7 декабря 2018 г.
Qrator Labs представляет основные тренды 2018 года в сфере безопасности и интернет-инфраструктуры в России и в мире.
- Изменение интернета, пропускной способности ресурсов, укрупнение интернет-бизнеса, рост числа инструментов и методов для проведения различных атак создает новые сложности для ведения бизнеса в цифровую эпоху.
Бурный рост Интернета и пропускной способности сетей привёл к тому, что без поддержки со стороны крупных корпораций в нем сегодня очень сложно работать и зарабатывать деньги. И речь уже отнюдь не только о поисковой оптимизации и борьбе за высокие места в результатах поиска Яндекса или Google.
Растут требования к каналам связи, растёт и стоимость обработки данных с учётом современных угроз, и малый и средний бизнес (в том числе многие средства массовой информации или компании сегмента e-commerce) переходят в стадию «выживания»: им теперь жизненно необходимо заручиться поддержкой «старших» участников рынка, чтобы оставаться на плаву. Для этого бизнесу требуется все больше разнообразных аутсорсинговых продуктов, и не просто услуг по администрированию сервера — цифровой бизнес вынужден активно задействовать, в частности, сторонние решения по безопасности: противодействие DDoS-атакам, взломам, антиспам и антифрод. В противном случае становится практически невозможно поддерживать информационную систему в устойчивом состоянии и обеспечивать ее защиту.
В последнее время все более заметной в этой области становится поддержка со стороны крупных игроков рынка. Например, компания Google предоставляет бесплатную площадку защиты от DDoS для независимых СМИ, понимая, что последствия сложившейся в интернете ситуации могут оказаться фатальными для многих компаний. Этот процесс шел уже достаточно долгое время, однако осязаемым он стал лишь за последний год.
- Развитие протоколов интернета идет рука об руку с текущими тенденциями в области изменения инфраструктуры онлайн-бизнеса.
Ярким примером является новый экспериментальный протокол QUIC (Quick UDP Internet Connections), разработанный Google для замены старой технологической «подложки» Всемирной сети. Сегодня уже происходит активное внедрение QUIC: в частности, Google Chrome, как и серверы Google, уже поддерживают новый протокол, а в дальнейшем он должен заменить нынешний протокол HTTP, используемый для работы веб-сайтов по всему миру.
Разработанный стандарт обладает целым рядом достоинств, однако предполагается, что он будет работать на высокопроизводительных «фермах» серверов, соответствующих тем, которые имеются в распоряжении Google и Facebook. В процессе проектирования практически не уделялось внимание ситуации, при которой инфраструктура веб-сайта будет уступать в плане вычислительных ресурсов крупному облаку, что еще больше усугубляет положение малого и среднего бизнеса в современном интернет-пространстве.
Статистика по DDoS-атакам за 2016-2018 гг
2018 |
2017 |
2016 |
|
Нейтрализовано атак |
85 578 ↑ |
61 206 ↑ |
36 746 |
Среднее число атак |
255 ↑ |
180 ↑ |
100 |
Максимальное число атак в день |
490 ↓ |
556 ↑ |
248 |
Средний размер ботнета |
3 683 ↓ |
3 782 ↑ |
1 915 |
Максимальный размер ботнета |
893 788 ↓ |
4 960 121 ↑ |
729 226 |
Средняя длительность атаки, час |
3 ↓ |
4 ↓ |
6 |
Максимальная длительность атаки, день |
818 ↑ |
770 = |
770 |
Число Spoofed атак |
73 784 ↑ |
49 530 ↑ |
25 445 |
Атак более 1 Гб/c |
206 ↓ |
231 ↓ |
278 |
Атак более 10 Гб/c |
34 ↓ |
54 ↑ |
40 |
Атак более 100 Гб/c |
4 ↑ |
0 = |
0 |
- Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменением его состояния.
Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации. До сих пор популярными являются DDoS-атаки с использованием техники Amplification (злоумышленник посылает запрос уязвимому серверу, который, в свою очередь, непрерывно бомбардирует жертву кратно большими по размеру пакетами).
В октябре 2018 года Qrator Labs зафиксировала атаку DNS Amplification скоростью 400 Гбит/сек. Кроме того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что позволяет усилить атаку, в теории, более чем в 10 000 раз. Март 2018 года отметился самой мощной DDoS-атакой в истории: трафик в 1,35 Тбит/сек был направлен на GitHub , крупнейший веб-сервис для хостинга ИТ-проектов и совместной разработки, а всего через несколько дней этот рекорд был побит атакой в 1,7 Тбит/сек на американского сервис-провайдера.
Потенциально Memcached-атаки могли отключить от интернета целые регионы и даже страны, однако этого не произошло благодаря скоординированной и оперативной реакции интернет-сообщества. При этом не были задействованы никакие международные организации, от ООН до Международного телефонного союза — ключевую роль в борьбе с такими атаками сыграли профессионалы из индустрии. На данный момент международное сообщество достигло того уровня развития, когда, объединяя практики, оно может успешно бороться с серьезными угрозами. Так работает модель принятия решений в современном Интернете.
Потенциально опасной является организация атак с использованием протокола HTTP/2 — это вторая крупная версия вышеупомянутого сетевого протокола HTTPS (известного каждому пользователю Сети по адресной строке, начинающейся со слова «https://»). В начале 2018 года вышло исследование учёных из университета Белфаста о том, какие атаки гипотетически могут быть реализованы злоумышленниками из-за определенной проблемы в протоколе. Эксплуатация уязвимостей HTTP/2 позволяет осуществлять усиленные DDoS-атаки на уровне запросов браузера. Такие атаки сложно выявить, и еще сложнее им противодействовать.
Инциденты с использованием брешей в HTTP/2 пока не наблюдаются, но лишь потому, что проникновение протокола пока не такое большое. Однако в ближайшей перспективе мы, вероятно, будем наблюдать подобные атаки на практике, и они могут быть не менее разрушительны, чем знаменитые DDoS-атаки типа Wordpress Pingback.
Динамика DDoS-атак по отраслям в 2017-2018 гг
|
|
Рекламные агентства |
-30% |
Банки |
90% |
Букмекерские конторы |
143% |
Купоны |
-84% |
Криптобиржи |
54% |
Интернет-магазины |
22% |
Образование |
-18% |
Развлекательные сайты |
5% |
Forex |
-67% |
Игры |
142% |
Страхование |
195% |
СМИ |
22% |
Медицина |
55% |
Микрофинансы |
-43% |
Онлайн-кассы |
836% |
Платежные системы |
20% |
Промо-сайты |
-51% |
Агентства недвижимости |
-30% |
Социальные сети |
47% |
Такси |
-8% |
Туризм |
-23% |
Торговые площадки |
-48% |
- Ошибки в протоколе BGP продолжают приводить к перехватам трафика
BGP (Border Gateway Protocol) — де-факто стандартный протокол, управляющий трафиком на уровне операторов связи. Ошибки, случайные или умышленные, в его настройке приводят к нелегитимному перехвату трафика. Здесь, конечно, важны не только сами ошибки, но и экосистема операторов связи, которая способствует их распространению. В результате, даже самый маленький оператор может повлиять на доступность крупнейших сервисов в масштабах национального сегмента.
Только в 2018 году в российском сегменте интернета произошло порядка 10 крупных инцидентов, повлиявших на доступность как внутренних, так и внешних ресурсов.
13 декабря 2017 — празднование дня рождения бывает разным, так, оператор DV-LINK-AS в первый день своей работы стянул на себя трафик крупнейших контент провайдеров, сделав в течение нескольких часов недоступными сервисы Google, Facebook, Microsoft, Mail.ru и нескольких других контент провайдеров. Причем аномалия затронула не только Россию, но и другие регионы.
17 января 2018 — сеть, принадлежащая мэрии Москвы, перенаправила трафик между Ростелекомом и Комкором. В тот раз аномалия была еще масштабней и затронула более 70 тысяч сетей. В результате, как и в последнем случае, «выбило пробки» как в сети мэрии, так и в Комкоре, что оказало значимое влияние на весь трафик в рунете.
4 мая 2018 — обычно трафик между Европой и Азией идет с использованием подводных кабелей, проходящих по дну Средиземного моря, Суэцкий канал, огибающих Индию и Сингапур. Однако небольшой оператор в Киргизии решил это исправить, организовав «шелковый путь» из России в Азию через свою сеть и далее Китай. К сожалению, результатом стала лишь временная недоступность между Россией и Азией.
Последней в этом списке стала ошибка конфигурации небольшого оператора Krek, в результате которого он перехватил значительную часть трафика Ростелекома, сделав недоступными тысячи сервисов, включая Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие. По оценке Qrator Labs, аномалия могла затронуть от 10% до 20% пользователей в РФ.
И если подобные инциденты за счет своего масштаба не увидеть невозможно, то мелкие или целевые перехваты трафика в большинстве случаев остаются незамеченными и могут длиться часами, а в некоторых случаях — неделями.
- Целевые перехваты трафика и атаки Man-in-the middle набирают силу
2018 год продемонстрировал набирающий силу тренд по использованию уязвимостей протокола BGP для целевых перехватов трафика. Такой перехват трафика может иметь разные цели: это отказ в обслуживании, рассылка спама и атаки Man-in-the-middle.
Атаки на отказ в обслуживании с использованием BGP — это не новый тренд. Первым «звоночком» стал перехват трафика Youtube в далеком 2008 году, когда пакистанский оператор решил заблокировать у себя в сети этот сервис, а в итоге сделал его недоступным по всему миру. С внедрением еще более совершенных методов шифрования трафика, таких как TLS версии 1.3 и DoH, блокировка по IP-адресам становится практически единственным способом реализации блокировки контента, а BGP — все более популярным для реализации этих блокировок. Смешение этих двух функций — бомба замедленного действия, поскольку стоит такому перехвату трафика распространиться, эффект от блокировки в одной стране может повлиять на пользователей другой.
Другая сторона целевого перехвата трафика — это, как ни странно, рассылка спама. Существует несколько популярных сервисов, распространяющих информацию об источниках спама. Самый известный из них — это Spamhouse. Типовым способом борьбы является блокировка источников по IP-адресам. Соответственно, атакующим для обхода этих блокировок постоянно нужны новые «чистые» IP-адреса. При этом источники новых IP-адресов практически иссякли — IPv4 пространство кончается как у регистраторов, так и у крупных поставщиков. Спамеры нашли интересный выход: они перехватывают трафик чужого адресного пространства, а когда оно попадает в черные списки, «сбрасывают» его обратно и переходят к следующему блоку. Показательной была борьба технического сообщества против оператора, которого неоднократно ловили на такой активности. В течение месяца борьбы удалось подвергнуть атакующего остракизму, отключив его от всех его поставщиков.
Еще один способ «применения» перехватов трафика, который получил значительное развитие в 2018 году — это атаки Man-in-the-middle. Перехватывая входящий трафик, атакующий может перенаправить пользователей на фишинговый сайт-близнец, где введенные логины, пароли (и любые другие пользовательские данные) становятся тут же доступны атакующему. Последствия такой атаки были продемонстрированы на клиентах криптобиржи myetherwallet.com, где в результате успешной атаки пользователи потеряли криптовалюту на сумму более 200 тысяч долларов.
Криптобиржи, безусловно, находятся в зоне повышенного риска: анонимность кошельков и невозможность откатить транзакцию только упрощают задачу вывода средств. Однако и классические финансовые инструменты, такие как стандартный банковский личный кабинет, также могут быть уязвимыми к подобным атакам. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины пароли, но и web-cookies, которые позволяют пользователям не логиниться в течение короткого промежутка времени. Этого интервала вполне достаточно для совершения неавторизованных транзакций.
- Методы противодействия
Системным решением проблемы перехвата трафика с использованием BGP является кардинальное изменение правил игры: встраивание защиты как от ошибок, так и от атак в сам протокол. Qrator Labs участвует в разработке изменений в стандарте протокола BGP в рамках инженерного Совета Интернета (IETF). В перспективе расширение протокола позволит решить 99% проблем, связанных как с ошибками в настройке, так и с хакерской активностью.
Однако на ближайшие годы вопрос нивелирования рисков и борьбы с перехватами придется решать каждому оператору самостоятельно. Существуют эффективные методы, позволяющие перенаправить трафик по корректному пути, но для этого необходимо оперативно получить информацию о том, кто является источником перехвата и как аномалия распространяется. Это делает систему мониторинга BGP в реальном времени ключевой частью любой системы противодействия.
Источник: Пресс-служба компании Qrator Labs