Ataki DDoS a „Beztroskie dzieciństwo…”

DDoS
Krzysztof Surgut
26.07.2016 Krzysztof Surgut

Ataki DDoS – który z rodziców słyszał o czymś takim? Jeżeli nawet słyszał, to pytanie czy powiązałby to nowe pojęcie informatyczne z własnym dzieckiem?

Jeszcze nie tak dawno…


…. dzieciaki rozrabiały wyłącznie w realu. Zdarzało się im stłuc szybę, połamać drzewo, podeptać trawnik, w skrajnym wypadku zniszczyć ubranie kolegi podczas zwyczajnej bijatyki lub uszkodzić lusterko, bądź też lakier stojącego samochodu.

Szkody jakie mogła wyrządzić pociecha, raczej nie przekraczały miesięcznego zarobku jednego z rodziców. Obecnie coraz częściej zdarzają się wybryki w wirtualnym świecie. Jednak w przypadku tego „Nowego Świata” koszty wybryków pociech, mogą przekroczyć wieloletnie zarobki całej rodziny. Czas „Beztroskiego dzieciństwa…” przechodzi do historii.


Ataki DDoS na SeaWorld


SeaWorld to park rozrywki w Stanach Zjednoczonych, który oferuje wiele atrakcji, np. rollercostery, pokazy tresury morskich ssaków, czy też różnego rodzaju wystawy i pokazy. Przez witrynę internetową parku rozrywki SeaWorld można nie tylko dowiedzieć się o atrakcjach tego miejsca, ale także dokonywać rezerwacji, kupować bilety czy pamiątki.

SeaWorld: Rollercoster w Orlando
SeaWorld: Rollercoster w Orlando (źródło: SeaWorld)

Czy można narozrabiać w takim parku rozrywki nie wychodząc z domu?

Okazuje się, że w czasach Internetu nie ma z tym najmniejszego problemu. Pewien 14-latek ze Stanów Zjednoczonych postanowił przeprowadzić regularne ataki DDoS na stronę WWW tegoż parku rozrywki. Ataki DDoS miały miejsce na przełomie 2014/2015 roku. Niektóre z ataków DDoS na witrynę internetową SeaWorld potrafiły trwać nawet 3 dni. W trakcie trwania ataku DDoS, nikt nie mógł otworzyć zaatakowanej witryny, a tym bardziej zamówić bilet czy dokonać rezerwacji.

To nie jedyna „działalność” jaka została zidentyfikowana w sieci, której autorem był nasz „bohater”. Udowodniono mu ataki DDoS także na strony rządowe, w tym strony WWW policji stanowej. Nasz małolat umieścił także na koncie Twitter – dwóch amerykańskich linii lotniczych – wpis, który sugerował podłożenie bomby w jednym z samolotów – w sprawę od razu zaangażowało się FBI.

Młodziaka ujęto, a prokurator przedstawił realne straty parku rozrywki SeaWorld:

„…ataki DDoS miały istotny i niekorzystny wpływ na finanse firmy SeaWorld, które skutkowały zwiększonymi nakładami na pracę pracowników firmy oraz kosztami niewelowania ataków DDoS, straty bezpośrednie wyceniono na 475 tysięcy USD, a koszty pośrednie na 130  tysięcy USD – tyle wyniosły koszty usług mających zapobiec takim sytuacjom w przyszłości.”

Młodociany sprawca przyznał się, że ataki DDoS na witrynę parku rozrywki to jego dzieło. Swoje działanie argumentował chęcią bycia cool, ponieważ czuł że angażuje się w sprawę „dobrostanu zwierząt”.

Po usłyszeniu w sądzie wartości strat finansowych, do których przyczyniło się dziecko, nogi pod każdym z rodziców ugięłyby się natychmiast. Przecież takie straty finansowe można było „wykręcić” uczestnicząc w skoku na bank, a nie siedząc w domu przed ekranem komputera. Jak długo muszą pracować rodzice, aby zarobić pół miliona dolarów?


Finał tej historii…


Sprawa młodego adepta ataków DDoS znalazła swój finał w sądzie. Wyrok sędziego mocno zaskoczył obie strony. Nastoletni sprawca został zobowiązany do 2-letniego uczestnictwa w specjalnym kursie dla młodocianych, podczas których podlegać on będzie specjalnym rygorom nadzoru (rodzaj nadzoru kuratorskiego, testy na obecność narkotyków, itd.). Dodatkowo małolat został zobowiązany do odbycia 120 godzin „prac naprawczych” oraz musiał się zobowiązać do zniszczenia swojego komputera, który służył mu mi. do ataków DDoS. Matka sprawcy została obciążona kosztami procesu, które wyniosły prawie tysiąc USD.

Strona poszkodowana – park rozrywki SeaWorld – była zaskoczona tak niskim wymiarem kary dla sprawcy realnych strat finansowych, na jakie narażona została amerykańska firma.


A gdyby to było w Polsce?


W Polsce ataki DDoS są przestępstwem i zgodnie z polskim kodeksem karnym podlegają karze więzienia. Polski wymiar sprawiedliwości jeszcze nie sądził nastolatków za straty wyrządzone umyślnym atakiem DDoS. Trudno więc powiedzieć jednoznacznie, jaką karę zasądzi polski wymiar sprawiedliwości oraz jakie przyjmie  uzasadnienie kary za taki czyn.

Jedno jest pewne, w Polsce za czyny nastolatków odpowiadają rodzice, a to oznacza że potencjalna kara finansowa skierowana będzie przede wszystkim w prawnych opiekunów małolata. Raczej mało prawdopodobne jest, aby polski wymiar sprawiedliwości zasądził jakieś poważne odszkodowania na rzecz zaatakowanej firmy – do takiego wniosku skłaniają mi. wyroki w zakresie odszkodowania za uszczerbek na zdrowiu, wyroki odszkodowań Skarbu Państwa, itd.


Co zrobić?


Wniosek jest jeden, albo firma zabezpieczy się przed atakami DDoS (wykupując usługę ochrony) lub zakupi polisę ubezpieczeniową od skutków ataku DDoS, albo liczy na to że małolaty nie będą specjalnie interesować się zasobami firmy.

Co do tego ostatniego, to trudno raczej przewidzieć jakie motywacje będzie miał domorosły haker. Może się na przykład okazać, że w swoim źle pojętym poczuciu sprawiedliwości, będzie chciał „ukarać” firmę za zwolnienie któregoś ze swoich rodziców. Darmowych narzędzi do ataku DDoS w sieci znajdzie całe mnóstwo, a o konsekwencjach nawet nie będzie myślał – w końcu co najwyżej otrzyma dozór kuratora sądowego.


A co wtedy zrobi firma?


„Co najwyżej” zaksięguje spadek przychodów i przygotuje oficjalny komunikat dla prasy i klientów – z przeprosinami za zaistniałą sytuację. Pytanie czy warto czekać na taką sytuację, aby dowiedzieć się ile wyniesie realna strata oraz jaką karę zasądzi polski sąd? No i najważniejsze – czy klienci będą tak wyrozumiali, że nie odbije się to na przyszłych przychodach spółki?

źródło: BOY HACKER DODGES JAIL

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Infrastruktura IT
Pożar w Data Center a ochrona?
Infrastruktura IT
Free cooling, chłód w zgodzie z naturą
   /   Bezpieczeństwo IT   /   Ataki DDoS a „Beztroskie dzieciństwo…”