7 декабря 2018 г.

Qrator Labs представляет основные тренды 2018 года в сфере безопасности и интернет-инфраструктуры в России и в мире.

  • Изменение интернета, пропускной способности ресурсов, укрупнение интернет-бизнеса, рост числа инструментов и методов для проведения различных атак создает новые сложности для ведения бизнеса в цифровую эпоху.

Бурный рост Интернета и пропускной способности сетей привёл к тому, что без поддержки со стороны крупных корпораций в нем сегодня очень сложно работать и зарабатывать деньги. И речь уже отнюдь не только о поисковой оптимизации и борьбе за высокие места в результатах поиска Яндекса или Google.

Растут требования к каналам связи, растёт и стоимость обработки данных с учётом современных угроз, и малый и средний бизнес (в том числе многие средства массовой информации или компании сегмента e-commerce) переходят в стадию «выживания»: им теперь жизненно необходимо заручиться поддержкой «старших» участников рынка, чтобы оставаться на плаву. Для этого бизнесу требуется все больше разнообразных аутсорсинговых продуктов, и не просто услуг по администрированию сервера — цифровой бизнес вынужден активно задействовать, в частности, сторонние решения по безопасности: противодействие DDoS-атакам, взломам, антиспам и антифрод. В противном случае становится практически невозможно поддерживать информационную систему в устойчивом состоянии и обеспечивать ее защиту.

В последнее время все более заметной в этой области становится поддержка со стороны крупных игроков рынка. Например, компания Google предоставляет бесплатную площадку защиты от DDoS для независимых СМИ, понимая, что последствия сложившейся в интернете ситуации могут оказаться фатальными для многих компаний. Этот процесс шел уже достаточно долгое время, однако осязаемым он стал лишь за последний год.

  • Развитие протоколов интернета идет рука об руку с текущими тенденциями в области изменения инфраструктуры онлайн-бизнеса.

Ярким примером является новый экспериментальный протокол QUIC (Quick UDP Internet Connections), разработанный Google для замены старой технологической «подложки» Всемирной сети. Сегодня уже происходит активное внедрение QUIC: в частности, Google Chrome, как и серверы Google, уже поддерживают новый протокол, а в дальнейшем он должен заменить нынешний протокол HTTP, используемый для работы веб-сайтов по всему миру.

Разработанный стандарт обладает целым рядом достоинств, однако предполагается, что он будет работать на высокопроизводительных «фермах» серверов, соответствующих тем, которые имеются в распоряжении Google и Facebook. В процессе проектирования практически не уделялось внимание ситуации, при которой инфраструктура веб-сайта будет уступать в плане вычислительных ресурсов крупному облаку, что еще больше усугубляет положение малого и среднего бизнеса в современном интернет-пространстве.

Статистика по DDoS-атакам за 2016-2018 гг

2018

2017

2016

Нейтрализовано атак

85 578 ↑

61 206 ↑

36 746

Среднее число атак

255 ↑

180 ↑

100

Максимальное число атак в день

490 ↓

556 ↑

248

Средний размер ботнета

3 683 ↓

3 782 ↑

1 915

Максимальный размер ботнета

893 788 ↓

4 960 121 ↑

729 226

Средняя длительность атаки, час

3 ↓

4 ↓

6

Максимальная длительность атаки, день

818 ↑

770 =

770

Число Spoofed атак

73 784 ↑

49 530 ↑

25 445

Атак более 1 Гб/c

206 ↓

231 ↓

278

Атак более 10 Гб/c

34 ↓

54 ↑

40

Атак более 100 Гб/c

4 ↑

0 =

0

  • Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменением его состояния.

Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации. До сих пор популярными являются DDoS-атаки с использованием техники Amplification (злоумышленник посылает запрос уязвимому серверу, который, в свою очередь, непрерывно бомбардирует жертву кратно большими по размеру пакетами).

В октябре 2018 года Qrator Labs зафиксировала атаку DNS Amplification скоростью 400 Гбит/сек. Кроме того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что позволяет усилить атаку, в теории, более чем в 10 000 раз. Март 2018 года отметился самой мощной DDoS-атакой в истории: трафик в 1,35 Тбит/сек был направлен на GitHub , крупнейший веб-сервис для хостинга ИТ-проектов и совместной разработки, а всего через несколько дней этот рекорд был побит атакой в 1,7 Тбит/сек на американского сервис-провайдера.

Потенциально Memcached-атаки могли отключить от интернета целые регионы и даже страны, однако этого не произошло благодаря скоординированной и оперативной реакции интернет-сообщества. При этом не были задействованы никакие международные организации, от ООН до Международного телефонного союза — ключевую роль в борьбе с такими атаками сыграли профессионалы из индустрии. На данный момент международное сообщество достигло того уровня развития, когда, объединяя практики, оно может успешно бороться с серьезными угрозами. Так работает модель принятия решений в современном Интернете.

Потенциально опасной является организация атак с использованием протокола HTTP/2 — это вторая крупная версия вышеупомянутого сетевого протокола HTTPS (известного каждому пользователю Сети по адресной строке, начинающейся со слова «https://»). В начале 2018 года вышло исследование учёных из университета Белфаста о том, какие атаки гипотетически могут быть реализованы злоумышленниками из-за определенной проблемы в протоколе. Эксплуатация уязвимостей HTTP/2 позволяет осуществлять усиленные DDoS-атаки на уровне запросов браузера. Такие атаки сложно выявить, и еще сложнее им противодействовать.

Инциденты с использованием брешей в HTTP/2 пока не наблюдаются, но лишь потому, что проникновение протокола пока не такое большое. Однако в ближайшей перспективе мы, вероятно, будем наблюдать подобные атаки на практике, и они могут быть не менее разрушительны, чем знаменитые DDoS-атаки типа Wordpress Pingback.

Динамика DDoS-атак по отраслям в 2017-2018 гг

2017-2018

Рекламные агентства

-30%

Банки

90%

Букмекерские конторы

143%

Купоны

-84%

Криптобиржи

54%

Интернет-магазины

22%

Образование

-18%

Развлекательные сайты

5%

Forex

-67%

Игры

142%

Страхование

195%

СМИ

22%

Медицина

55%

Микрофинансы

-43%

Онлайн-кассы

836%

Платежные системы

20%

Промо-сайты

-51%

Агентства недвижимости

-30%

Социальные сети

47%

Такси

-8%

Туризм

-23%

Торговые площадки

-48%

  • Ошибки в протоколе BGP продолжают приводить к перехватам трафика

BGP (Border Gateway Protocol) — де-факто стандартный протокол, управляющий трафиком на уровне операторов связи. Ошибки, случайные или умышленные, в его настройке приводят к нелегитимному перехвату трафика. Здесь, конечно, важны не только сами ошибки, но и экосистема операторов связи, которая способствует их распространению. В результате, даже самый маленький оператор может повлиять на доступность крупнейших сервисов в масштабах национального сегмента.

Только в 2018 году в российском сегменте интернета произошло порядка 10 крупных инцидентов, повлиявших на доступность как внутренних, так и внешних ресурсов.

13 декабря 2017 — празднование дня рождения бывает разным, так, оператор DV-LINK-AS в первый день своей работы стянул на себя трафик крупнейших контент провайдеров, сделав в течение нескольких часов недоступными сервисы Google, Facebook, Microsoft, Mail.ru и нескольких других контент провайдеров. Причем аномалия затронула не только Россию, но и другие регионы.

17 января 2018 — сеть, принадлежащая мэрии Москвы, перенаправила трафик между Ростелекомом и Комкором. В тот раз аномалия была еще масштабней и затронула более 70 тысяч сетей. В результате, как и в последнем случае, «выбило пробки» как в сети мэрии, так и в Комкоре, что оказало значимое влияние на весь трафик в рунете.

4 мая 2018 — обычно трафик между Европой и Азией идет с использованием подводных кабелей, проходящих по дну Средиземного моря, Суэцкий канал, огибающих Индию и Сингапур. Однако небольшой оператор в Киргизии решил это исправить, организовав «шелковый путь» из России в Азию через свою сеть и далее Китай. К сожалению, результатом стала лишь временная недоступность между Россией и Азией.

Последней в этом списке стала ошибка конфигурации небольшого оператора Krek, в результате которого он перехватил значительную часть трафика Ростелекома, сделав недоступными тысячи сервисов, включая Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие. По оценке Qrator Labs, аномалия могла затронуть от 10% до 20% пользователей в РФ.

И если подобные инциденты за счет своего масштаба не увидеть невозможно, то мелкие или целевые перехваты трафика в большинстве случаев остаются незамеченными и могут длиться часами, а в некоторых случаях — неделями.

  • Целевые перехваты трафика и атаки Man-in-the middle набирают силу

2018 год продемонстрировал набирающий силу тренд по использованию уязвимостей протокола BGP для целевых перехватов трафика. Такой перехват трафика может иметь разные цели: это отказ в обслуживании, рассылка спама и атаки Man-in-the-middle.

Атаки на отказ в обслуживании с использованием BGP — это не новый тренд. Первым «звоночком» стал перехват трафика Youtube в далеком 2008 году, когда пакистанский оператор решил заблокировать у себя в сети этот сервис, а в итоге сделал его недоступным по всему миру. С внедрением еще более совершенных методов шифрования трафика, таких как TLS версии 1.3 и DoH, блокировка по IP-адресам становится практически единственным способом реализации блокировки контента, а BGP — все более популярным для реализации этих блокировок. Смешение этих двух функций — бомба замедленного действия, поскольку стоит такому перехвату трафика распространиться, эффект от блокировки в одной стране может повлиять на пользователей другой.

Другая сторона целевого перехвата трафика — это, как ни странно, рассылка спама. Существует несколько популярных сервисов, распространяющих информацию об источниках спама. Самый известный из них — это Spamhouse. Типовым способом борьбы является блокировка источников по IP-адресам. Соответственно, атакующим для обхода этих блокировок постоянно нужны новые «чистые» IP-адреса. При этом источники новых IP-адресов практически иссякли — IPv4 пространство кончается как у регистраторов, так и у крупных поставщиков. Спамеры нашли интересный выход: они перехватывают трафик чужого адресного пространства, а когда оно попадает в черные списки, «сбрасывают» его обратно и переходят к следующему блоку. Показательной была борьба технического сообщества против оператора, которого неоднократно ловили на такой активности. В течение месяца борьбы удалось подвергнуть атакующего остракизму, отключив его от всех его поставщиков.

Еще один способ «применения» перехватов трафика, который получил значительное развитие в 2018 году — это атаки Man-in-the-middle. Перехватывая входящий трафик, атакующий может перенаправить пользователей на фишинговый сайт-близнец, где введенные логины, пароли (и любые другие пользовательские данные) становятся тут же доступны атакующему. Последствия такой атаки были продемонстрированы на клиентах криптобиржи myetherwallet.com, где в результате успешной атаки пользователи потеряли криптовалюту на сумму более 200 тысяч долларов.

Криптобиржи, безусловно, находятся в зоне повышенного риска: анонимность кошельков и невозможность откатить транзакцию только упрощают задачу вывода средств. Однако и классические финансовые инструменты, такие как стандартный банковский личный кабинет, также могут быть уязвимыми к подобным атакам. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины пароли, но и web-cookies, которые позволяют пользователям не логиниться в течение короткого промежутка времени. Этого интервала вполне достаточно для совершения неавторизованных транзакций.

  • Методы противодействия

Системным решением проблемы перехвата трафика с использованием BGP является кардинальное изменение правил игры: встраивание защиты как от ошибок, так и от атак в сам протокол. Qrator Labs участвует в разработке изменений в стандарте протокола BGP в рамках инженерного Совета Интернета (IETF). В перспективе расширение протокола позволит решить 99% проблем, связанных как с ошибками в настройке, так и с хакерской активностью.

Однако на ближайшие годы вопрос нивелирования рисков и борьбы с перехватами придется решать каждому оператору самостоятельно. Существуют эффективные методы, позволяющие перенаправить трафик по корректному пути, но для этого необходимо оперативно получить информацию о том, кто является источником перехвата и как аномалия распространяется. Это делает систему мониторинга BGP в реальном времени ключевой частью любой системы противодействия.

Источник: Пресс-служба компании Qrator Labs