Принято считать, что безопасность в интернете держится на трех столпах, это конфиденциальность, целостность и доступность. Именно эта триада служит надежным фундаментом защиты сети. Конфиденциальность и целостность означает, что доступ к информации имеют только определенные лица и только они могут эти данные изменять. Под доступностью подразумевается гарантия того, что пользователи всегда смогут получить доступ к информации. К сожалению, именно на этапе обеспечения доступности возникают многие проблемы безопасности современного интернета. Фундамент проблем, которые мы имеем сегодня, заложен много лет назад, когда была построена всемирная сеть. По замыслу его создателей, интернет должен был стать надежной системой обмена оперативной информацией, способной функционировать в условиях ядерной войны. Подразумевалось, что сеть будет работать в случае катаклизмов, происходящих за ее пределами, а внутри сети все узлы будут доверенными и принадлежащими одной стороне. Нужно сказать, что и сегодня интернет с этой задачей справляется неплохо: сеть работает большую часть времени. Но, к сожалению, все не так гладко: как набор технологий интернет уже давно устарел, в нем есть много уязвимостей, которые с успехом используются современными киберпреступниками. Фактически сейчас мы имеем ситуацию, когда сеть едина для всех, и для «хороших», и для «плохих». Тогда, в далекие 1960-е годы, никто не рассматривал вариант того, что в этом же пространстве будет присутствовать оппонент в термоядерном конфликте. Однако сегодня далеко не все узлы сети и организации, подключенные к интернету, являются добропорядочными. Более того, многие государственные столкновения выносятся в поле интернета, поскольку последствия конфликта, развязанного внутри сети, будут существенно менее ощутимыми, чем в случае начала ядерной войны. Подтверждений тому даже за последний год более чем достаточно: выборы в США, взломы систем русскими хакерами или людьми, за них себя выдающими.
Информационные войны, конкурентная борьба – все это становится благодатной почвой для бурного роста популярности такого инструмента, как DDoS-атаки. Суть DDoS (с англ. Distributed Denial of Service — «распределенная атака на отказ в обслуживании») довольно проста и тривиальна: на сервер-жертву обрушивается постоянный поток запросов с десятков и сотен тысяч зараженных компьютеров. В результате обслуживания этих запросов сервер расходует все ресурсы, и обычные пользователи не могут получить доступ к сайту компании. Рынок подобного рода киберпреступлений неуклонно растет: по нашим данным (Qrator Labs. — Forbes), количество DDoS-атак в 2016-м году выросло примерно в полтора раза. И в этом нет ничего удивительного: стоимость организации таких атак минимальна, а эффективность чрезвычайно высока. С помощью DDoS можно блокировать работу сайта конкурента, заниматься вымогательством и вести информационную войну. В последние годы нестабильная ситуация в экономике привела к существенному усилению конкурентной борьбы, в связи с чем увеличилось количество коммерческих заказов на DDoS, что наглядно иллюстрирует график активности атак по отраслям (исследование Qrator Labs. — Forbes). Главные мишени для атак – компании из тех сфер бизнеса, где уровень конкуренции очень высок. Это купонные сервисы, сайты платежных систем, сектор e-commerce. В банковской сфере и в СМИ конкуренция не такая жесткая, поэтому число DDoS-атак здесь существенно меньше, и цели, которые преследуют злоумышленники, иные – это вымогательство путём шантажа.
Сама по себе сфера DDoS супердинамична. Если в 2010 году скорость атак составляла 100 Гбит/с, в 2013 – 300 Гбит/с, то в 2016 году скорость атак и их сложность выросли радикально – до 1 Тбит/с. Перед такой атакой не устоит никто, даже операторы федерального уровня. Динамика, сложность атак, их частота растут по экспоненте, и теперь это касается каждого. Согласно исследованию Imperva Incapsula в 4 квартале 2016 года (Q4 2016 Global DDoS Threat Landscape Report), в среднем 58,3% веб-сайтов были атакованы более одного раза, при этом 13,1% ресурсов подверглись атаке более десяти раз. Китай продолжает оставаться лидером среди остальных стран по числу ботнетов: около 78,5% DDoS-атак во всем мире происходят с IP-адресов Китая. По данным Kaspersky Lab, тройку лидеров по количеству DDoS-атак, количеству целей и числу обнаруженных командных серверов составляют Южная Корея, Китай и США (DDoS atacks in Q4 2016).
Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.
В первой половине 2010-х годов самым популярным видом DDoS были атаки с использованием техники амплификации (атаки типа Amplification). Атака типа Amplification осуществляется следующим образом: на сервер, содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. Противодействовать такого рода атакам «вручную» стало невозможно, их слишком много и это дорого. Фактические затраты злоумышленника на инфраструктуру, необходимую для организации атаки в несколько десятков раз меньше, чем требуются компании-жертве, чтобы самостоятельно нейтрализовать такую атаку. Такие инциденты были наиболее распространенным явлением в 2014 году и стали яркой иллюстрацией тренда 2015 года. Однако сегодня, несмотря на то что общее число DDoS растет, так как технология стала доступной, амплитуда атак с использованием техники Amplification идет вниз, поскольку ресурс для проведения атак – амплификаторы – конечный и, более того, сокращающийся. За 2016 год количество амплификаторов в сети уменьшилось почти вдвое благодаря действиям операторов связи.
В связи с усилением конкуренции за уязвимые серверы атакующие сменили вектор атак и обратили свой взгляд на систему управления контентом Wordpress — функциональный движок для блогов. В этом продукте существует уязвимость, используемая для организации атак, — это небольшая функция Pingback, включенная по умолчанию. С ее помощью автономные блоги обмениваются информацией о комментариях и упоминаниях. Функция Pingback реализована так, что специально подготовленный XML-запрос заставляет уязвимый сервер запросить любую веб-страницу из интернета. Подобным образом можно маскировать IP-адреса оригинального ботнета. Такие атаки обычно называют Wordpress Pingback DDoS. Интересно, что при ведении Pingback-атаки трафик полностью шифруется: атакующему нужно лишь заменить «http» на «https». Если ресурс доступен по HTTPS (например, банк или какая-либо другая финансовая организация), это может быть использовано против него. Нейтрализация зашифрованного зловредного трафика сложна, но DDoS на Pingback поднимает уровень угрозы ещё выше. Поскольку у нас есть миллионы уязвимых серверов на Wordpress, сотни тысяч из них можно использовать в одной атаке. C начала 2016 года с массовым распространением HTTPS ожидается, что подобные атаки вырастут в частоте и мощности. В 2016 году 29,98 % от числа атак Pingback были выполнены с помощью протокола HTTPS.
2016 год также ознаменовал начало новой эры DDoS – в конце года мы наблюдали первый, но не последний ботнет на основе Интернета вещей — Mirai. Сотни тысяч маршрутизаторов, камер, серверов DVR и других подключённых устройств вплоть до кофеварок с Wi-Fi создали самый заметный медиаповод года в сообществе информационной безопасности: они атаковали Dyn, одного из крупнейших провайдеров DNS-серверов в мире. Быстрая и беспощадная атака — и одни из самых популярных ресурсов, таких как Twitter, eBay, New York Times, CNN и пр., часами не открывались у пользователей. Этот случай обозначил прибытие эпохи Интернета вещей. Текущее число устройств в IoT находится где-то между оценкой Gartner в 6,5 миллиардов (среди них нет компьютеров, планшетов и смартфонов), оценкой компании International Data Corporation в 9 млрд (вновь без упомянутых устройств) и статистикой IHS – 17,6 млрд (здесь подсчитаны любые типы устройств). Считается, что к 2020 году к Интернету будут подключены от 20 млрд до 30 млрд устройств. Связанная с Mirai угроза — это не что-то уникальное. Сервис Imperva Incapsula уже регистрировал атаку в 650 Гбит/с от ботнета Leet. Mirai — это лишь первенец в целом поколении ботнетов интернета вещей, которые мы увидим в 2017 году.
Растёт не только число атак, но и их качество. Повзрослели как методы защиты, так и векторы и инструменты, используемые атакующими. Теперь можно всерьёз обсуждать технические возможности для атак, которые опасны для доступности целых регионов мира, которые грозят самому функционированию крупных провайдеров. «DDoS-апокалипсис» ударной волной проходит по бизнесу: сегодня ищутся все более масштабные технологии для поражения организаций из всех секторов цифрового бизнеса, причем как малых компаний, так и корпоративных гигантов. Если компания ведет свой бизнес в интернете и этот бизнес прибыльный, организация моментально попадает в группу риска.
Один из недавних примеров (кейс компании, которую представляет автор, Qrator Labs) – платформа для создания лендингов и сайтов Tilda Publishing. В марте этого года на Tilda Publishing была совершена достаточно массивная DDoS-атака, длившаяся несколько часов. В результате атаки выключился один из серверов компании, и все сайты клиентов Tilda стали недоступны. В итоге бизнес Tilda понес колоссальные репутационные убытки. Чтобы подобная ситуация не повторилась в будущем, Tilda Publishing приняла меры и подключила решение по защите от DDoS, чтобы заблаговременно быть готовой к атакам и обеспечить постоянную доступность всех интернет-ресурсов. Такая ситуация является довольно типичной для российского бизнеса: многие компании подключают защиту от атак, только когда их сервер «лежит» и требуется «реанимация» бизнеса. Однако есть и такие организации, особенно в сегменте крупного бизнеса, которые стараются «подстелить соломку»: принимают решение о проактивной защите, не дожидаясь, когда столкнутся с атакой. Среди них – электронная торговая площадка «Фабрикант», игрок рынка электронных закупок в России (кейс компании, которую представляет автор, Qrator Labs). Для клиентов «Фабриканта» не допустимы простои в получении доступа к сервисам. Поэтому более трех лет назад на основании анализа глобальных тенденций сетевых атак и ряда экономических факторов компания приняла однозначное решение по подключению к сервису обеспечения доступности интернет-ресурсов. Что послужило основным импульсом? В первую очередь, совокупные требования международных стандартов, рост числа DDoS-атак и одновременное снижение стоимости их организации. Кроме того, полное осознание топ-менеджментом возможных последствий от атаки: упущенная прибыль, потеря клиентов и нанесение компании серьезного репутационного урона. Немаловажную роль здесь сыграла и большая экономия затрат на содержание собственного оборудования для защиты от DDoS-атак и обслуживающего персонала при возможности использования специализированного сервиса, обеспечивающего высокий уровень конфиденциальности трафика и доступность ресурсов 24/7. Применительно к любой из электронных площадок убытки из-за кратковременного простоя информационной системы могут составлять порядка $50 000, не говоря о существенной потере репутации среди клиентов. В случае же многочасового простоя существует реальная угроза существованию бизнеса в целом, так как в этом случае крупнейшие клиенты воспримут отказ в работе предоставляемого им сервиса как сигнал о смене поставщика услуг на более надежного.
Сфера DDoS на Западе также пестрит примерами масштабных атак. 19 сентября 2012 года произошла самая крупная в истории кибератака на банки. Были атакованы ведущие банки США: Bank of America, JPMorgan Chase, Wells Fargo, U.S. Bank и PNC, в результате чего веб-ресурсы финансовых корпораций были не доступны для клиентов в течение всего дня. Ответственность за эти атаки взяла на себя исламистская группировка Izz ad-Din al-Qassam Cyber Fighters, однако специалисты склонны полагать, что атака была организована Ираном в ответ на экономические санкции, которые были введены США и Евросоюзом против иранских финансовых учреждений.
Без внимания хакеров не осталась и Олимпиада в Бразилии: многие публичные веб-сервисы и организации, связанные с Олимпийскими играми, получили устойчивую распределенную атаку типа «отказ в обслуживании», которая длилась несколько месяцев. Скорость DDoS-атаки варьировалась от десятков до сотен Гбит/сек. Большую часть предолимпийских нападений устроила группировка LizardStresser, используя ботнет на основе Интернета вещей, с целью вымогательства. Однако в этом случае DDoS-атака не увенчалась успехом, благодаря действиям сотрудников службы информационной безопасности, ответственных за защиту онлайн-трансляции Олимпиады. Они предприняли необходимые меры для обеспечения доступности интернет-ресурсов, и многие веб-сайты в Бразилии и ресурсы Международного Олимпийского Комитета продолжали работать в штатном режиме, несмотря на то, что пиковый уровень атаки составил колоссальные 540 Гбит/с.
Приведенные примеры доказывают, что чем больше обороты бизнеса компании, тем больше прибыли можно получить, заблокировав ее ресурсы на время. Отсюда вывод: DDoS-атаки – это явление экономическое. До тех пор пока существует экономический мотив — пока сайт конкурента интересен и посещаем, приносит деньги или выражает мнение, которое может не понравиться, DDoS неизбежен. Как быть в этой ситуации бизнесу и где искать спасения?
Очевидно, что бизнесу нужен другой интернет — интернет 2.0., суперзащищенная инфраструктура, в которой все риски от действий злоумышленников нивелированы. Сегодня ряд компаний-разработчиков (компания, которую представляет автор, Qrator Labs, также один из игроков данного сегмента) строит такой сегмент сети. Для этого мониторится состояние всего интернета 24/7, чтобы знать, где и какие аномалии маршрутизации происходят в глобальной сети и какие меры нужно предпринять, чтобы защитить бизнес. Анализируются все типы угроз, производится их классификация, по каждому виду строится соответствующая конкретно ему система противодействия. Многие сервис-провайдеры также проводят анализ текущей ситуации для выявления того, в каком направлении будет смещаться вектор атак в долгосрочной перспективе и какие меры противодействия будут актуальны завтра. Такой интернет уже не так легко сломать, и у бизнеса появляется гарантия, что он будет доступен и его работа не остановится.
Основная задача, которую должно ставить перед собой интернет-сообщество, – это сделать так, чтобы DDoS-атака стала экономически необоснованной. То есть чтобы провести успешную атаку на компанию, нужно было бы потратить столько ресурсов, что эта атака станет невыгодной для организатора: стоимость ее будет больше, чем размер извлекаемой выгоды. На данный момент мы, к сожалению, далеки от решения данной задачи: растут не только сложность и масштабы атак, но и их количество, поскольку заметно упал уровень необходимого опыта и знаний для организации DDoS. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2017 году самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткойнов в кошельке. В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы.
В бизнес-среде конкурентная борьба будет обостряться: многие компании вынуждены бороться за своё существование и готовы использовать для этого практически любые методы. Однако и малому бизнесу, и крупным корпорациям следует расценивать DDoS как «комплимент», ведь кто будет атаковать сайт, если он не приносит прибыли и не конкурентоспособен? Вас «дидосят», значит, вы стали заметны на рынке, и вас расценивают как серьезного оппонента. Поэтому не стоит считать подобные атаки стихийным бедствием. DDoS – это лавина, которую можно остановить, имея в своем вооружении надежный «щит», помогающий бизнесу выстоять в условиях экономических баталий и не потерять лояльность клиентов.