حمله DDoS دی داس یا «محروم سازی از سرویس توزیع یافته» تلاش برای خارج کردن منابع شبکه، اپلیکیشن یا سرویس از طریق سرازیر کردن درخواست های فراوان است. در سال های اخیر به لطف فراگیر شدن حملات سایبری با اهداف سیاسی یا «هکتیویسم» ابزارها و تکنیک های DDoS دچار تحول گسترده ای شده است.
امروزه تعریف این حملات پیچیده تر شده چرا که مجرمان سایبری با به کارگیری ترکیبی از حملات با حجم بالا و ابزارهای نفوذ هوشمندانه علاوه بر اپلیکیشن ها، زیرساخت های امنیتی شبکه از قبیل فایروال و IPS را نیز هدف قرار می دهند.
تشکیل ارتش بات نت ها
هکرها در گام اول بدافزارهای خود را از طریق ایمیل، وب و شبکه های اجتماعی منتشر کرده و دستگاه های مختلف متصل به اینترنت از گوشی گرفته تا وبکم را آلوده می سازند. سپس با راه اندازی بدافزار در این سیستم ها ارتشی یکپارچه از بات نت ها را برای حمله به هر هدفی در اختیار می گیرند. در یکی بزرگترین حملات محروم سازی صورت گرفته بیش از یک و نیم میلیون بات نت شرکت داشته اند.
شروع حمله
بات نت ها قابلیت ارسال ترافیک سنگین به اهداف مختلف را دارند. این ترافیک را می توان با ارسال درخواست های اتصال بیشتر از ظرفیت سرور یا ارسال مقادیر عظیمی از داده به قربانی برای مصرف پهنای باند پیاده سازی کرد. در حمله «کربز» بیش از 540 گیگابیت داده در ثانیه به سایت هدف ارسال شده است.
بازار سیاه بات نت
در وب تاریک بازارهای آنلاین تخصصی برای خرید و فروش بات نت یا حملات DDoS رواج دارد. هرکس می تواند با مراجعه به این بازارهای زیرزمینی و پرداخت مبلغی نه چندان زیاد وب سایت یا سازمان های دیگر را از دسترس خارج کند. سفارش یک حمله طولانی DDoS با قابلیت ایجاد اختلال در سایت های معمولی حدودا 15 دلار و ایجاد اختلال در سازمان های متوسط تقریبا 150دلار قیمت دارد.
اخیرا طی یک عملیات مشترک در دوازده کشور از جمله آمریکا، انگلیس و هلند بزرگترین مرکز سفارش های حملات محروم سازی از سرویس با عنوان WebStresser متلاشی شده است. یکی از افراد دستگیر شده در این عملیات جوانی 19 ساله به نام «یوان میرکویچ» است.
انواع مختلف حملات DDoS
حملات محروم سازی از سرویس توزیع یافته بسیار متنوع بوده و شامل هزاران روش می شود که اغلب در چند دسته اصلی قرار می گیرند.
حملات حجمی
در این نوع حمله مهاجم سعی در مصرف پهنای باند درون شبکه یا بین شبکه و اینترنت دارد که باعث ایجاد ترافیک شدید می شود. در برخی موارد میزان این ترافیک به صدها گیگابیت در ثانیه نیز می رسد.
حمله به وضعیت های TCP
تلاش هکر در این دست حملات بر مصرف جداول وضعیت اتصالی متمرکز است که در بسیاری از اجزای زیربنایی از قبیل توزیع کننده های بار بین سرورها، فایروال ها و سرورهای اپلیکیشن وجود دارد. حتی دستگاه های قادر به نگهداری وضعیت میلیون ها اتصال نیز در چنین حملاتی از پا درخواهند آمد.
حملات لایه کاربرد
هکرها در چنین سناریویی بخشی از اپلیکیشن یا سرویس را در بالاترین لایه پشته TCP/IP هدف قرار می دهند که نقش رابط بین کاربر و سیستم را ایفا می کند.
این حملات نسبت به مدل های قبلی مرگبارتر هستند چرا که تنها یک ماشین مهاجم با تولید نرخ پایینی از ترافیک برای از کار انداختن سیستم کافی خواهد بود و همین مساله شناسایی و پیشگیری از آن را دشوار می سازد.در سال های اخیر حمله HTTP Get Flood با فراوانی 21 درصد به عنوان شایع ترین حمله DDOS در لایه کاربرد شناخته شد است.
امروزه هکرها با ترکیب حملات حجمی، جداول وضعیت ها و لایه کاربرد یک حمله همه جانبه را علیه زیرساخت ها صورت می دهند. دلیل محبوبیت این حملات DDoS کارایی بالا و در عین حال دشوار بودن دفاع در برابر آن است.
مشکلات به همین جا ختم نمی شود، اخیرا Frost & Sullivan، از شرکتهای مشاور در زمینه امنیت اعلام کرده هکرها از حملات DDoS به عنوان تاکتیک انحرافی برای حملات اصلی بهره می برند. آنها با منحرف کردن تیم های امنیت و پشتیبانی، تهدیدات اصلی را با تزریق بدافزار و تروجان به شبکه پیاده می کنند.
چرا حملات DDoS تا این حد خطرناک هستند؟
با افزایش وابستگی کسب و کارها و سازمان ها به اینترنت، خارج شدن از دسترس که همان ضربه اصلی DDoS است، به اندازه قطع شدن برق روی آنها تاثیر منفی دارد.
تاخت و تاز هکرها به سرویس های مالی و سازمان های کوچک محدود نمی شود بلکه اپلیکیشن های حیاتی کسب و کار نظیر ایمیل، CRM، اتوماسیون فروش و غیره را که سازمان ها برای مدیریت امور روزانه خود بر آنها متکی هستند، هدف قرار می دهند.
علاوه بر این بانک ها، صنایع مختلف و حوزه بهداشت و درمان نیز برای انجام فعالیت های روزمره و ارتباط با زنجیره تامین و بخش های دیگر بر وبی تکیه دارند که از حملات محروم سازی در امان نیست.
حمله موفق DDoS چه پیامدهایی دارد؟
از دسترس خارج شدن یک سایت یا اپلیکیشن محبوب به نارضایتی مشتریان، از دست رفتن سود و ضربه دیدن برند منجر می شود.
از سوی دیگر زمانی که اپلیکیشن های حیاتی کسب و کار از پا بیفتد عملیات های مختلف از ارتباط با زنجیره تامین گرفته تا تولید و توزیع با اختلال مواجه خواهد شد.
یک کمپین DDoS موفق به معنی ارسال دعوتنامه برای هکرهای دیگر است و تا زمانی که معیارهای امنیتی لازم پیاده سازی نشوند، تاخت و تاز هکرها نیز به قوت خود باقی خواهند ماند.
چه معیارهای دفاعی در برابر این حملات وجود دارند؟
اگر جزو کاربران عادی هستید برای جلوگیری از ملحق شدن دیوایس های متصل به ارتش بات نت ها باید نام کاربری و رمز ورود به دستگاه را تغییر دهید تا از دسته دیوایس های محافظت نشده (با رمز پیش فرض) خارج شده و امکان ملحق شدن به جمع زامبی های DDoS اینترنتی از بین برود.
این اقدام دستگاه های خانگی شما را در مقابل حملات پایه بات نت ها حفظ می کند، اما هکرها با رمزگشایی داده های ارسالی و دریافتی می توانند به تعیین و تشخیص کلمه عبور بپردازند. بنابراین به مودم یا روتر خود رجوع کرده و با شناسایی آدرس فیزیکی تمام دستگاه های حاضر در خانه، لیستی از آنها را تهیه نموده و به مودم معرفی نمایید.
اما برای اینکه هدف حملات محروم سازی قرار نگیرید باید اقدامات دیگری را در دستور کار قرار دهید. با توجه به طبیعت گسترده حملات DDoS و پیامدهای ویرانگر آنها، بسیاری از کمپانی امنیتی بسته های حفاظت در برابر DDoS را توسعه داده اند که از نظر کارایی با هم تفاوت دارند. با این حال اگر شما هدف مطلوبی برای هکرها باشید هزینه کردن در این راه مثل مچ اندازی با هکرها است و برای موفقیت در این ماراتن باید معیارهای زیر را در نظر داشته باشید:
- با پاکسازی شبکه از اسپمرها و دیگر ابزارهای مخرب خود را از دامنه نفوذ آنها خارج کنید.
- ترافیک طبیعی شبکه را مشخص کنید تا به محض دریافت ترافیک غیرعادی از حمله احتمالی DDoS مطلع شوید. ابزارهای بسیاری در این راستا وجود دارند که از این میان می توان به NetFlow, sFlow, Splunk, Nagios, Cacti, Smokeping, Munin و DSC اشاره کرد.
- در صورت امکان شبکه را با بهره گیری از عناصر کارآمد برای بازرسی عمیق بسته های دریافتی طراحی کنید. علاوه بر این برای اطمینان از بارگذاری بهینه و کارآمد بسته ها ظرفیت سرور را تا حد امکان افزایش داده و آن را تقویت کنید.
- تسلط بر استراتژی دفاعی به اندازه خرید و نصب آنها اهمیت دارد. اگر از نحوه کار با این تجهیزات اطلاع ندارید، چرا آنها را خریداری کرده اید؟ دفاع از زیرساخت اینترنت سازمان در برابر هکرها یک جنگ واقعی است، بنابراین با پیاده سازی مانورهای متعدد آمادگی خود را در سطح مطلوب حفظ کنید.
«جُنید حسین» ۲۰ ساله سومین فرد خطرناک داعش در لیست وزارت دفاع آمریکا و شناخته شده ترین مبلغ آنها در وب بود که مسئولیت سازماندهی حملات سایبری و هدایت هواداران داعش در آمریکا، انگلیس و کشورهای دیگر برای انجام حملات تروریستی را بر عهد داشت.
حسین پیش از پیوستن به نیروهای تکفیری سوریه در «بیرمنگام» انگلیس همراه با خانواده اش زندگی معمولی را داشت و از تفکرات افراطی به دور بود. با این حال وی از کودکی به برنامه نویسی و هک علاقه داشت و عضوی از یک گروه هک شناخته شده به حساب می آید.
اما چگونه نوجوانی علاقمند به تکنولوژی که در قلب تمدن غربی بزرگ شده، به یکی از اعضای بلندپایه داعش تبدیل شد و زندگی خود و صدها نفر دیگر را به باد داد؟ برای یافتن پاسخ این سوال با ما همراه باشید.
کودکی از محله ای سرسبز
جنید حسین در سال ۱۹۹۴ میلادی از پدر و مادری پاکستانی به دنیا آمد که از کشمیر به انگلیس مهاجرت کرده بودند. خانواده او که در سال های نخست مهاجرت در یکی از محلات جرم خیز ساکن بودند، با هدف تامین آینده بهتر فرزندان به منطقه سرسبز «کینگز هال» نقل مکان کردند ، غافل از اینکه جنید نوجوان در همین منطقه به تفکرات افراطی دچار می شود.
دوستان و نزدیکان این خانواده در مصاحبه های مختلف پدر جنید را به عنوان عضوی محترم و خوش برخورد از انجمن پاکستانی های بریتانیا نام می برند، در مقابل هنگام توصیف شخصیت پسرش حرف زیادی برای گفتن ندارند.
دوستان حسین از او به عنوان فردی یاد می کردند که چندان اهل معاشرت و بیرون آمدن نبوده است. ظاهرا وی همیشه غرق تفکرات خود بوده و چندان به حرف زدن درباره مسائل مختلف علاقه نداشته مگر اینکه موضوع بحث تکنولوژی می بود که در این صورت علاقه فراوانی از خود نشان می داد.
فراگیری هک برای انتقام
حسین چنان شیفته تکنولوژی بود که در همان سال های نوجوانی فعالیت خود به عنوان یک هکر را شروع کرد. یکی از دوستانش که از ۱۵ سالگی تا زمان پیوستن به داعش با او ارتباط داشته، شخصیت وی را اینگونه توضیح می دهد:
او تنها زمانی که آنلاین بود احساسات واقعی را بروز می داد، از نظر من در این فواصل به زندگی واقعی برمی گشت.
هکرهای دیگری که تنها از کانال مجازی با او ارتباط داشته اند، نظری متفاوت از دوستان نزدیکش دارند:
جنید حسین صد در صد اجتماعی، برونگرا، شوخ طبع، دلسوز و همدل بود.
علاقه او به دنیای هکرها به خطر حس انتقام دو چندان شده بود. جنید در سال ۲۰۱۲ طی مصاحبه ای با وب سایت «سافت پدیا» مدعی شد که در ۱۱ سالگی حین بازی آنلاین یک هکر به اکانتش نفوذ کرده و او هم برای انتقام گرفتن به سراغ یادگیری روش های هک رفته است. اگرچه او نتوانست انتقام بگیرد اما در مسیر تبدیل شدن یه یک هکر زبده قرار گرفت:
با عضویت در انجمن های مختلف هک، مطالعه خودآموز و روش های پایه ای مهندسی اجتماعی، ملاقات با افراد مختلف و سوال پرسیدن از این و آن به هکری با توانایی نفوذ به سایت ها و سرورهای مختلف تبدیل شدم.
مدتی پس از آن معضلات اجتماعی و سیاسی کشورهایی هزاران کیلومتر آن طرف تر نظر او را به خود جلب کرد:
وقتی ۱۵ سالم بود ویدیوهایی از قتل عام کودکان در مناطقی مثل کشمیر و فلسطین نظم را جلب کرد. هزاران سوال در ذهنم شکل گرفته بود و می خواستم از دلیل این فجایع سر در بیاورم.
این مسائل جنید را به فعالی اجتماعی تبدیل کرد که در راهپیمایی های دفاع از حقوق مسلمانان شرکت می کرد. با این حال نزدیکانش از او به عنوان فردی مقید به اسلام نام نمی برند و ظاهرا او به نماز خواندن یا دعا کردن پایبندی چندانی نداشته است.
از هم پاشیدن گروه های هکی که در آنها عضو بود باعث شد در ۱۵ سالگی سایت p0ison.org و گروه TeaMp0isoN را پایه ریزی کند. جنید حالا لقب «تریک» را برای خود انتخاب کرده بود و با کمک هم تیمی هایش و گروه های دیگر فعالیت هایی را علیه صهیونیست ها، گروه های ضد مسلمانان و دست راستی های بریتانیایی شروع کرده بودند.
TeaMp0isoN در شب سال نو ۲۰۱۰ صدها گروه فیسبوکی از قبیل حزب راست افراطی ای دی ال (EDL) را هک کرد و پس آن نیز مدعی هک کردن صفحه مارک زاکربرگ و «نیکولا سارکوزی» رییس جمهور وقت فرانسه شدند.
این گروه سپس مقیاس فعالیت های سایبری خود را گسترش داده و این بار به سراغ هک سایت افراطی های انگلیس و منتشر کردن لیست مخاطبین «تونی بلر»، نخست وزیر وقت انگلیس رفتند.
گروه TeaMp0ison مدعی حملات سایبری دیگری شدند که بخشی از آنها عبارتند از: هک سایت بلک بری به بهانه همکاری با مقامات انگلیسی طی شورش های سال ۲۰۱۱، تغییر صفحه اصلی سایت سازمان «ناتو»، نفوذ به سرور «برنامه توسعه سازمان ملل متحد»، نفوذ به ایمیل وزارت دفاع انگلیس و انتشار جزئیات ۲۶ هزار کارت اعتباری از یک سایت صهیونیستی
این گروه شهرت خود را مدیون حمله DDoS به شماره اختصاصی «دفتر ضد ترور بریتانیا» است که طی آنها صدها تماس با این خط برقرار شده و تنها عبارت Team Poison را تکرار می کرد.
او در سال ۲۰۱۲ با غرور از پنهان بودن هویتش در دنیای واقعی حرف می زد:
کاملا مطمئنم که ماموران هیچ ردی از من ندارند. من در دنیای واقعی وجود ندارم و از دستگیر شدن یا زندان رفتن ترسی ندارم.
تنها چند ساعت پس از انتشار این سخنان، او دستگیر شد.
زندان و افراط گرایی
زمانی که جنید حسین وکیلش را برای نخستین بار ملاقات کرد شرایط روحیش با قبل از دستگیری زمان تا آسمان تفاوت داشت. به گفته وکیلش «بن کوپر»، او از حضور در دادگاه برای نخستین بار کاملا شوکه و ترسیده بود.
جنید اتهاماتش را در دادگاه پذیرفت و در ۲۷ جولای ۲۰۱۲ به جرم انتشار اطلاعات تونی بلر و حمله سایبری به دفتر ضد ترور به شش ماه زندان محکوم شد. او تا قبل از زندان خود را به عنوان مدافع مسلمانان و فعال توصیف می کرد اما دیدگاه وی از تکفیری ها کیلومترها فاصله داشت، با این حال این حبس کوتاه به قیمت تغییر اساسی تفکرات وی تمام شد.
پیوستن به تروریست ها در سوریه
جنید حسین اواخر سال ۲۰۱۳ بریتانیا را به قصد پیوستن به نیروهای جهادی ترک کرد و پس از دو روز با عبور از مرز ترکیه وارد سوریه شد. او بلافاصله بعد از پیوستن به تکفیری ها اکانت های اجتماعی خود را حذف کرد اما مدتی بعد دوباره صفحات جدیدی را ایجاد کرد و با هدف جذب نیروهای جدید با دوستان سابقش ارتباط برقرار کرد.
مدتی بعد نامزدش «سالی جونز» که بیست سال از او بزرگتر بود نیز به سوریه رفت. سالی جونز زندگی بسیار سختی را پشت سر گذاشته بود. پدر و مادر او در کودکی از هم جدا شدند و زمانی که ده سال بیشتر نداشت پدرش دست به خودکشی زده بود.
او در ۱۶ سالگی از مدرسه اخراج شد و پس از تجربه شغل های مختلف به خواننده و گیتاریست گروه Krunch تبدیل شد. جونز در سال ۱۹۹۶ نخستین پسرش را به دنیا آورد و سه سال بعد شوهرش را از دست داد. او بعدا با فرد دیگری به ازدواج کرد و در سال ۲۰۰۴ پسر دومش «جوجو» را به دنیا آورد. جنید حسین و سالی جونز پس از ورود به سوریه نام خود را به «ابوحسین البریطانی» و «ام الحسین البریطانی» تغییر دادند.
دو سال قبل داعش ویدئویی جنجالی را از ترور اسرا به دست چند کودک منتشر کرد. بسیاری عقیده دارند که کودک چشم آبی این کلیپ «جوجو» پسر نانتی جنید حسین و سالی جونز است که به زبان عربی نیز تسلط پیدا کرده، داعش هم از او به عنوان «ابوعبدالله البریطانی» یاد می کرد که این شک را تقویت می کند.
رهبر سایبری داعش
در زمان سکونت این دو انگلیسی در سوریه روزنامه «ساندی تایمز» هویت واقعی آنها را افشا کرد و این ماجرا با توجه به سابقه هکری و خوانندگی آنها، اختلاف سنی فاحش، مطالب رمانتیکی که پیش از پیوستن به داعش منتشر کرده بودند، به ماجرایی جالب تبدیل شده بود.
حسین پیش از تمرکز بر هک، نقش مبلغ و جذب کننده نیروهای جدید در کشورهای غربی را برعهده گرفته و بدین منظور از سایت ها و اپ های اجتماعی مختلف بهره می برد.
با این حال یکی از اشتباهات او استفاده از پیام رسان های Kik و اسکایپ بود که توسط سازمان های مختلف به عنوان اپ هایی با کمترین میزان امنیت از آنها یاد می شود. جنید بعدها با پی بردن به عدم امنیت این اپ ها از دوستانش می خواست از Surespot استفاده کننده که از رمزنگاری سراسری بهره می برد.
سازمان های امنیتی انگلیس و آمریکا به نقش جنید در عملیات های تروریستی بسیاری اشاره کرده اند که از این می توان به تحریک «منیر عبدالقادر» برای انجام حملات تروریستی اشاره کرد که پیش از عملی شدن منجر به دستگیری وی شد. وی در تحریک دو مرد مسلح برای حمله به نمایشگاه اهانت آمیز پیامبر نیز دست داشته است. پیش از حمله یکی از این دو نفر در توییتر از دنبال کنندگانش خواسته بود ابو الحسین را دنبال کنند.
او در جریان تبلیغات خود افراد مسلط به هک را برای ماموریت های مختلف به کار می گرفت. جنید حسین یکی از بنیانگذاران و رهبر گروه مشهور حملات سایبری Cyber Caliphate یا «خلافت سایبری» بود و در هک وب سایت های فرانسوی و فیدهای تویتتر «ستاد مرکزی فرماندهی نیروهای آمریکا»، نشریه «نیوزویک» و «بیزینس تایمز» دست داشته است.
او در سال ۲۰۱۵ مدعی هک سرورهای «وزارت دفاع آمریکا» شد و پس از آن با انتشار لیستی از اطلاعات شخصی ۱۴۰۰ نیروی نظامی آمریکا از هواداران داعش خواست آنها را به قتل برسانند.
عملیات های سایبری موفق و نقش پررنگ در اجرای حملات مسلحانه باعث شد جنید حسین به دومین عضو بریتانیایی مهم و سومین فرد خطرناک داعش در لیست وزارت دفاع آمریکا بدل شود. از نظر بسیاری از سازمان های امنیتی آمریکا او علی رغم سن پایین، مغز متفکر سایبری داعش به حساب می آمد.
پایان مرگبار
نیروهای آمریکایی که تصور می کردند مهارت های سایبری جنید حسین ضربات جبران ناپذیری را به آنها وارد خواهد کرد، حذف او را در اولویت برنامه حملات هواپیماهای بی سرنشین خود قرار داده بودند. این نیروها پس از دریافت گزارشاتی از محل اقامت وی در شهر «رقه» سوریه مختصات اعلام شده را بمباران کردند که بر اثر آن سه شهروند کشته شده و پنج نفر دیگر زخمی شدند اما جنید جان سالم به در برد.
در حمله دوم که ۲۴ آگوست ۲۰۱۵ توسط پهپادها صوت گرفت جنید ۲۱ ساله به همراه دو بادیگاردش در یک پمپ بنزین از پای درآمدند. بعدها نیروهای امنیتی مدعی شدند که مکان این هکر زبردست را به لطف کلیک کردن او روی لینکی آلوده شناسایی کرده اند.