Kolik návštěvnosti vašeho webu tvoří skuteční lidé? Poslední statistiky naznačují, že se podíl botů na návštěvách pohybuje mezi 25 - 50 procenty, někdy dokonce i 95 procenty! To už je slušná dávka plevele. Pojďme si laicky vysvětlit, jak od nich australský startup Kasada plánuje očistit internet.
Udělat si vlastního spambota je otázkou pár vteřin a takový jednoduchý kus kódu dokáže otrávit den. Pokud provozujete webovou stránku a někdy jste se mrkli do Google Analytics, určitě víte, že spousta návštěv byla z divných kanálů, třeba PiCtUrE_ScRaPEr_$$$. Boti ovládají širokou paletu činností. Umí:
- ⬛ Psát komentáře do diskuzí. Drze spamovat.
- ⬛ Vytrvale tipovat hesla k účtům. Tzv. brute-force attack.
- ⬛ Ve smečce zahltí a položí celé servery. Populární DDoS útoky.
- ⬛ Kradou data: fotky, ceny ubytování, letenek, cokoliv. Scraping FTW!
Existuje šedý trh, kde si můžete za pár dolarů objednat podvodné služby a útoky. Činnost botů nepřipravuje váš business pouze o data, ale zároveň zahlcuje přenosovou síť a kapacitu serverů. Když se to sečte, škody jdou do milionů dolarů ročně.
Australský startup Kasada přišel s kladivem na tyhle otravné boty zvaném Polymorf. Postaví mezi útočícím serverem se škodlivým SW a vaším serverem nepropustnou zeď. To by ale nebyla taková sranda a útočník by se po prvním neúspěchu pustil do překonávání této překážky jinudy.
Kasada se rozhodla, že všechny nežádoucí boty sprostě vytrolí. Zeď funguje formou JavaScript testu - pokud vše vypovídá o tom, že návštěvníkem je člověk, vpustí ho dál. Pro boty má ale v kapse připravené složité hádanky. Ty zahltí útočící server nekonečným množstvím úkolů, které bot horlivě řeší. Vše se zdá být na dobré cestě a server přidává výpočetní výkon, aby se skrz hádanky prokousal co možná nejrychleji. Majitel spambota o problému nemá ani tušení do chvíle, než mu přijde účet za elektřinu.
Příkladem může být tato case study. Bot během 24h požádal o 3,7 milionu přístupů na stránky, které se ani jednou nenahrály, a jemu nezbylo nic jiného než řešit stále těžší kryptografické hádanky. „A to stojí drahé CPU Lambda zdroje,” libuje si zakladatel projektu Johnny Xmas.
We troll bots for a living. This one made 3.7M unsuccessful HTTP requests in 24 hrs, and we responded to each with a js cryptographic challenge, which effectively tarpits the bot by sucking up CPU resources. Expensive, Lambda CPU resources. This guy's AWS bill is going to be nuts pic.twitter.com/erfuvvQmru
— Johnny Xmas @Kasada_io (@J0hnnyXm4s) January 4, 2019
Prosté odepření přístupu není pro útočníky žádný problém. Zkusí to zítra znovu. Pokud ale začnou krvácet ekonomicky a nedosahují žádných výsledků (protože obsah, účty i servery jsou Kasadou plně chráněné), je to pro majitele likvidační a brzy vyhladoví. Jejich drahý HW pálí energii na řešení rébusů, ale peníze nevydělává žádné. A vašim stránkám se všichni útočníci začnou vyhýbat.
Nasazení ochrany od Kasady je otázkou 30 minut a kromě ulehčení vašim serverům získáte i přehled o potenciálních hrozbách. Kasada bere boj s tímto bílým šumem internetu vážně, řešení neustále vylepšuje a pracuje na databázi všech škodlivých botů. Tak snad se jim jednou povede internet vyčistit úplně (。◕‿◕。) .
Autor: Matyáš Vejskal