Александр Лямин,
генеральный директор Qrator Labs
© ComNews
04.12.2017

За последний год в сфере сетевой безопасности произошли фундаментальные изменения, которые существенно перестроили ландшафт ИБ и обозначили появление новых тенденций. В прошлом году DDoS-атаки вернулись на повестку дня в полной мере, хотя ранее казалось, что их проблема в целом решена. Теперь нужно обращать пристальное внимание на защиту от DDoS, словно мы вернулись на несколько лет в прошлое. Ярким подтверждением этого становится возвращение ботнетов как основного инструментария  для проведения DDoS-атак.

В частности, в августе 2017 года исследователи из  Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn и других организаций смогли нейтрализовать крупнейший мобильный ботнет WireX, состоявший в основном из Android-устройств, число которых составило минимум 70 тысяч из более чем сотни стран. В тот же период мы в Qrator Labs также зафиксировали ботнет численностью в сотни тысяч устройств. Однако если в предыдущие годы DDoS был абсолютным синонимом ботнетов, построенных из ПК на Windows, то сейчас ситуация меняется. Теперь основной ударной силой ботнетов становятся IoT-устройства, подключаемые к сети: роутеры, веб-камеры, серверы видеозаписи, телевизоры, недорогие телефоны и пр. Поскольку ПО этих устройств обновляется очень редко, точнее практически никогда, в них существует много уязвимостей, которые с успехом используются современными киберпреступниками. В 2016 году было замечено, что некоторые финансовые организации убрали Android из списка доверенных платформ из-за хронических проблем с обновлениями операционной системы.

В поколении ботнетов Интернета вещей Mirai в 2016 году поднял планку возможной угрозы атакой в 1 Тбит/с на OVH, одного из крупнейших французских облачных хостинг-провайдеров. За Mirai последовали и другие, например, ботнет Leet, с помощью которого была организована атака в 650 Гбит/с. По нашим прогнозам, в следующем году грамотно выполненная атака может вновь достичь мощности в 1 Тбит/с и выше. Вероятно, построить подобный ботнет будет дёшево, а его управление не будет вызывать трудности. Теперь не всегда, чтобы провести успешную атаку, надо располагать огромным киберарсеналом: достаточно просто проявить немного смекалки. Так было в случае с крупным ботнетом в несколько сотен тысяч Android-устройств, который, к счастью, был полностью выведен из строя через взаимодействие на уровне операторов связи, CDN-сетей. Для своего построения ботнет не использовал эксплойты, ему не нужно было получать доступ к устройствам, так как фактически он уже был встроен в набор приложений, официально распространяемых через Google Store. Пользователи устанавливали эти приложения, после чего невольно становились соучастниками атак на различные интернет-ресурсы.

Сегодня можно всерьёз обсуждать технические возможности для атак, которые опасны для доступности целых регионов мира, и защищающаяся сторона находится по уровню своего развития, инструментария и в целом стратегическому положению в гораздо более проигрышной ситуации, чем нападающая. По данным Qrator Labs, количество DDoS-атак в 2016-м году выросло примерно в полтора раза, по сравнению с предыдущим годом. Главные цели для атак – компании из тех сфер бизнеса, где уровень конкуренции очень высок: сектор e-commerce, сайты платежных систем, купонные сервисы. В банковской сфере и в СМИ число DDoS-атак существенно меньше, поскольку конкуренция не такая жесткая, и цели злоумышленников иные – это вымогательство путём шантажа.

Вложения в сферу киберпреступлений поднимают угрозы на новый уровень. Существенный вклад в эту область внесла группировка The Shadow Brockers, похитившая хакерский инструментарий АНБ и впоследствии выложившая его в общий доступ. В дальнейшем опубликованные уязвимости были использованы для создания сетевого червя-вымогателя WannaCry. С течением времени исследователи на "серой" стороне процесса стали понимать, что почти в каждое направление, описанное The Shadow Brockers, можно инвестировать свой труд и добиться успеха. Самое неприятное в сложившейся ситуации то, что для этого сейчас уже существует инфраструктура с множеством уязвимостей сетевого оборудования, которые нужно просто вовремя найти и "грамотно" использовать. И это будет отличная инвестиция в успешный проект, который впоследствии принесет очень высокий доход.

Однако изменения в сети на этом не заканчиваются. Речь уже идет об устойчивости всего интернета. Как показали события в Японии, когда ошибка конфигурации сети Google повлекла за собой массовое отключение интернета во всей стране, сетевые аномалии могут привести к полной недоступности целевого ресурса от нескольких минут до нескольких дней. Такие аномалии называются "утечками маршрутов" (route leaks), которые появляются в результате непреднамеренного направления трафика оператором связи по ложному маршруту. Проблема заключается в проколе динамический маршрутизации BGP (Border Gateway Protocol), позволяющем владельцам автономных систем обмениваться информацией о маршрутах движения трафика. Протокол по умолчанию принимает объявленные маршруты от других BGP-маршрутизаторов, что делает возможным не только автоматическое и децентрализованное вычисление маршрута, но также позволяет детектировать инциденты, возникающие вследствие некорректной настройки или простой злонамеренной активности.

Утечка маршрута — это появление на пути движения трафика к цели промежуточной точки, которой там быть не должно. Внедрившийся в этот путь оператор связи некорректно объявляет путь движения трафика от источника к цели, и маршрут "утекает" в неверном направлении. Следствием такой утечки может быть не просто увеличенная задержка в получении клиентом доступа к файлам, страницам и любым другим данным, но и частичная или полная недоступность ресурса. В текущей версии протокола BGP при неправильной настройке анонсов или нарушении рекомендуемых практик конфигурации всегда есть вероятность, что некорректный анонс распространится глобально. Система глобального мониторинга взаимодействия автономных систем Qrator.Radar фиксирует в среднем 30 000 ложных префиксов каждый месяц и десятки утечек маршрутов ежедневно, и эта проблема пока не решена.

По нашей оценке, в большинстве случаев с утечкой маршрутов виноваты технические специалисты, которые не до конца понимают принципы правильной работы протокола BGP. Некорректная настройка протокола может произойти и по вине даже транзитных операторов, в том числе и национального уровня. Корень проблемы заключается в опциональности практически любых настроек BGP. Такие "особенности" протокола могут быть использованы для перехвата трафика, что упрощает "атаку посредника" (man in the middle). Проблемы BGP могут приводить и к  отказу в обслуживании (DoS). Уже зафиксированы прецеденты намеренного использования уязвимости протокола BGP для "угона" трафика – перенаправления его по ложному маршруту. Злоумышленники меняют префикс автономной системы в BGP-пакетах на несуществующий, тем самым "сливая" его в никуда. В итоге сетевой ресурс, к которому направлялся трафик, становится недоступным для пользователей, то есть наблюдается DoS.

Поскольку причиной большинства утечек является неправильная настройка, единственным способом решения этой проблемы становится устранение условий, при которых ошибки инженеров способны влиять на других операторов связи. Опциональные механизмы фильтрации в BGP нужно встроить в сам протокол, тем самым снизив сложность его настройки. Решением этой задачи занимаемся мы в Qrator Labs, развивая инициативу по внесению изменений в стандарт протокола BGP в рамках международной организации IETF – "Инженерного совета интернета" (Internet Engineering Task Force), рассматривающего и утверждающего все изменения универсальных интернет-стандартов и протоколов. Наше расширение BGP, находящееся в стадии черновика стандарта, предоставит механизм для автоматического обнаружения утечек и предотвращения их распространения.

Как провайдер услуг по нейтрализации DDoS мы наблюдаем продолжающуюся эволюцию инструментов, техник и сетей для совершения атак. "Инфраструктура" атакующих быстро меняется, и для противостояния новым угрозам ведущим игрокам отрасли необходимо постоянно проводить исследования и разработки и совершенствовать методы выявления атак. Вся проблематика сферы информационной безопасности заключается в том, что практически любое событие здесь может перевернуть повестку дня на 180 градусов в течение пары недель, и участникам рынка придется вырабатывать новые методы для борьбы с вновь появившимися угрозами. Мы в Qrator Labs видим будущее систем противодействия сетевым атакам в "умных" средствах защиты. Подобные решения используют адаптационные алгоритмы машинного обучения, чтобы уметь отвечать на новые запросы. Только такие системы смогут выстоять в битве "щита и меча" и привести отрасль к более сложным и продвинутым техникам нейтрализации атак.