- Изменение интернета, пропускной способности ресурсов, укрупнение интернет-бизнеса, рост числа инструментов и методов для проведения различных атак создает новые сложности для ведения бизнеса в цифровую эпоху.
Бурный рост Интернета и пропускной способности сетей привёл к тому, что без поддержки со стороны крупных корпораций в нем сегодня очень сложно работать и зарабатывать. И речь уже отнюдь не только о поисковой оптимизации и борьбе за высокие места в результатах поиска Яндекса или Google.
Растут требования к каналам связи, растёт и стоимость обработки данных с учётом современных угроз. И малый и средний бизнес (в том числе многие средства массовой информации или компании сегмента e-commerce) переходят в стадию «выживания»: им теперь жизненно необходимо заручиться поддержкой “старших” участников рынка, чтобы оставаться на плаву. Для этого бизнесу требуется все больше разнообразных аутсорсинговых продуктов, и не просто услуг по администрированию сервера; цифровой бизнес вынужден активно задействовать, в частности, сторонние решения по безопасности: противодействие DDoS-атакам, взломам, антиспам и антифрод. В противном случае становится практически невозможно поддерживать информационную систему в устойчивом состоянии и обеспечивать ее защиту.
В последнее время все более заметной в этой области становится поддержка со стороны крупных игроков рынка. Например, компания Google предоставляет бесплатную площадку защиты от DDoS для независимых СМИ, понимая, что последствия сложившейся в интернете ситуации могут оказаться фатальными для многих компаний. Этот процесс шел уже достаточно долгое время, однако осязаемым он стал лишь за последний год.
- Развитие протоколов интернета идет рука об руку с текущими тенденциями в области изменения инфраструктуры онлайн-бизнеса.
Ярким примером является новый экспериментальный протокол QUIC (Quick UDP Internet Connections), разработанный Google для замены старой технологической “подложки” Всемирной сети. Сегодня уже происходит активное внедрение QUIC: в частности, Google Chrome, как и серверы Google, уже поддерживают новый протокол, а в дальнейшем он должен заменить нынешний протокол HTTP, используемый для работы веб-сайтов по всему миру.
Разработанный стандарт обладает целым рядом достоинств, однако предполагается, что он будет работать на высокопроизводительных “фермах” серверов, соответствующих тем, которые имеются в распоряжении Google и Facebook. В процессе проектирования практически не уделялось внимание ситуации, при которой инфраструктура веб-сайта будет уступать в плане вычислительных ресурсов крупному облаку, что еще больше усугубляет положение малого и среднего бизнеса в современном интернет-пространстве.
Статистика по DDoS-атакам за 2016-2018 г.г.
- Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменением его состояния.
Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации. До сих пор популярными являются DDoS-атаки с использованием техники Amplification (злоумышленник посылает запрос уязвимому серверу, который, в свою очередь, непрерывно бомбардирует жертву кратно большими по размеру пакетами).
В октябре 2018 года Qrator Labs зафиксировала атаку DNS Amplification скоростью 400 Гбит/сек. Кроме того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что позволяет усилить атаку, в теории, более чем в 10 000 раз. Март 2018 года отметился самой мощной DDoS-атакой в истории: трафик в 1,35 Тбит/сек был направлен на GitHub , крупнейший веб-сервис для хостинга ИТ-проектов и совместной разработки, а всего через несколько дней этот рекорд был побит атакой в 1,7 Тбит/сек на американского сервис-провайдера.
Потенциально Memcached-атаки могли отключить от интернета целые регионы и даже страны, однако этого не произошло благодаря скоординированной и оперативной реакции интернет-сообщества. При этом не были задействованы никакие международные организации, от ООН до Международного телефонного союза: ключевую роль в борьбе с этими атаками сыграли профессионалы из индустрии. На данный момент международное сообщество достигло того уровня развития, когда, объединяя практики, оно может успешно бороться с серьезными угрозами. Так работает модель принятия решений в современном Интернете.
Потенциально опасной является организация атак с использованием протокола HTTP/2 – это вторая крупная версия вышеупомянутого сетевого протокола HTTPS (известного каждому пользователю Сети по адресной строке, начинающейся со слова “https://”). В начале 2018 года вышло исследование учёных из университета Белфаста (https://pure.qub.ac.uk/portal/files/138103125/dbeckett_ssezer_Paper_Tsunami_Final.pdf) о том, какие атаки гипотетически могут быть реализованы злоумышленниками из-за определенной проблемы в протоколе. Эксплуатация уязвимостей HTTP/2 позволяет осуществлять усиленные DDoS-атаки на уровне запросов браузера. Такие атаки сложно выявить, и еще сложнее им противодействовать.
Инциденты с использованием брешей в HTTP/2 пока не наблюдаются, но лишь потому, что проникновение протокола пока не такое большое. Однако в ближайшей перспективе мы, вероятно, будем наблюдать подобные атаки на практике, и они могут быть не менее разрушительны, чем знаменитые DDoS-атаки типа WordPress Pingback (https://xakep.ru/2016/11/29/encrypted-wordpress-pingback/) .
Динамика DDoS-атак по отраслям в 2017-2018 г.г.
- Ошибки в протоколе BGP продолжают приводить к перехватам трафика
BGP (Border Gateway Protocol) — де-факто стандартный протокол, управляющий трафиком на уровне операторов связи. Ошибки, случайные или умышленные, в его настройке приводят к нелегитимному перехвату трафика. Здесь, конечно, важны не только сами ошибки, но и экосистема операторов связи, которая способствует их распространению. В результате даже самый маленький оператор может повлиять на доступность крупнейших сервисов в масштабах национального сегмента.
Только в 2018 году в российском сегменте интернета произошло порядка 10 крупных инцидентов, повлиявших на доступность как внутренних, так и внешних ресурсов.
13 декабря 2017 – празднование дня рождения бывает разным, так, оператор DV-LINK-AS в первый день своей работы стянул на себя трафик крупнейших контент провайдеров, сделав в течение нескольких часов недоступными сервисы Google, Facebook, Microsoft, Mail.ru и нескольких других контент-провайдеров. Причем аномалия затронула не только Россию, но и другие регионы.
17 января 2018 – сеть, принадлежащая мэрии Москвы, перенаправила трафик между Ростелекомом и Комкором. В тот раз аномалия была еще масштабней и затронула более 70 тысяч сетей. В результате, как и в последнем случае, «выбило пробки» как в сети мэрии, так и в Комкоре, что оказало значительное влияние на весь трафик в рунете.
4 мая 2018 – обычно трафик между Европой и Азией идет с использованием подводных кабелей, проходящих по дну Средиземного моря, Суэцкий канал, огибающих Индию и Сингапур. Однако небольшой оператор в Киргизии решил это исправить, организовав “шелковый путь” из России в Азию через свою сеть и далее в Китай. К сожалению, результатом стала лишь временная недоступность между Россией и Азией.
Последней в этом списке стала ошибка конфигурации небольшого оператора Krek, в результате которого он перехватил значительную часть трафика Ростелекома, сделав недоступными тысячи сервисов, включая Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие. По оценке Qrator Labs, аномалия могла затронуть от 10% до 20% пользователей в РФ.
И если подобные инциденты за счет своего масштаба не увидеть невозможно, то мелкие или целевые перехваты трафика в большинстве случаев остаются незамеченными и могут длиться часами, а в некоторых случаях — неделями.
- Целевые перехваты трафика и атаки Man-in-the middle набирают силу
2018 год продемонстрировал набирающий силу тренд по использованию уязвимостей протокола BGP для целевых перехватов трафика. Он может иметь разные цели: это отказ в обслуживании, рассылка спама и атаки Man-in-the-middle.
Атаки на отказ в обслуживании с использованием BGP — это не новый тренд. Первым “звоночком” стал перехват трафика Youtube в далеком 2008 году, когда пакистанский оператор решил заблокировать у себя в сети этот сервис, а в итоге сделал его недоступным по всему миру. С внедрением еще более совершенных методов шифрования трафика, таких как TLS версии 1.3 и DoH, блокировка по IP-адресам становится практически единственным способом реализации блокировки контента, а BGP — все более популярным для реализации этих блокировок. Смешение этих двух функций — бомба замедленного действия, поскольку стоит такому перехвату трафика распространиться, эффект от блокировки в одной стране может повлиять на пользователей другой.
Другая сторона целевого перехвата трафика — это, как ни странно, рассылка спама. Существует несколько популярных сервисов, распространяющих информацию об источниках спама. Самый известный из них — это Spamhouse. Типовым способом борьбы является блокировка источников по IP-адресам. Соответственно, атакующим для обхода этих блокировок постоянно нужны новые “чистые” IP-адреса. При этом источники новых IP-адресов практически иссякли: IPv4 пространство кончается как у регистраторов, так и у крупных поставщиков. Спамеры нашли интересный выход: они перехватывают трафик чужого адресного пространства, а когда оно попадает в черные списки, “сбрасывают” его обратно и переходят к следующему блоку. Показательной была борьба технического сообщества против оператора, которого неоднократно ловили на такой активности. В течение месяца борьбы удалось подвергнуть атакующего остракизму, отключив его от всех его поставщиков.
Еще один способ “применения” перехватов трафика, который получил значительное развитие в 2018 году — это атаки Man-in-the-middle. Перехватывая входящий трафик, атакующий может перенаправить пользователей на фишинговый сайт-близнец, где введенные логины, пароли (и любые другие пользовательские данные) тут же становятся доступны атакующему. Последствия такой атаки были продемонстрированы на клиентах криптобиржи myetherwallet.com, где в результате успешной атаки пользователи потеряли криптовалюту на сумму более 200 тысяч долларов.
Криптобиржи, безусловно, находятся в зоне повышенного риска: анонимность кошельков и невозможность откатить транзакцию только упрощают задачу вывода средств. Однако и классические финансовые инструменты, такие как стандартный банковский личный кабинет, также могут быть уязвимыми при подобных атаках. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины, пароли, но и web-cookies, которые позволяют пользователям не логиниться в течение короткого промежутка времени. Этого интервала вполне достаточно для совершения неавторизованных транзакций.
- Методы противодействия
Системным решением проблемы перехвата трафика с использованием BGP является кардинальное изменение правил игры: встраивание в сам протокол защиты как от ошибок, так и от атак. Qrator Labs участвует в разработке изменений в стандарте протокола BGP в рамках инженерного Совета Интернета (IETF). В перспективе расширение протокола позволит решить 99% проблем, связанных как с ошибками в настройке, так и с хакерской активностью.
Однако на ближайшие годы задачу нивелирования рисков и борьбы с перехватами придется решать каждому оператору самостоятельно. Существуют эффективные методы, позволяющие перенаправить трафик по корректному пути, но для этого необходимо оперативно получить информацию о том, кто является источником перехвата и как аномалия распространяется. Это делает систему мониторинга BGP в реальном времени ключевой частью любой системы противодействия.
По материалам компании Qrator