Безопасность и развитие интернет-инфраструктуры

  1. Изменение интернета, пропускной способности ресурсов, укрупнение интернет-бизнеса, рост числа инструментов и методов для проведения различных атак создает новые сложности для ведения бизнеса в цифровую эпоху.

Бурный рост Интернета и пропускной способности сетей привёл к тому, что без поддержки со стороны крупных корпораций в нем сегодня очень сложно работать и зарабатывать. И речь уже отнюдь не только о поисковой оптимизации и борьбе за высокие места в результатах поиска Яндекса или Google.

Растут требования к каналам связи, растёт и стоимость обработки данных с учётом современных угроз. И малый и средний бизнес (в том числе многие средства массовой информации или компании сегмента e-commerce) переходят в стадию «выживания»: им теперь жизненно необходимо заручиться поддержкой “старших” участников рынка, чтобы оставаться на плаву. Для этого бизнесу требуется все больше разнообразных аутсорсинговых продуктов, и не просто услуг по администрированию сервера; цифровой бизнес вынужден активно задействовать, в частности, сторонние решения по безопасности: противодействие DDoS-атакам, взломам, антиспам и антифрод. В противном случае становится практически невозможно поддерживать информационную систему в устойчивом состоянии и обеспечивать ее защиту.

В последнее время все более заметной в этой области становится поддержка со стороны крупных игроков рынка. Например, компания Google предоставляет бесплатную площадку защиты от DDoS для независимых СМИ, понимая, что последствия сложившейся в интернете ситуации могут оказаться фатальными для многих компаний. Этот процесс шел уже достаточно долгое время, однако осязаемым он стал лишь за последний год.

  1. Развитие протоколов интернета идет рука об руку с текущими тенденциями в области изменения инфраструктуры онлайн-бизнеса.

Ярким примером является новый экспериментальный протокол QUIC (Quick UDP Internet Connections), разработанный Google для замены старой технологической “подложки” Всемирной сети. Сегодня уже происходит активное внедрение QUIC: в частности, Google Chrome, как и серверы Google, уже поддерживают новый протокол, а в дальнейшем он должен заменить нынешний протокол HTTP, используемый для работы веб-сайтов по всему миру.

Разработанный стандарт обладает целым рядом достоинств, однако предполагается, что он будет работать на высокопроизводительных “фермах” серверов, соответствующих тем, которые имеются в распоряжении Google и Facebook. В процессе проектирования практически не уделялось внимание ситуации, при которой инфраструктура веб-сайта будет уступать в плане вычислительных ресурсов крупному облаку, что еще больше усугубляет положение малого и среднего бизнеса в современном интернет-пространстве.

Статистика по DDoS-атакам за 2016-2018 г.г.

 

  1. Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменением его состояния.

Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации. До сих пор популярными являются DDoS-атаки с использованием техники Amplification (злоумышленник посылает запрос уязвимому серверу, который, в свою очередь, непрерывно бомбардирует жертву кратно большими по размеру пакетами).

В октябре 2018 года Qrator Labs зафиксировала атаку DNS Amplification скоростью 400 Гбит/сек. Кроме того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что позволяет усилить атаку, в теории, более чем в 10 000 раз. Март 2018 года отметился самой мощной DDoS-атакой в истории: трафик в 1,35 Тбит/сек был направлен на GitHub , крупнейший веб-сервис для хостинга ИТ-проектов и совместной разработки, а всего через несколько дней этот рекорд  был побит атакой в 1,7 Тбит/сек на американского сервис-провайдера.

Потенциально Memcached-атаки могли отключить от интернета целые регионы и даже страны, однако этого не произошло благодаря скоординированной и оперативной реакции интернет-сообщества. При этом не были задействованы никакие международные организации, от ООН до Международного телефонного союза: ключевую роль в борьбе с этими атаками сыграли профессионалы из индустрии. На данный момент международное сообщество достигло того уровня развития, когда, объединяя практики, оно может успешно бороться с серьезными угрозами. Так работает модель принятия решений в современном Интернете.

Потенциально опасной является организация атак с использованием протокола HTTP/2 – это  вторая крупная версия вышеупомянутого сетевого протокола HTTPS (известного каждому пользователю Сети по адресной строке, начинающейся со слова “https://”). В начале 2018 года вышло исследование учёных из университета Белфаста (https://pure.qub.ac.uk/portal/files/138103125/dbeckett_ssezer_Paper_Tsunami_Final.pdf)  о том, какие атаки гипотетически могут быть реализованы злоумышленниками из-за определенной проблемы в протоколе. Эксплуатация уязвимостей HTTP/2 позволяет осуществлять усиленные DDoS-атаки на уровне запросов браузера. Такие атаки сложно выявить, и еще сложнее им противодействовать.

Инциденты с использованием брешей в HTTP/2 пока не наблюдаются, но лишь потому, что проникновение протокола пока не такое большое. Однако в ближайшей перспективе мы, вероятно, будем наблюдать подобные атаки на практике, и они могут быть не менее разрушительны, чем знаменитые DDoS-атаки типа WordPress Pingback (https://xakep.ru/2016/11/29/encrypted-wordpress-pingback/) .

Динамика DDoS-атак по отраслям в 2017-2018 г.г.

  1. Ошибки в протоколе BGP продолжают приводить к перехватам трафика

BGP (Border Gateway Protocol) — де-факто стандартный протокол, управляющий трафиком на уровне операторов связи. Ошибки, случайные или умышленные, в его настройке приводят к нелегитимному перехвату трафика. Здесь, конечно, важны не только сами ошибки, но и экосистема операторов связи, которая способствует их распространению. В результате  даже самый маленький оператор  может  повлиять на доступность крупнейших сервисов в масштабах национального сегмента.

Только в 2018 году в российском сегменте интернета произошло порядка 10 крупных инцидентов, повлиявших на доступность как внутренних, так и внешних ресурсов.

13 декабря 2017 – празднование дня рождения бывает разным, так, оператор DV-LINK-AS в первый день своей работы стянул на себя трафик крупнейших контент провайдеров, сделав в течение нескольких часов недоступными сервисы Google, Facebook, Microsoft, Mail.ru и нескольких других контент-провайдеров. Причем аномалия затронула не только Россию, но и другие регионы.

17 января 2018 – сеть, принадлежащая мэрии Москвы, перенаправила трафик между Ростелекомом и Комкором. В тот раз аномалия была еще масштабней и затронула более 70 тысяч сетей. В результате, как и в последнем случае, «выбило пробки» как в сети мэрии, так и в Комкоре, что оказало значительное  влияние на весь трафик в рунете.

4 мая 2018 – обычно трафик между Европой и Азией идет с использованием подводных кабелей, проходящих по дну Средиземного моря, Суэцкий канал, огибающих Индию и Сингапур. Однако небольшой оператор в Киргизии решил это исправить, организовав “шелковый путь”  из России в Азию через свою сеть и далее в Китай. К сожалению, результатом стала лишь временная недоступность между Россией и Азией.

Последней в этом списке стала ошибка конфигурации небольшого оператора Krek, в результате которого он перехватил значительную часть трафика Ростелекома, сделав недоступными тысячи сервисов, включая Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие. По оценке Qrator Labs, аномалия могла затронуть от 10% до 20% пользователей в РФ.

И если подобные инциденты за счет своего масштаба не увидеть невозможно, то мелкие или целевые перехваты трафика в большинстве случаев остаются незамеченными и могут длиться часами, а в некоторых случаях — неделями.

  1. Целевые перехваты трафика и атаки Man-in-the middle набирают силу

2018 год продемонстрировал набирающий силу тренд по  использованию уязвимостей протокола BGP для целевых перехватов трафика. Он  может иметь разные цели: это отказ в обслуживании, рассылка спама и атаки Man-in-the-middle.

Атаки на отказ в обслуживании с использованием BGP — это не новый тренд. Первым “звоночком” стал перехват трафика Youtube в далеком 2008 году, когда пакистанский оператор решил заблокировать у себя в сети этот сервис, а в итоге сделал его недоступным по всему миру. С внедрением еще более совершенных методов шифрования трафика, таких как TLS версии 1.3 и DoH, блокировка по IP-адресам становится практически единственным способом реализации блокировки контента, а BGP — все более популярным для реализации этих блокировок. Смешение этих двух функций — бомба замедленного действия, поскольку стоит такому перехвату трафика распространиться, эффект от блокировки в одной стране может повлиять на пользователей другой.

Другая сторона целевого перехвата трафика — это, как ни странно, рассылка спама. Существует несколько популярных сервисов, распространяющих информацию об источниках спама. Самый известный из них — это Spamhouse. Типовым способом борьбы является блокировка источников по IP-адресам. Соответственно, атакующим для обхода этих блокировок постоянно нужны новые “чистые” IP-адреса. При этом источники новых IP-адресов практически иссякли:  IPv4 пространство кончается как у регистраторов, так и у крупных поставщиков. Спамеры нашли интересный выход: они перехватывают трафик чужого адресного пространства, а когда оно попадает в черные списки, “сбрасывают” его обратно и переходят к следующему блоку. Показательной была борьба технического сообщества против оператора, которого неоднократно ловили на такой активности. В течение месяца борьбы удалось подвергнуть атакующего остракизму, отключив его от всех его поставщиков.

Еще один способ “применения” перехватов трафика, который получил значительное развитие в 2018 году — это атаки Man-in-the-middle. Перехватывая входящий трафик, атакующий может перенаправить пользователей на фишинговый сайт-близнец, где введенные логины, пароли (и любые другие пользовательские данные) тут же становятся доступны атакующему. Последствия такой атаки были продемонстрированы на клиентах криптобиржи myetherwallet.com, где в результате успешной атаки пользователи потеряли криптовалюту на сумму более 200 тысяч долларов.

Криптобиржи, безусловно, находятся в зоне повышенного риска: анонимность кошельков и невозможность откатить транзакцию только упрощают задачу вывода средств. Однако и классические финансовые инструменты, такие как стандартный банковский личный кабинет, также могут быть уязвимыми при  подобных атаках. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины,  пароли, но и web-cookies, которые позволяют пользователям не логиниться в течение короткого промежутка времени. Этого интервала вполне достаточно для совершения неавторизованных транзакций.

  1. Методы противодействия

Системным решением проблемы перехвата трафика с использованием BGP является кардинальное изменение правил игры: встраивание в сам протокол защиты как от ошибок, так и от атак. Qrator Labs участвует в разработке изменений в стандарте протокола BGP в рамках инженерного Совета Интернета (IETF). В перспективе расширение протокола позволит решить 99% проблем, связанных как с ошибками в настройке, так и с хакерской активностью.

Однако на ближайшие годы задачу  нивелирования рисков и борьбы с перехватами придется решать каждому оператору самостоятельно. Существуют эффективные методы, позволяющие перенаправить трафик по корректному пути, но для этого необходимо оперативно получить информацию о том, кто является источником перехвата и как аномалия распространяется. Это делает систему мониторинга BGP в реальном времени ключевой частью любой системы противодействия.

По материалам компании Qrator

 

 

Похожие записи