Турция оказалась под массированной DDoS-атакой. Тенденции в области DDoS-атак Перегрузка аппаратных ресурсов

ФСБ расследует уголовное дело по факту массовой хакерской атаки с использованием «Интернета вещей» (IoT) на объекты финансового сектора осенью 2016 года, объектами которой стали Сбербанк, «Росбанк», «Альфа-Банк», «Банк Москвы», Московская биржа и другие.

Как пишет «Коммерсантъ», об этом рассказал, выступая в Госдуме на представлении пакета правительственных законопроектов о безопасности критической информационной инфраструктуры (КИИ) РФ замдиректора ФСБ Дмитрий Шальков.

В 2016 году было зафиксировано порядка 70 миллионов DDoS-атак на российские официальные информационные ресурсы, что в три раза больше, чем годом ранее. Однако ноябрьские хакерские атаки отличаются от большинства из них, отметил Шальков.

По его словам, в период с 8 по 14 ноября были совершены DDoS-атаки средней мощности на восемь организаций. В них участвовали так называемые бот-сети (взломанные и взятые под контроль хакерами компьютеры с доступом в интернет), использовавшие подключенные к сети IoT-устройства, а в частности веб-камеры. Замдиректора ФСБ отметил схожесть скоординированной атаки на российские структуры с шестичасовой октябрьской атакой в США, направленной против сервисов интернет-провайдера Dyn, в результате которой целый ряд крупных американских ресурсов (Twitter, CNN, Spotify, The New York Times и Reddit) в течение длительного времени были недоступны.

При этом атаки не сопровождались хищением денежных средств, и атакованные банки не зафиксировали нарушения работы сервисов. После ноябрьских атак подобные инциденты не повторялись, сообщили в ЦБ РФ.

«Коммерсантъ» отмечает, что DDoS-атаки сами по себе не ориентированы на хищение финансов, их используют, как правило, для блокировки сайтов и банковских онлайн-сервисов. Замглавы департамента аудита защищенности Digital Security Глеб Чербов пояснил, что «устройства и серверы, контролируемые злоумышленниками, объединяются в бот-сети, готовые генерировать сетевой трафик, приобретающий фатальные для атакуемой системы масштабы». Однако, массированные DDoS-атаки могут принести банкам серьезные убытки. Например, недоступность сервисов способна вызвать панику среди вкладчиков, которые начнут массово изымать вклады. Кроме того, массированные DDoS-атаки часто используются для маскировки других действий. В частности, пока эксперты по безопасности устраняют уязвимость, злоумышленники могут проникнуть в банковскую инфраструктуру.

По данным издания, возбуждение ФСБ уголовного дела по факту хакерских атак в ноябре 2016 года означает, что подозреваемые уже следствием определены. Подобными делами следствие занимается минимум полгода, но в реальности срок растягивается на два-три года, отмечает источник издания.

Кого атакуют?

По данным ЦБ, в 2016 году количество на российские финансовые организации увеличилось почти вдвое. В ноябре DDoS-атаки были направлены на пять крупных российских банков. В конце прошлого года ЦБ сообщал о DDoS-атаках на финансовые организации, в том числе Центральный банк. «Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям. Данные атаки были примечательны тем, что это было первое масштабное использование в России интернета вещей. В основном в атаке были задействованы интернет-видеокамеры и бытовые роутеры», - отмечали в службах безопасности крупных банков.

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Однако жертвами DDoS-атак становятся как многочисленные организации и компании, на обладающие столь мощной «обороной». В 2017 году ожидается рост ущерба от киберугроз – программ-вымогателей, DDoS и атак на устройства интернета вещей.

Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.

По данным отчета «2016 Verizon data breach incident report» (DBIR), в прошлом году количество DDoS-атак заметно выросло. В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ, ритейл.

Примечательная тенденция DDoS-атак – расширения «списка жертв». Он включает теперь представителей практически всех отраслей. Кроме того, совершенствуются методы нападения.
По данным Nexusguard, в конце 2016 года заметно выросло число DDoS-атак смешанного типа - с использованием сразу нескольких уязвимостей. Чаще всего им подвергались финансовые и государственные организации. Основной мотив кибепреступников (70% случаев) – кража данных или угроза их уничтожения с целью выкупа. Реже – политические или социальные цели. Вот почему важна стратегия защиты. Она может подготовиться к атаке и минимизировать ее последствия, снизить финансовые и репутационные риски.

Последствия атак

Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.
По данным опроса компании , DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.

Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.
По данным опроса компании , количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час.

Типы DDoS-атак

Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Организация DDoS-атак заметно упростилась: сейчас есть широко доступные автоматизированные инструменты, практически не требующие от киберпреступников специальных знаний. Существуют и платные сервисы DDoS для анонимной атаки цели. Например, сервис vDOS предлагает свои услуги, не проверяя, является ли заказчик владельцем сайта, желающим протестировать его «под нагрузкой», или это делается с целью атаки.

DDoS-атаки представляют собой атаки из многих источников, препятствующие доступу легитимных пользователей к атакуемому сайту. Для этого в атакуемую систему направляется огромное количество запросов, с которыми та справиться не может. Обычно для этой цели используются скомпрометированные системы.

Ежегодный рост количества DDoS-атак оценивается в 50% (по сведениям ), но данные разных источников расходятся, на и не все инциденты становятся известными. Средняя мощность DDoS-атак Layer 3/4 выросла в последние годы с 20 до нескольких сотен Гбайт/с. Хотя массовые DDoS-атаки и атаки на уровне протоколов уже сами по себе – штука неприятная, киберпреступники все чаще комбинируют их с DDoS-атаками Layer 7, то есть на уровне приложений, которые нацелены на изменение или кражу данных. Такие «многовекторные» атаки могут быть очень эффективными.

Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае массовой DDoS-атаки (volume based) используется большое количество запросов, нередко направляемых с легитимных IP-адресов, чтобы сайт «захлебнулся» в трафике. Цель таких атак – «забить» всю доступную полосу пропускания и перекрыть легитимный трафик.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители - DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры - Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Протокол UDP подвержен спуфингу – замене адреса. Например, если нужно атаковать сервер DNS по адресу 56.26.56.26, используя атаку DNS Amplification, то можно создать набор пакетов с адресом отправителя 56.26.56.26 и отправить их DNS-серверам по всему миру. Эти серверы пришлют ответ по адресу 56.26.56.26.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

К атакам Layer 7 прибегают в основном профессиональные хакеры. Принцип следующий: берется «тяжелый» URL (с файлом PDF или запросом к крупной БД) и повторяется десятки или сотни раз в секунду. Атаки Layer 7 имеют тяжелые последствия и трудно распознаются. Сейчас они составляют около 10% DDoS-атак.

Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS

Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.
По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.

При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

При этом достигается двойной эффект. Целевую систему бомбардируют тысячи и миллионы ответов DNS, а DNS-сервер может «лечь», не справившись с нагрузкой. Сам запрос DNS – это обычно менее 50 байт, ответ же раз в десять длиннее. Кроме того, сообщения DNS могут содержать немало другой информации.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.

Запросы выглядят как обычный трафик, а ответы – это множество сообщений большого размера, направляемых на целевую систему.

Как защититься от DDoS-атак?

Как же защититься от DDoS-атак, какие шаги предпринять? Прежде всего, не стоит откладывать это «на потом». Какие-то меры следует принимать во внимание при конфигурировании сети, запуске серверов и развертывании ПО. И каждое последующее изменение не должно увеличивать уязвимость от DDoS-атак.

Безопасность программного кода. При написании ПО должны приниматься во внимание соображения безопасности. Рекомендуется следовать стандартам «безопасного кодирования» и тщательно тестировать программное обеспечение, чтобы избежать типовых ошибок и уязвимостей, таких как межсайтовые скрипты и SQL-инъекции.

Разработайте план действий при обновлении программного обеспечения. Всегда должна быть возможность «отката» в том случае, если что-то пойдет не так.

Своевременно обновляйте ПО. Если накатить апдейты удалось, но при этом появились проблемы, см. п.2.

Не забывайте про ограничение доступа. Аккаунты admin и/или должны быть защищены сильными и регулярно сменяемыми паролями. Необходим также периодический аудит прав доступа, своевременное удаление аккаунтов уволившихся сотрудников.

Интерфейс админа должен быть доступен только из внутренней сети или через VPN. Своевременно закрывайте VPN-доступ для уволившихся и тем более уволенных сотрудников.

Включите устранение последствий DDoS-атак в план аварийного восстановления. План должен предусматривать способы выявления факта такой атаки, контакты для связи с интернет- или хостинг-провайдером, дерево «эскалации проблемы» для каждого департамента.

Сканирование на наличие уязвимостей поможет выявить проблемы в вашей инфраструктуре и программном обеспечении, снизить риски. Простой тест OWASP Top 10 Vulnerability выявит наиболее критичные проблемы. Полезными также будут тесты на проникновение – они помогут найти слабые места.

Аппаратные средства защиты от DDoS-атак могут быть недешевы. Если ваш бюджет такого не предусматривает, то есть хорошая альтернатива – защита от DDoS «по требованию». Такую услугу можно включать простым изменением схемы маршрутизации трафика в экстренной ситуации, либо находится под защитой постоянно.

Используйте CDN-партнера. Сети доставки контента (Content Delivery Network) позволяют доставлять контент сайта посредством распределенной сети. Трафик распределяется по множеству серверов, уменьшается задержка при доступе пользователей, в том числе географически удаленных. Таким образом, хотя основное преимущество CDN – это скорость, она служит также барьером между основным сервером и пользователями.

Используйте Web Application Firewall – файрвол для веб-приложений. Он мониторит трафик между сайтом или приложением и браузером, проверяя легитимность запросов. Работая на уровне приложений, WAF может выявлять атаки по хранимым шаблонам и выявлять необычное поведение. Атаки на уровне приложений нередки в электронной коммерции. Как и в случае CDN, можно воспользоваться сервисами WAF в облаке. Однако конфигурирование правил требует некоторого опыта. В идеале защитой WAF должны быть обеспечены все основные приложения.

Защита DNS

А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.
На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.

Мониторинг DNS-серверов на предмет подозрительной деятельности является первым шагом в деле защиты инфраструктуры DNS. Коммерческие решения DNS и продукты с открытым исходным кодом, такие как BIND, предоставляют статистику в реальном времени, которую можно использоваться для обнаружения атак DDoS. Мониторинг DDoS-атак может быть ресурсоемкой задачей. Лучше всего создать базовый профиль инфраструктуры при нормальных условиях функционирования и затем обновлять его время от времени по мере развития инфраструктуры и изменения шаблонов трафика.

Дополнительные ресурсы DNS-сервера помогут справиться с мелкомасштабными атаками за счет избыточности инфраструктуры DNS. Ресурсов сервера и сетевых ресурсов должно хватать не обработку большего объема запросов. Конечно, избыточность стоит денег. Вы платите за серверные и сетевые ресурсы, которые обычно не используются в нормальных условиях. И при значительном «запасе» мощности этот подход вряд ли будет эффективным.

Включение DNS Response Rate Limiting (RRL) снизит вероятность того, что сервер будет задействован в атаке DDoS Reflection – уменьшится скорость его реакции на повторные запросы. RRL поддерживают многие реализации DNS.

Используйте конфигурации высокой доступности. Можно защититься от DDoS-атак путем развертывания службы DNS на сервере высокой доступности (HA). Если в результате атаки «упадет» один физический сервер, DNS-служба может быть восстановлена на резервном сервере.

Лучшим способом защиты DNS от DDoS-атак будет использование географически распределенной сети Anycast. Распределенные сети DNS могут быть реализованы с помощью двух различных подходов: адресации Unicast или Anycast. Первый подход намного проще реализовать, но второй гораздо более устойчив к DDoS-атакам.

В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

Средства защиты от DDoS-атак, предоставляемые провайдером

Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.

Услуги предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки - до 1500 Гбит/сек. Оплачивается при этом трафик.

Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.

Нестабильная экономическая ситуация последних двух лет привела к существенному повышению уровня конкурентной борьбы на рынке, вследствие чего увеличилась популярность DDoS-атак – эффективного метода нанесения экономического ущерба.

В 2016 г. количество коммерческих заказов на организацию DDoS-атак выросло в несколько раз. Массированные DDoS-атаки перешли из области точечных политических воздействий, как было, например, в 2014 г., в массовый бизнес-сегмент. Главная задача злоумышленников – как можно быстрее и с минимальными затратами сделать ресурс недоступным, чтобы получить за это деньги от конкурентов, обеспечить себе условия для вымогательства и пр. DDoS-атаки используются все активнее, что стимулирует поиск все более масштабных средств защиты бизнеса.

При этом число атак продолжает расти, даже несмотря на заметные успехи в борьбе с DDoS. Согласно данным Qrator Labs, в 2015 г. количество DDoS-атак увеличилось на 100%. И неудивительно, ведь их стоимость снизилась примерно до 5 долл. в час, а инструменты их реализации вышли на массовый черный рынок. Укажем несколько основных тенденций распределенных атак, нацеленных на отказ в обслуживании, которые прогнозируются на ближайшие несколько лет.

Атаки UDP Amplification

К атакам, направленным на исчерпание канальной емкости, относятся UDP Amplification. Такие инциденты были наиболее распространенными в 2014 г. и стали ярким трендом 2015 г. Однако их число уже достигло своего пика и постепенно идет на спад – ресурс для проведения подобных атак не только является конечным, но и резко уменьшается.

Под амплификатором подразумевается публичный UDP-сервис, работающий без аутентификации, который на небольшой по объему запрос может посылать в разы больший ответ. Атакующий, отправляя такие запросы, заменяет свой IP-адрес на IP-адрес жертвы. В результате обратный трафик, намного превышающий пропускную способность канала атакующего, перенаправляется на веб-ресурс жертвы. Для невольного участия в атаках используются DNS-, NTP-, SSDP- и другие серверы.

Атаки на веб-приложения на уровне L7

В связи с сокращением числа амплификаторов на передовую вновь выходит организация атак на веб-приложения на уровне L7 с использованием классических ботнетов. Как известно, ботнет способен выполнять сетевые атаки по удаленным командам, причем владельцы зараженных компьютеров могут об этом и не подозревать. В результате перегрузки сервиса «мусорными» запросами обращения легитимных пользователей вообще остаются без ответа или на ответы требуется неоправданно большое количество времени.

Сегодня ботнеты становятся более интеллектуальными. При организации соответствующих атак поддерживается технология Full-browser stack, то есть полная эмуляция пользовательского компьютера, браузера, отработка java script. Подобные техники позволяют прекрасно замаскировать атаки L7. Вручную отличить бот от пользователя практически невозможно. Для этого нужны системы, применяющие технологию machine learning, благодаря которой уровень противодействие атакам повышается, механизмы совершенствуются, а точность отработки растет.

Проблемы BGP

В 2016 г. появилась новая тенденция – атаки на инфраструктуру сети, в том числе основанные на использовании уязвимостей протокола BGP. Проблемы протокола маршрутизации BGP, на котором базируется весь Интернет, известны уже несколько лет, но в последние годы они все чаще приводят к серьезным негативным последствиям.

Сетевые аномалии, связанные с маршрутизацией на междоменном сетевом уровне, способны повлиять на большое число хостов, сетей и даже на глобальную связность и доступность Интернета. Наиболее типичным видом проблем является Route Leaks – «утечка» маршрута, которая возникает в результате его анонсирования в неправильном направлении. Пока уязвимости BGP редко используются умышленно: стоимость организации такой атаки довольно высока, и инциденты в основном возникают из-за банальных ошибок в сетевых настройках.

Однако в последние годы значительно возросли масштабы организованных преступных группировок в Интернете, поэтому, по прогнозу Qrator Labs, атаки, связанные с проблемами BGP, станут популярны уже в обозримом будущем. Ярким примером является «угон» IP-адресов (hijacking) известной кибергруппой Hacking Team, осуществленный по государственному заказу: итальянской полиции необходимо было взять под контроль несколько компьютеров, в отношении владельцев которых предпринимались следственные действия.

Инциденты TCP

У сетевого стека системы TCP/IP имеется ряд проблем, которые уже в текущем году проявятся особенно остро. Для того чтобы поддерживать активный рост скоростей, инфраструктуру Интернета необходимо постоянно обновлять. Скорости физического подключения к Интернет растут каждые несколько лет. В начале 2000-х гг. стандартом стал 1 Гбит/с, сегодня самый популярный физический интерфейс – 10Гбит/с. Однако уже началось массовое внедрение нового стандарта физического стыка, 100 Гбит/с, что порождает проблемы с устаревшим протоколом TCP/IP, не рассчитанным на столь высокие скорости.

Например, становится возможным за считанные минуты подобрать TCP Sequence number – уникальный численный идентификатор, который позволяет (вернее, позволял) партнерам по TCP/IP-соединению проводить взаимную аутентификацию в момент установки соединения и обмениваться данными, сохраняя их порядок и целостность. На скоростях 100 Гбит/с строчка в лог-файлах TCP-сервера об открытом соединении и/или пересланных по нему данных уже не гарантирует того, что зафиксированный IP-адрес реально устанавливал соединение и передавал эти данные. Соответственно, открывается возможность для организации атак нового класса, и может существенно снизиться эффективность работы firewalls.

Уязвимости TCP/IP привлекают к себе внимание многих исследователей. Они полагают, что уже в 2016 г. мы услышим о «громких» атаках, связанных с эксплуатацией этих «дыр».

Недалекое будущее

Сегодня развитие технологий и угроз происходит не по «классической» спирали, поскольку система не является замкнутой – на нее влияет множество внешних факторов. В результате получается спираль с расширяющейся амплитудой – она поднимается вверх, сложность атак растет, и охват технологий существенно расширяется. Отметим несколько факторов, оказывающих серьезное влияние на развитие системы.

Основной из них, безусловно, – миграция на новый транспортный протокол IPv6. В конце 2015 г. протокол IPv4 был признан устаревшим, и на первый план выходит IPv6, что приносит с собой новые вызовы: теперь каждое устройство имеет IP-адрес, и все они могут напрямую соединяться между собой. Да, появляются и новые рекомендации о том, как должны работать конечные устройства, но как со всем этим будет справляться индустрия, особенно операторы связи, сегмент mass product и китайские вендоры, – вопрос открытый. IPv6 радикально меняет правила игры.

Еще один вызов – существенный рост мобильных сетей, их скоростей и «выносливости». Если раньше мобильный ботнет создавал проблемы, прежде всего, самому оператору связи, то сейчас, когда связь 4G становится быстрее проводного Интернета, мобильные сети с огромным количеством устройств, в том числе китайского производства, превращаются в отличную платформу для проведения DDoS- и хакерских атак. И проблемы возникают не только у оператора связи, но и у остальных участников рынка.

Серьезную угрозу представляет собой зарождающийся мир «Интернета вещей». Появляются новые векторы атак, поскольку огромное количество устройств и использование беспроводной технологии связи открывают для хакеров поистине безграничные перспективы. Все устройства, подключенные к Интернету, потенциально могут стать частью инфраструктуры злоумышленников и быть задействованными в DDoS-атаках.

К сожалению, производители всевозможных подключаемых к Сети бытовых приборов (чайников, телевизоров, автомобилей, мультиварок, весов, «умных» розеток и т.п.) далеко не всегда обеспечивают должный уровень их защиты. Зачастую в таких устройствах используются старые версии популярных операционных систем, и вендоры не заботятся об их регулярном обновлении – замене на версии, в которых устранены уязвимости. И если устройство популярно и широко применяется, то хакеры не упустят возможности поэксплуатировать его уязвимости.

Предвестники проблемы IoT появились уже в 2015 г. По предварительным данным, последняя атака на Blizzard Entertainment была осуществлена с помощью устройств класса IoT. Был зафиксирован вредоносный код, функционирующий на современных чайниках и лампочках. Задачу хакеров упрощают и чипсеты. Не так давно был выпущен недорогой чипсет, предназначенный для различного оборудования, которое может «общаться» с Интернетом. Таким образом, злоумышленникам не нужно взламывать 100 тыс. кастомизированных прошивок – достаточно «сломать» один чипсет и получить доступ ко всем устройствам, которые на нем базируются.

Прогнозируется, что очень скоро все смартфоны, основанные на старых версиях Android, будут состоять минимум в одном ботнете. За ними последуют все «умные» розетки, холодильники и прочая бытовая техника. Уже через пару лет нас ждут ботнеты из чайников, радионянь и мультиварок. «Интернет вещей» принесет нам не только удобство и дополнительные возможности, но и массу проблем. Когда вещей в IoT будет множество и каждая булавка сможет посылать по 10 байт, возникнут новые вызовы безопасности, которые придется решать. И к этому следует готовиться уже сегодня.