemelor la minimul acces, cerut de
activitatea de afaceri;
• Aderarea la bune practici. Întotdeauna ISP poate fi într-o poziție mai
avantajoasă pe planul securității. Cea mai bună prevenție constă în stabilirea
de relații de colaborare, deoarece interesul manifestat este prin esența sa
reciproc.
V. Prevederi legale în materia atacurilor denial-of-service
Cele expuse până acum demonstrează cu succes necesitatea unei reacții
sociale, prin intermediul sistemului de drept, împotriva acestui comportament
criminal. Rețelele de comunicații electronice împreună cu sistemele informatice
legate la ele fac parte tot mai mult din viața noastră cotidiană.
Există motive suficiente pentru a conferi o consacrare legislativă distinctă
de dreptul comun materiei securității informatice, alături de măsurile pe care
viitoarele tehnologii de comunicație vor trebui să le adopte.
În privința pericolului social generic și concret infracțiunile informatice
se deosebesc net față de infracțiunile săvârșite cu ajutorul calculatorului.
Acestea din urmă pot fi considerate prelungiri ale unor infracțiuni clasice, în
timp ce primele sunt prin esența lor specifice societății informaționale.
Decizia Cadru a Consiliului European asupra atacurilor împotriva sistemelor
informatice face referire la atacurile denial-of-service în cadrul reglementării
modalităților de vătămare a sistemelor informatice prin atacuri criminale.
Printre victimele atacurilor nu se află numai organizații; efectele se produc și
față de indivizi.
Convenția asupra cibercriminalității, semnată la Budapesta anul trecut, de
reprezentanți ai 26 de state, printre care și România, exprimă îngrijorarea cu
privire la riscul folosirii rețelelor de calculatoare și a informației
electronice în activitatea infracțională. S-a instituit ca o prioritate politica
penală comună în domeniul cibercriminalității, obiectul convenției fiind
adoptarea unei legislații pertinente.
În România legislația în vigoare cu conține o descriere clară a atacului
denial-of-service nici în cadrul infracțiunilor nici cu altă ocazie. În Legea
comerțului electronic sunt menționate anumite infracțiuni în legătură cu
folosirea sistemelor informatice în falsificarea instrumentelor de plată și a
tranzacțiilor fără consimțămânul prealabil al celor implicați.
Camera Deputaților a înaintat o propunere de modificare a codului penal român
prin care se introducea un ultim capitol intitulat “Infracțiuni în ciberspațiu”.
Aici se face referire expresă la atacul denial-of-service în cadrul infracțiunii
de intervenție în sistem atunci când se explică înțelesul dereglării
semnificative în sistemele informatice. Chiar dacă ambițiosul proiect nu a fost
aprobat până astăzi este o dovadă a iminenței ratificării de către România a
prevederilor Convenției semnate la Budapesta.
Care va fi pasul următor în această luptă? Poate că ar trebui să urmeze
consacrarea legislativă a autorizării constituirii de probatorii în format
digital și desigur folosirea acestora în procesul penal. În acest fel ar putea
fi realizată pe deplin, în sensul dreptului penal, prevenția generală a
societății împotriva atacurilor informatice. Trebuie să se ajungă într-un moment
în care cei tentați spre o asemenea conduită criminală conștientizează riscul de
a fi prinși, de a fi judecați și de a fi condamnați.
Bibliografie:
• Overview of Attack Trends - CERT® Coordination Center, www.cert.org
• Kevin J. Houle, George M. Weaver, CERT/CC – Trends in Denial of Service Attack
Technology, octomber 2001
• Allen Householder, Art Manion, Linda Pesante, George M. Weaver, CERT/CC -
Managing the Threat of Denial-of-Service Attacks, octomber 2001
• David Moore, Geoffrey M. Voelker and Stefan Savage - Inferring Internet
Denial-of-Service Activity
• Simple Nomad – BindView RAZOR Team – Distributed Denial of Service Tactics, 14
feb 2000
• Council of Europe - Convention on Cybercrime, Budapest, 23 nov. 2001
• Council of Europe - COUNCIL FRAMEWORK DECISION on attacks against information
systems, apr. 2002
• Proiectul de Lege nr. 21 din 01 02 2002 al Camerei Deputaților privind
modificarea codului penal.
Vezi cele 5 comentarii!
