Küberrünne, mis võib hävitada kogu interneti

Olemasolevad kaitsemehhanismid on uut liiki küberründe vastu võimetud. Sellise väite esitas Max Schuchard USA Minnesota ülikoolist, kirjutab novaator.ee.

Koos kolleegidega on ta välja mõelnud meetodi, kuidas küberründe abil viia rivist välja terve internet. Kuid neil pole kavas jätta maailma ilma netita, vaid otsida võimalusi, kuidas võrke sellise ründe eest kaitsta, kirjutas New Scientist.

Igas minutis kaob internetis sadade ühenduspunktide vahel ühendus, kuid me ei pane seda võrgu ülesehituse tõttu tähelegi. See on võimalik tänu ruuteritele ehk suunajatele, mis ühendavad omavahel iseseisvaid väiksemaid võrke, millest internet koosneb. Kui ühendustee muutub, siis läheduses asuvad suunajad edastavad selle info järgmistele interneti standardse välislüüsi protokolli BGP abil.  Need suunajad informeerivad omakorda teisi suunajaid, mille kaudu levib see informatsioon üle interneti.

Varem avastatud ründemeetod ZMW, mis sai neli aastat tagasi nime selle loonud USA teadlaste Zhangi, Mao ja Wangi järgi, katkestab ühenduse kahe suunaja vahel, häirides BGP protokolli  ning näitab, et ühendust pole. Schuchard mõtles koos kolleegidega välja, kuidas seda katkestust levitada üle kogu interneti ning simuleeris selle mõjusid.

Ründeks on vaja suurt robotvõrku, mis koosneb suurest hulgast pahavaraga nakatatud arvutitest, ehk zombidest, mida on võimalik ilma omaniku teadmata kaugjuhtimise teel kasutada tõkestusrünnete korraldamiseks või rämpsposti levitamiseks.

Schuchardi arvates piisab 250 000 sellisest arvutist, et interneti toimimine lõpetada. Robotivõrke kasutatakse sageli hajutatud teenusetõkestamise rünneteks (DDoS), mille eesmärk on takistada serverite tööd, tekitades ülekoormust. Selline oli näiteks pronkssõduri mahavõtmise järel Eesti suuremaid veebilehti tabanud rünnete iseloom.

Schuchardi sõnul on aga uus lähenemine erinev.  Tema loodud küberrelva kasutaja saadaks arvutitevahelise infoliikluse edasi, et luua kaart robotivõrku lülitatud arvutite omavahelise ühenduse kohta.  Seejärel tuvastaks ründaja erinevaid radasid ühendava seose ning käivitaks ZMW ründe nende halvamiseks. Lähimad suunajad vastaksid BGP uuendusi välja saates, et infovahetus ümber suunata.  Mõne aja möödudes taasühenduks kaks lahutatud suunajat ning edastaks oma BGP uuendused, mille tulemuseks oleks uus ründav infovoog, mis nad uuesti lahti ühendaks.

See tsükkel korduks lingi abil, mis kõigile suunajatele BGP uuendusi saadab ning lõpuks saavad kõik suunajad rohkem uuendusi, kui nad töödelda suudavad. Peale paarkümmend minutit kestnud rünnet tekiks saja minuti pikkune infotöötluse järjekord. Schuchardi sõnul on see probleem, sest ülekoormatud suunajatel on kalduvus veidralt käituda. Kui kõik suunajad oleksid täielikult hõivatud, siis tekiks internetis nii palju auke, et ühendus muutuks võimatuks. Schuchardi arvates võtaks sellisest kaosest väljatulek mitu päeva ning eeldaks teenusepakkujate vahelist koostööd.Kõik iseseisvad süsteemid tuleks välja lülitada ja taaskäivitada, et saada lahti BGP tegemata tööde järjekorrast.

Vaenulik rünne internetile on siiski ebatõenäoline, sest rünnatava lingi leidmiseks vajalik võrgu kaardistamine on väga keeruline tehniline ülesanne ning enamik suurte robotvõrkude omanikest rendivad oma võrke välja pigem kasumi teenimise eesmärgil.

Alternatiivne stsenaarium on üleüldine kübersõda. Riik võib küll oma BGPd häälestada, et end internetist lahti ühendada, nagu Egiptus seda hiljuti rahutuste ajal tegi, kuid samas võib teine riik rünnata, mille tulemusena säiliks ainult rünnatava riigi sisevõrk.

Schuchardi simulatsioon näitab, et BGP ei ole kaitseks lahendus. Üheks lahenduseks oleks edastada BGP uuendusi eraldi võrgustiku kaudu, kuid see oleks ebapraktiline ning eeldaks iseseisva variinterneti loomist. Võimalik oleks ka BGP süsteemi muuta, kuid Schuchardi sõnul on see keeruline.

Tartu ülikooli arvutiteaduse instituudi hajussüsteemide õppetooli lektor Meelis Roos ütles, et sedasorti ründeidee pole uus, pärineb aastast 2007 ning sarnase mõjuga ründeid on ka enne seda leitud.  “Sellest saadik on neile mõjudele ka vastumeetmeid leiutatud. Konkreetse ründe vastu aitab - nii ennetavalt, kui ka tagajärgede likvideerimiseks - marsruuterite vahelisele liiklusele prioriteetide seadmine,” ütles ta. “Mõnede tootjate marsruuteril on see ka vaikimisi aktiveeritud. Paljud konkreetsed ühendused internetis on ilmselt selle ründe poolt seni haavatavad.”

Roos lisas, et suuremat rünnet pole aga seni näha olnud ja aja jooksul väheneb sellise globaalse ründe tõenäosus tema hinnangul veelgi, sedamööda kuidas meetmed laiemalt levivad. Praktikas on oluline, mida on selle vastu teinud interneti tuumiku moodustavad suured rahvusvahelised teenusepakkujad.