Anonymous na sklonku března zaútočí na DNS systém globálního internetu, který hodlají na určitý čas pozastavit. Nic nebude fungovat, neboť DNS systém překládá webové adresy na IP adresy konkrétních serverů. Pozastaví se tedy celý současný web. Když zadáte do prohlížeče adresu www.zive.cz, nepřeloží se na IP adresu webového serveru Mladé fronty a namísto toho zobrazí prohlížeč chybu. Ale nebojte se, s největší pravděpodobností nic podobného rozhodně nehrozí.
Internetovou apokalypsu slibuje textová zpráva z webové schránky Pastebin.com. Má to ale několik háčků. Útok se jmenuje „Operation Global Blackout“, který je ale už tak trochu zprofanovaný, pod stejnou hlavičkou se měl totiž loni na podzim odehrát i zaručený útok na Facebook. Nestalo se zhola nic.
Útok na kořenové servery DNS
Nejistý je také aktuálně ohlášený útok a mnozí se domnívají, že toto Anonymous skutečně nemohou myslet vážně. Podobný názor sdílí i Ondřej Filip z českého CZ.NIC, kořenový DNS systém je totiž z principu poněkud odolnější než stránky CIA či amerického ministerstva spravedlnosti.
V rámci operace Global Blackout hodlají Anonymous, pokud to jsou tedy praví Anonymous, zaútočit pouze na kořenové servery systému DNS. Těch je třináct a jsou první úrovní při překladu webové adresy na IP adresu serveru. Kořenové servery se starají o to, aby tazateli předaly informaci o tom, na jaké IP adrese se nacházejí DNS servery pro konkrétní TLD domény. Pokud se tedy počítač zeptá na adresu www.zive.cz, kořenový server mu předá seznam IP adres s DNS servery, které obhospodařují webové adresy s koncovkou CZ. DNS má tedy stromovou strukturu a počítač se postupně prokouše až k cíli. Celé to zabere pouhý okamžik.
Pokud se počítač nedozví IP adresu cílového webu z cache, mohl by celý překlad pomocí DNS systému pro adresu www.wikipedia.org vypadat jako na obrázku výše. Kořenový DNS server předá informaci, které servery spravují doménu ORG. Jeden z těchto serverů předá informaci, kdo spravuje doménu wikipedia.org. A nakonec se webový prohlížeč konečně dozví IP adresu počítače, kterému odpovídá subdoména www.wikipedia.org (Zdroj: Wikipedia.org, Pavel Satrapa)
Pokud by útočníci tyto kořenové servery skutečně napadli DDoS útokem, v podstatě by vyřadili tuto první úroveň a celý překlad WWW adresy na IP adresu by se pozastavil už na začátku. Jenže takhle jednoduše svět funguje pouze ve špatných filmech. V minulosti už proběhlo několik útoků na kořenový systém DNS a ani jeden nebyl ve své podstatě úspěšný.
Proč by byl útok neúspěšný?
Proč to není tak jednoduché? Na toto se pokusil odpovědět bezpečnostní odborník Robert David Graham z webu Errata Security a to v několika stručných bodech. Dovolil jsem si je částečně převzít.
1. Kritický systém má kritickou ochranu
Útok Anonymous nebude úspěšný čistě proto, že jej mohou správci kořenových DNS serverů očekávat a mohou především rychle zareagovat, jakmile by byly servery přetížené. Kořenové DNS servery se zároveň nenacházejí kdesi v horách na špatné lince, ale povětšinou na klíčových páteřních sítích.
2. Diverzita a zrcadla
Aby byl útok na DNS systém internetu dokonalý, museli by útočníci zahltit všech třináct kořenových serverů. Už to samo o sobě je poměrně komplikované, doposud se totiž útočníkům podařilo shodit jen jednotlivé webové servery konkrétních institucí. DNS servery jsou ale jednodušší, perfektně optimalizované a nacházejí se na kritické síťové infrastruktuře.
Ovšem tím nejdůležitějším a hořkým poselstvím pro Anonymous je fakt, že kořenových serverů ve skutečnosti vůbec není třináct, ale více než dvě stovky. Mnohé z nich jsou totiž zrcadlené po celém světě. Když tedy budete útočit na konkrétní IP adresu kořenového serveru z USA a zároveň z České republiky, routovací systém internetu vás pokaždé zanese na jiné zrcadlo – na jiný záložní server. Několik zrcadel pro kořenové DNS servery spravuje i CZ.NIC.
Pokud tedy chtějí být Anonymous úspěšní, měli by rovnoměrně zahltit všech 259 lokalit, což je prakticky nemožné.
3. Cache
Jednou z nejsilnějších zbraní DNS systému je nakonec cachování – tedy dočasné ukládání informací o tom, k jaké doméně patří která IP adresa webového serveru. Cachuje se v podstatě na všech úrovních, útok na kořenovou strukturu internetu by tedy musel být nejen úspěšný, ale zároveň i velmi dlouhý – přinejmenším by musel trvat několik dlouhých hodin. Teprve poté by se mohl celý systém začít hroutit jako domeček z karet. Jenže pokud o něm všichni ví s velkým předstihem dopředu, mohou se na něj klíčoví hráči dostatečně připravit.
Útok na kořenové servery se tedy může zdát na první pohled docela zajímavý, v praxi by byl ale asi k ničemu. Mnohem úspěšnější by byl útok na některé DNS servery na nižším patře, i zde by se to ale díky cachování mohlo dotknout jen exotičtějších domén, které zatím nejsou ve vyrovnávací paměti.
Pouze PR?
Co z toho všeho plyne? Mnozí odborníci se domnívají, že se i v tomto případě jedná o hoax, nebo v lepším případě o mediální divadlo, které má jediný úkol – zajistit mediální propagaci hnutí Anonymous.
Anonymous mají jistě určitou útočnou sílu u klasických DDoS útoků, nicméně do nich se pokaždé zapojily maximálně jednotky tisíc počítačů – nikoliv skutečně globální masa, která by získala prostředky ke skutečně citelnému útoku na klíčovou infrastrukturu celého internetu.
Dokud ovšem budou Anonymous chřestit virtuálními zbraněmi, zpravodajské weby o nich budou se zájmem psát. Při pohledu na tento článek se to vlastně týká i nás.
