Küberrünnaku peaeesmärk on võta rivist välja
riigi tähtsamad internetiteenused,
meedia, pangad, riigiasutused.
Kõige lihtsam ja massilisem
rünnak on DDOS rünnak kus lihtsalt koormatakse
serverid netitrafficuga üle.
Tulemuseks on see, et Eesti pangad ja
meediaportaalid keerasid lihtsalt välisliikluse kinni.
Sellega saavutatigi kübersõja eesmärk, välismaalt juurdepääs siseriiklikele teenustele ja infokanalitele
on halvatud.
Kuidas selleest olukorrast välja tulla?
Hiljuti tegin uurimistöö raames katsetusi gmail.com meiliserveri spämmivastase süsteemi tundmaõppimiseks.
Gmail rakendas väga loovaid
ja arukaid
kaitsesatrateegiaid:
1. Piltmõistatused
meili registreerimisel. Vajalik inimfaktor, robotiga raske või üliraske
läbi minna.
Kõige lihtsma on ise see piltmõistatus ära lahendada.
2. eMaili sisu analüüs. Kui sisu
sisaldab teatud võtmesõnu www.minuheasait.com, siis
on kohe piltmõistatus ees ja
robot saab vea.
3. Strateegia
kuidas ära näha kas tegemist
on inimesega või robotiga, kui ikka
iga 1-2 sekundi järelt läheb sama kiri, siis järelikult robot ja piltmõistatus ette.
4. Kui
rakendada vastustrateegiat ja saata
randomiga meile näiteks 100 konto pealt eraldi, siis
saab sellest süsteemist mööda, aga siis lähevad
mängu jällegi sisuanalüsaatorid.
5. Sisuanalüsaatori
vastu annab emaili sisu muuta
dünaamiliselt, aga jällegi tuleb teatud
tasandil level ette ja visatakse
piltmõistatus ette.
6. Ühelt
IP pealt saab
registreerida päevas (24H)
max 10 gmaili kontot. Jällegi vastusüsteem intelligentsete robotite tegevusele, mis viskab pildi
kuhugi teise logimissaiti kus inimene on taga.
Tulemuseks on selline olukord kus google
gmaili läbi on võimalik spämmi saata, aga igal
tasandil on google ehitanud loovad lähenemisega kaitsesüsteemi, et kui vähegi
tekib kahtlus et on robot, siis pannakse piirangud
ette. Igast piirangust on võimalik
üle saada, aga mida kavalamaid
strateegiaid rakendad googlest möödaminemisel, seda keerulisemaks algoritm läheb. Lõppkokkuvõttes pole võimalik
DDOS rünnakut google vastu tööle panna,
sest peale
1000 meili pannakse torud väga karmilt
igal tasandil kinni. Kuni lõpuni
välja, et saad igal tasandil
disklaffi.
Samamoodi loova lähenemise strateegiat saaks kasutada suvalise protkolli puhul loovalt.
Välja tuleks töötada strateegiad, et milliste netimustrite
korral on tegemist DDOs rünnakutega.
Siia alla lähevad
ka tavaline portide näppimine sissesaamise eesmärgil. Kaitserobotit tuleks loovalt
igal tasandil välja koolitada, kasutades inimteadmist logide analüüsimisel. Ning tuleks defineerida
tegevused ja
levelid iga mustri korral:
1 red level
2 blue level
3 green level.
RED level IP läheb black listi kõigil portidel.
BLUe level ip läheb teatud portide
osas kinni näiteks 1 tunniks
GREEN level on tekkinud kahtlus teatud mustri osas,
aga inimene peab selle üle
kontrollima.
S.t. tuleks luua süsteem mis jooksvalt
suudaks neid mustreid läbi näha,
inimesel oleks võimalik neid mustreid
täiendada. Ning nende mustrite
põjal rakendatakse tegevusi mis vastavad
sys-adminni tegevustele kriisiolukorras. Samas tuleks läheneda loovalt, et välistada
olukord kus me lähme tuumapommiga sääse vastu. Loov
lähenemine kahjustab võimalikult vähe olemasolevat infrastruktuuri ja halvab
võimaliklut vähe avalikku interneti teenust.
Sellised kaitsesüsteemid või loovalt lähenevad
kaitserobotid tuleks välja töötada koostöös
oma ala tippspetsialistidega. selle
info baasilt mida nad kasutavad oma
igapäevasel süvatasandi adminn tegevusel. See tegevus tuleks viia roboti tasemele
ja automatiseerida.
Ja teiseltpoolt
selle roboti tegevust hakkaks juhtima intelligentne analüsaator, mis toimib reaalajas.
Kokkuvõttes mida madalamale tasamele minna, seda võimsama
ja intelligentsema
kaitsestrateegia ja kaitsesüsteem on võimalik ehitada.
Argo Vilberg
argovilberg@gmail.com