Днями Україну накрила хвиля DoS та DDoS-атак. Зокрема перебої зафіксували в роботі вебсервісів Приват24, Ощадбанку, сайтів Міністерства оборони та Збройних Сил України і Українського радіо. Співзасновник Monobank Олег Гороховський також повідомив, що спектр атак набагато ширший, і зазнали їх майже всі українські банки, зокрема monobank, Альфа-Банк та А-банк.
Місяць тому урядові сайти вже зазнавали глобальної атаки. У ніч з 13 на 14 січня не працювали сайти Державної служби України з надзвичайних ситуацій, Міністерства освіти і науки, Міністерства закордонних справ та тимчасово був недоступний портал «Дія», загалом постраждали близько 70 сайтів. Дві масові атаки за два місяці – привід серйозно задуматися про захист серверів s готовність фахівців sз кіберзахисту.
Чим відрізняються DoS- та DDoS-атаки, чого побоюються структури та бізнес, які їх зазнали, та які ризики можуть бути для кожного з нас? розповів Mind IT-директор (CIO) «ВОЛЗ», компанії з надання інтернет-послуг, хостингу та захисту від DDoS-атак, Дмитро Редчук.
Як приклад, у Міноборони фактично миттєво «заспокоїли», що їхній сайт захищений від класичних DDoS-атак, але зловмисникам вдалося знайти слабке місце в коді самого сайту. Тож поки триває оновлення DNS-серверів, фахівці не виключають повторних DoS-атак.
Тож, щоб краще зрозуміти, що трапилося, пропоную для початку розглянути, у чому різниця між цими двома видами атак.
Принцип дії DoS- і DDoS-атак схожий. Він полягає у відправці на сервер великого потоку «запитів» (тобто TCP SYN – це класичні запити, DNS Amplification – це вже ніби відповіді (faked), які містять дані), який завантажує обчислювальні ресурси процесора, оперативної пам’яті, забиває канали зв’язку тощо. Атакований ресурс не справляється з обробкою такої кількості даних і припиняє відгукуватися на запити користувачів.
Головна різниця в тому, що DoS-атаки здійснюються з одного хоста та спрямовані на окремі мережі чи системи. На відміну від них розподілені атаки (DDoS) проводяться з так званих зомбі-мереж, або ботнетів, – груп комп’ютерів, які не мають фізичного зв'язку між собою. Ввійти до складу ботнету може навіть смартфон.
Пропоную розглянути кілька варіантів «загальної» можливої шкоди від подібних нападів.
Найперший із них – блокування сайту. Створюючи навантаження на сервер або мережу, DDoS-атака робить сайт недоступним для відвідувачів. Окрім цього, ресурс зазвичай не працює і для внутрішніх користувачів. Але це лише «верхівка айсберга».
Атаки нерідко використовують як маневр, що відволікає: поки співробітники інформаційної безпеки відбивають атаки, хакери «шукають вразливості» сервісу, викрадають дані, встановлюють шкідливі коди тощо.
Якщо ж говорити саме про банки, то, відволікаючи службу безпеки, хакери можуть отримати доступ до найважливіших систем банку. Наприклад – доступ до рахунків клієнтів чи провести незаконні транзакції.
З DoS- та DDoS-атаками, як у січні, так і в лютому, українські сайти впоралися. Принаймні нас заспокоїли, що персональні дані залишаються в безпеці. Але варто враховувати, що в зловмисників з'являються нові інструменти та технології для повторних атак.
До того ж, попри заяви міністра цифрової трансформації Михайла Федорова, що на подібні атаки витрачаються мільйони доларів, це не зовсім так. На чорному ринку вартість таких послуг становить від кількох десятків до кількох сотень доларів за годину. На відміну від захисту, який якраз може сягати мільйонів, враховуючи всі програмні забезпечення, роботу спеціалістів тощо.
DoS- та DDoS-атаки – це не кібератаки. Але їх використовують для пошуку вразливих місць системи. Так, банки й урядові сайти гідно впоралися та швидко відновили роботу, але вже зараз варто готуватися до нових атак, які рано чи пізно знову стануться.
Тож діяти треба на випередження, проводити навчання з кібербезпеки, відстежувати та розуміти систему захисту провайдера, аналізувати трафік підключення до інтернету, керувати балансуванням трафіку тощо. Так, ми не можемо передбачити атаки, але можемо забезпечити максимальний захист систем і даних.