Nigdy nie wiesz, skąd przyjdzie atak

Bezpieczniak coraz częściej może się poczuć jak detektyw. Choć oczywiście usuwanie skutków cyberataków to rzecz potrzebna, o ile lepiej byłoby, gdyby można było przewidzieć, co się stanie i zabezpieczyć się zawczasu? Odnajdywanie zagrożeń i zapobiegowanie im proaktywnie, to spora część naszej roboty. Ostatnio okazało się jednak, że potencjalnych zagrożeń dla sieci trzeba szukać w mocno niespodziewanych miejscach.

W ostatni wtorek, 12 lipca, ok. 10 rano u operatorów, odpowiedzialnych za płynność działania sieci Orange Polska, rozdzwoniły się (choć może nie dosłownie) alarmowe dzwonki. Nagle bowiem, z minuty na minutę, ruch międzynarodowy na punktach wymiany z naszą siecią wzrósł w sposób na tyle znaczący, by uruchomić procedury, przewidziane na wypadek ataku DDoS. Sprawcę udało się znaleźć w ciągu niecałych 30 minut – okazało się, żę cały tak drastycznie zwiększony ruch pochodzi od jednego dostawcy treści – z serwerów CDN (Content Delivery Network) firmy Akamai. Ostatecznym sposobem na usunięcie ryzyka byłoby ograniczenie ruchu przychodzącego od tego dostawcy – sytuacja była monitorowania nieprzerwanie i po tak drastyczne środki nie trzeba było sięgać.

Tym bardziej, że po pierwszej analizie… wiedzieliśmy, kiedy „DDoS” się skończy i faktycznie o godz. 14 ruch spadł do poprzedniego poziomu. Co się stało? Powód okazał się prozaiczny. O 10 w ubiegły wtorek Epic Games uruchomiło… aktualizację hitu ostatnich miesięcy, gry Fortnite. Na pewno część młodszych graczy czekało jak na szpilkach, by ściągnąć nową wersję, być może też gdzieniegdzie uruchomiła się aktualizacja automatyczna. W Fortnite gra 125 milionów ludzi na całym świecie, grupa polskich fanów najpopularniejszego battle royal też jest – jak się okazało – liczna. A biorąc pod uwagę przeszło dwugigabajtową wielkość „paczki” z aktualizacją, okazuje się, że dbając o bezpieczeństwo i przepływność w sieci trzeba brać też pod uwagę co dzieje się w popularnych grach online.