Kübersõja võimsaim relv on ülekoormuse tekitamine
Eelmisel nädalal meedias lahvatanud mure ähvardavate küberrünnakute pärast võis nii mõnelegi tuua meelde pronksiöö aegsed segadused. Erinevalt aga seekordsest noorte naljast kannatas Eesti toona tõelise küberpommirahe all. Kuidas kübermaailmas rünnak üldse toimub?
Kõige üldistatumalt on üldjuhul selliste rünnakute põhimõtteks ülekoormuse loomine. Inglise keeles denial of service (DoS) ehk teenusest keeldumise rünnaku eesmärk on sihtmärki niivõrd massiivselt koormata, et internetilehekülg või veebiserver ei suuda enam normaalselt oma teenust pakkuda.
Ründajad juhivad sihtmärgiks oleva veebilehe vastu enneolematult suure koguse päringuid, justkui tavalisest tuhandeid kordi enam külastajaid püüaks korraga lehekülge avada. Sellega koormatakse üle nii veebiserver kui ka selleni viivad võrguühendused. Tulemuseks on see, et tavakasutajad ei saa enam lehekülge avada – näib, et server on maas. Kui sihtmärki piisavalt üle ei koormata, ei näe kõrvalseisjad mingit tulemust ja rünnak kukub läbi, täpselt nagu eelmisel nädalal Eestis toimus.
Zombie-arvutite armee
Ründajad kasutavad enneolematult suure koormuse tekitamiseks mitut vahendit. Üks võimalus on lihtsalt leida piisavalt kaasvõitlejaid, kes on valmis käsu peale koos veebilehte pommitama.
Seda meetodit võib pidada Eestis kasutuks, sest vajalikku kriitilist massi ilmselt kokku ei saaks. Kui aga pahatahtlikud koonduks välismaal, oleks võimalik ajutiselt katkestada Eesti interneti välisühendus, nagu tehti 2007. aasta küberrünnakute ajal.
Vabatahtlike internetigeriljade puudusel on võimalik panna enda kasuks tööle ka nende inimeste arvutid, kes lohakusest oma raali pahavaraga on nakatanud. Nii tekib botnet ehk zombie-arvutite armee, mida juhitakse ühest kontrollkeskusest. Botnet’e renditakse mustal turul kasvõi tunnipõhiselt – nende hinnad algavad ligi üheksast dollarist – ja piisavalt paksu rahakotiga ründaja võib seega enda seljataha saada miljoneid arvuteid.
Küberpommide arsenalis keerukuselt järgmine relv hõlmab juba peenemat tehnikat kui zombie-arvutid. Domeeninimede süsteemi (DNS) ründe käigus kasutatakse lihtsustatult öeldes ära interneti arhitektuuri keskmes olevaid nimeservereid, mis ühendavad aadressi – näiteks www.epl.ee – konkreetse IP-aadressiga – 212.47.223.33. Ründe käigus saadetakse nimeserverile massiliselt päringuid, näiteks küsides, „mis on epl.ee IP-aadress”. Ühendus nimeserveriga käib aga üle sellise protokolli, kus on võimalik võltsida küsimuse autori andmeid.
Nii saadavadki ründajad massiliselt küsimusi nimeserverile koos andmetega, et kõik küsimused pärinevad samast serverist, kus asub sihtmärgi lehekülg. Selle tulemusena asuvad nimeserverid automaatselt sihtmärgi aadressile saatma vastuseid ja koormavad selle veebilehe niimoodi üle.
Rünnakute vastu võitlemiseks on aga igasuguseid erinevaid tehnikaid. Nagu eelmisel nädalal nägime, on üheks selliseks riiklik üksus riigi infosüsteemi amet, mis oli ründeohu ajal pidevalt valvel.
RÜNNAKUARSENAL
Programmid on liiga keerulised, ka keskmise häkkeri jaoks
Anonymouse nime all ründajad on sageli kasutanud arvutiprogrammi Low Orbit Ion Cannon (LOIC), mis on sisuliselt lihtne abivahend ülekoormusrünnaku läbiviimiseks.
Eriti tihe „tulistamine” toimus eelmisel aastal, kui Anonymous ja sellest võrsunud internetigeriljade liikumine Lulzsec häkkisid lääneriikide turvatuimatesse serveritesse ja pommitasid erinevaid sihtmärke. FBI suutis aga LOIC tarkvara kasutajatele jälile jõuda ja pokri pista 16 enamjaolt 20-ndates eluaastates inimest.
See viis plaanini välja töötada uus keerukam relv – HOIC ehk High Orbit Ion Cannon. Ent üks Anonymouse liige rääkis portaalile Ars Technica, et nende aktivistide keskmine oskuste tase on selle kasutamiseks liiga madal. „Inimesed ei näi mitte millestki midagi aru saavat,” kurtis anonüümne küberaktivist. Näib, et ka keskmise häkkeri jaoks on arvutid liiga keeruliseks muutunud.
