W bankach pracują często najlepsi specjaliści IT od zabezpieczeń, a pomimo tego dochodzi do ataków. Ich koszty można jednak minimalizować, a rodzaje ataków przewidywać. Jak wyglądają ataki DDoS i DRDoS oraz jak reguluje je prawo polskie ?
Wczoraj otrzymałam wiadomość, że jest nieaktywna strona Unibanco Banco Multiplo SA. Faktycznie tak było. Strona nie działała przez pół dnia. Do ataków przyznała się grupa przestępców, której symbol (biała maska uśmiechniętego staruszka z wąsem) stał się ostatnio popularny w Polsce za sprawą porozumienia ACTA. Niektórzy postulują nawet by umieścić go np. na pomniku małego powstańca w Warszawie (pomnik upamiętnia najmłodszych uczestników powstania warszawskiego w 1944 roku). Nie będę nawet tego pomysłu komentować. Niestety fascynacja tą grupą przestępczą jest niepokojąca i może być niebezpieczna dla nas wszystkich.
Na atakach sieciowych zawsze ktoś zyskuje (przestępca) i traci (pokrzywdzony) pieniądze. To pewna prawidłowość i nie powinno się o tym zapominać.
Jeśli fascynacja cyberprzestępcami będzie wzrastać to będą oni silniejsi, gdyż ataki DoS (Denial of Service – odmowa dostępu) są bardzo skuteczne, a naśladowców czy pomocników do popełniania przestępstw w sieci może znaleźć się wielu. Takiej machiny nie da się zatrzymać bo jeśli ktoś raz zdecyduje się “wesprzeć siły” to jego komputer stanie się komputerem zombie (komputerem, który bez wiedzy użytkownika wykorzystywany jest do popełniania przestępstw).
Jak wygląda atak DoS i jego odmiany?
Atak typu DoS to mówiąc najogólniej atak 1:1 zaś jego odmiany: DDoS (Distributed Denial of Service – rozpowszechniona odmowa dostępu) oraz DRDoS (Distributed Reflection Denial of Service – rozpowszechnione odbicie odmowy dostępu) są częściej stosowane przez przestępców z uwagi na trudności w wykryciu sprawcy. Są to ataki wg. schematu 2x:1.
Jak atak wygląda w praktyce?
Wyobraź sobie, że np. 10.000 osób umawia się, że na określony znak będą odświeżali stronę X. Mało realne, ale na to przestępcy mają sposób.
1 użytkownik (komputer) w czasie wejścia na stronę wysyła kilka żądań (pakietów danych) do serwera www w określonej sekwencji czasu zanim zostanie otworzona strona. Jeżeli pomnożymy liczbę użytkowników i liczbę wysyłanych żądań przez 1 użytkownika to może się okazać, że serwer nie jest w stanie nadążyć z ich obsługiwaniem. Jest to klasyczny przykład zalewania (flooding) serwera pakietami danych. W efekcie takiego działania serwer zawiesza się i strona jest nieaktywna przez pewien czas.
Teraz wyobraź sobie, że np. 3 osoby umawiają się, że na określony znak uruchomią swoje botnety (sieć zainfekowanych komputerów zombie). Siła rażenia takiego ataku może być nie do odparcia dla każdej serwerowni.
A co jeśli 1 osoba zakupi pakiet (program + botnet) na czarnym rynku i po skonfigurowaniu programu zgodnie z dołączoną instrukcją przeprowadzi atak ?
Te scenariusze są bardzo realne i są niebezpieczne.
Ataki DoS i jego odmiany są przestępstwem w polskim porządku prawnym. Zgodnie z zasadą terytorialności określoną w art. 5 Kodeksu Karnego:
Ustawę karną polską stosuje się do sprawcy, który popełnił czyn zabroniony na terytorium Rzeczypospolitej Polskiej, jak również na polskim statku wodnym lub powietrznym, chyba że umowa międzynarodowa, której Rzeczpospolita Polska jest stroną, stanowi inaczej.
Zgodnie z treścią art. 6 § 2 Kodeksu Karnego
Czyn zabroniony uważa się za popełniony w miejscu, w którym sprawca działał lub zaniechał działania, do którego był obowiązany, albo gdzie skutek stanowiący znamię czynu zabronionego nastąpił lub według zamiaru sprawcy miał nastąpić.
Za miejsce wystąpienia skutku należy uznać miejsce położenia serwera.
W zależności od przedmiotu zamachu i zachowania sprawcy odwołam się do 4 przepisów, które wprowadzają odpowiedzialność karną za ten rodzaj ataków:
Art. 268. § 1 kodeksu karnego:
- zachowanie sprawcy polega na udaremnianiu (uniemożliwianiu zapoznania się) lub znacznym utrudnianiu osobie uprawnionej zapoznanie się z istotnym zapisem informacji.
Istotnym zapisem informacji są wartościowe informacje z Twojego punktu widzenia oraz Twojego klienta, np. procedura zamówień, dane teleadresowe etc. Osobą uprawnioną może być każdy lub osoby, które posiadają dostęp do określonej części witryny, na której znajdują się istotne informacje, które są przedmiotem zamachu.
Art. 268a. § 1 kodeksu karnego:
- zachowanie sprawcy polega na utrudnianiu dostępu do danych informatycznych
albo
- w istotnym stopniu zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania takich danych (np. zamówień online).
Art. 269. § 1 kodeksu karnego:
- zachowanie sprawcy polega na zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego.
Art. 269a § 1 kodeksu karnego:
- zachowanie sprawcy polega na transmisji danych informatycznych w taki sposób, że w istotnym stopniu zakłóca ona pracę systemu komputerowego lub sieci teleinformatycznej.
Moim zdaniem art. 287 kodeksu karnego nie znajduje zastosowania do przestępstwa polegającego na przeprowadzeniu ataku DoS lub jego odmian. Art. 287 kk penalizuje oszustwo komputerowe, a znamiona wskazane w tym przepisie są adekwatne do tego rodzaju przestępstwa.
Autor grafiki promującej wpis: Francesco Faggiano