Жертвы закона. Интернет-операторы становятся мишенью для хакеров
Фото Alessandro Bianchi / Reuters

Жертвы закона. Интернет-операторы становятся мишенью для хакеров

Фото Alessandro Bianchi / Reuters
«Закон Яровой» порождает новую цель для хакеров — ранее операторы «домашнего» уровня целью вымогательства никогда не были

ФСБ рассчитала, что затраты операторов связи на выполнение требований по хранению данных для выполнения «закона Яровой» могут повлечь рост тарифов до 10% по всей стране, писал Reuters. Ранее операторы оценивали свои расходы в десятки миллиардов рублей, это привело бы к существенно большему росту цен. Что должны учесть операторы, чтобы оптимизировать затраты?

Суть закона

С 1 июля вступили в силу положения поправки к законодательству, известные как «закон Яровой», подробно они описаны в Постановлении Правительства РФ №445 от 12 апреля 2018 года. На данный момент лишь операторы, оказывающие услуги телефонной и радиосвязи, обязаны обеспечивать хранение голосовой информации и текстовых сообщений пользователей в течение шести месяцев в полном объеме. Но это только первая часть нашумевшего «пакета».

С 1 октября 2018 года интернет-операторы должны будут хранить весь трафик (как входящий, так и исходящий) в технических средствах накопления информации. Им нужно иметь хранилища объемом, достаточным для записи интернет-трафика, обработанного за последние 30 суток перед днем сдачи системы в эксплуатацию.

Проще говоря, если оператор сдает в эксплуатацию хранилище 31 августа и с 1 по 30 августа у него «набегало» по 1 терабайту пользовательского трафика ежедневно, то хранилище должно быть емкостью не меньше 30 терабайт. Если хранилище со временем будет заполняться быстрее и старые данные будут доступны не в течение 30 дней, а за меньший срок — это уже не проблема оператора. При этом в Постановлении №445 заложено ежегодное увеличение хранилища на фиксированные 15% в течение первых пяти лет.

Необходимый объем системы накопления операторы будут рассчитывать примерно следующим образом: возьмут трафик за предыдущий месяц, прошлый год, учтут периодичность, различные спортивные, маркетинговые события или их отсутствие и рассчитают, какая емкость им потребуется. И вот здесь начинается простор для манипуляций со стороны как операторов, так и со стороны злоумышленников.

Рычаги манипуляции

Возможности занижения обязательных объемов хранилища очевидны: меньше трафика — меньше затрат. Потенциально сделать это несложно: скажем, в августе активность пользователей снижается из-за периода отпусков, а если еще уменьшить скорость канала для клиентов, то можно дополнительно «порезать» им трафик. Конечно, YouTube будет работать в более низком качестве, все будет подтормаживать, зато формально показатели будут занижены, а пользователи за месяц могут и не сориентироваться. Скорее всего этот трюк будет пресечен, например, за счет того, что ФСБ и Роскомнадзор запросят данные за предыдущие месяцы и годы, надзорные органы не примут узел в эксплуатацию, получив жалобы на манипуляцию с трафиком.

Разнообразнее способы увеличения ежемесячного трафика по сравнению с нормальным. Они могут быть выгодны как нечистым на руку конкурентам, так и злоумышленникам.

С конкурентами просто: увеличение затрат на систему хранения заставит оператора либо повышать стоимость услуг для своих абонентов, либо экономить на темпах развития сети. Как это реализовать?

Индустрия уже неоднократно наблюдала многочисленные DDoS-атаки на банки с целью вымогательства. Злоумышленники начинают атаковать сервисы банка, а затем пишут его руководству с анонимных адресов, что готовы остановить атаку в обмен на определенную сумму. Теперь операторы связи подвержены той же опасности: «перечислите сумму в биткоинах на указанный адрес, в противном случае мы начнем на вас атаку, которая, даже если не уничтожит вашу сеть, добавит трафик атаки к расчету объема системы накопления данных за расчетный месяц».

Что это означает для оператора? Допустим, пропускная способность канала оператора связи — 40 Гбит/с, а средний объем передаваемого трафика составляет около 20 Гбит/с. Если еще 20 Гбит/с добавить DDoS-атакой (это доступно даже школьнику), стоимость хранилища вырастает в два раза. Делать это могут как произвольные злоумышленники (осуществляя ковровую бомбардировку операторов связи и вымогая деньги за их прекращение), так и нечистоплотные конкуренты операторов.

В результате «закон Яровой» порождает новую цель для хакеров — ранее операторы «домашнего» уровня целью вымогательства никогда не были, поскольку в их распоряжении не так много средств и они не на слуху у общественности.

Платить злоумышленникам ни в коем случае не следует. В случае реализации этого риска оператор может связаться с регулятором и обоснованно запросить перенос даты сдачи хранилища в эксплуатацию.

Хранитель произвольных чисел

Хранение паразитного трафика — еще один пункт в федеральном законе, вызывающий вопросы. В соответствии с нормативными документами трафик нужно хранить весь. Ни оператор, никто другой не наделены возможностью определять часть трафика как нелегитимную и разрешать уничтожать ее.

В результате при DDoS-атаках не только увеличивается объем систем хранения, необходимых оператору, но и часть их содержимого составляет бессмысленный трафик DDoS-атак.

Предположим, что в это хранилище попали сообщения, содержащие необходимую для ФСБ информацию о той или иной персоне. Хотя 70% трафика в интернете зашифровано, но допустим, что это было сообщение электронной почты, которая зачастую передается в открытом виде. Данные хранятся в течение 30 дней. Организовав атаку методом, описанным в предыдущей главе, можно вдвое ускорить заполнение хранилища и снизить срок нахождения компрометирующей записи в системе до 15 суток. Для простоты мы не учитываем, что находящиеся в хранилище данные будут ротироваться по определенному принципу.

Вдвое — это еще осторожная оценка, можно снизить время хранения информации, ради которой затевался «закон Яровой», еще сильнее. Например, у оператора с шириной канала 40 Гбит/с его использование будет носить ярко выраженный периодический характер: днем скорость передачи всех данных будет доходить до 30 Гбит/с, но ночью будет использоваться в 20-30 раз меньшая ширина канала. А вот паразитный трафик в это время можно увеличивать и выбирать всю разницу между доступной шириной канала и реальным ее использованием. В результате сообщения злоумышленников быстрее будут стерты, так как исчерпается запас хранилища.

При этом в подавляющем большинстве случаев хранение трафика атаки (в особенности без дешифровки) на протяжении существенного времени никакой практической пользы не несет: трафик этот «мусорный» и обычно не содержит данных, способных помочь в расследовании. В тех редких случаях, когда в трафике действительно можно обнаружить информацию, помогающую раскрыть личность злоумышленника, достаточно использовать метаданные трафика и технику под названием «сэмплирование». Последняя подразумевает хранение только небольших элементов данных, получаемых, например, 10 раз в минуту.

Напомним при этом, что рекордная скорость DDoS-атак на сегодня составляет 1,7 терабит/сек, то есть оператору записывать в таком случае придется более 200 гигабайт в секунду.

Справедливости ради отмечу, что для расследования DDoS-атак от «пакета Яровой» может в действительности быть и небольшая польза. В частности, в случае атак с поддельных IP-адресов можно будет с высокой точностью установить, откуда пришла атака. Причем если мусорные пакеты посылали устройства из российского сегмента интернета, то источник атаки можно будет установить по крайней мере с точностью до провайдера. Большого смысла в этом все еще нет, но в отдельных случаях при определенном везении некую полезную информацию можно будет извлечь.

За чей счет пакет?

Самый популярный вопрос: во сколько это обойдется операторам? Не так давно компания МТС заявила, что потратит на выполнение требований «закона Яровой» порядка 60 млрд рублей за пять лет, а чуть ранее «Вымпелком» оценил свои расходы примерно в 45 млрд рублей.

Разница в подсчетах может учитывать такие факторы, как разный подход к обеспечению избыточности, отказоустойчивости и доступности данных. Ценовой коридор для таких решений очень широк. Вполне возможно, что в отношении тех операторов, которые просчитаются с вложениями, в течение следующих 3-5 лет будут применены санкции, если находящиеся в хранилище данные действительно будут востребованы компетентными органами, но окажутся недоступны или утрачены.

Но даже существенные вложения не гарантируют выполнения закона: несколько месяцев назад «Ростелеком» заявил о нехватке на рынке сертифицированного оборудования для выполнения «закона Яровой» для компании такого масштаба. Это создает существенные затруднения в выполнении требований правил. Сертификация здесь традиционно представляет собой перераспределение зон ответственности (то есть за работу хранилища будет отвечать не оператор связи, а производитель), процесс этот не бесплатный и не может быть выполнен мгновенно.

Получается, что ведущие операторы, вероятно, столкнутся с нехваткой оборудования на первых порах. А операторы малого и среднего уровня не могут позволить себе «железобетонно» надежное решение по финансовым причинам. Учитывая, как легко влиять на параметры необходимых объемов хранилищ, неизбежно регулятору и операторам придется искать компромиссы и приносить жертвы с обеих сторон для работы «закона Яровой».

Новости партнеров