За останній рік в сфері мережевої безпеки відбулися фундаментальні зміни, які суттєво перебудували ландшафт ІБ і позначили поява нових тенденцій. У минулому році DDoS-атаки повернулися на порядок денний в повній мірі, хоча раніше здавалося, що їх проблема в цілому вирішена. Тепер потрібно звертати пильну увагу на захист від DDoS, немов ми повернулися на кілька років в минуле. Яскравим підтвердженням цього стає повернення ботнетів як основного інструментарію для проведення DDoS-атак.

Зокрема, в серпні 2017 року дослідники з Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn та інших організацій змогли нейтралізувати найбільший мобільний ботнет WireX, що складався в основному з Android-пристроїв, число яких склало мінімум 70 тисяч з більш ніж сотні країн. У той же період ми в Qrator Labs також зафіксували ботнет чисельністю в сотні тисяч пристроїв. Однак якщо в попередні роки DDoS був абсолютним синонімом ботнетів, побудованих з ПК на Windows, то зараз ситуація змінюється. Тепер основною ударною силою ботнетів стають IoT-пристрої, що підключаються до мережі: роутери, веб-камери, сервери відеозапису, телевізори, недорогі телефони та ін. Оскільки ПО цих пристроїв оновлюється дуже рідко, точніше практично ніколи, в них існує багато вразливостей, які з успіхом використовуються сучасними кіберзлочинцями. У 2016 році було відмічено, що деякі фінансові організації прибрали Android зі списку довірених платформ через хронічні проблеми з оновленнями операційної системи.

Сьогодні можна всерйоз обговорювати технічні можливості для атак, які небезпечні для доступності цілих регіонів світу, і захищається, перебуває за рівнем свого розвитку, інструментарію і в цілому стратегічному положенню в набагато більш програшній ситуації, ніж нападаюча. За даними Qrator Labs, кількість DDoS-атак в 2016-му році зросла приблизно в півтора рази, в порівнянні з попереднім роком. Головні цілі для атак - компанії з тих сфер бізнесу, де рівень конкуренції дуже високий: сектор e-commerce, сайти платіжних систем, купання сервіси. У банківській сфері та в ЗМІ число DDoS-атак істотно менше, оскільки конкуренція не така жорстка, і цілі зловмисників інші - це вимагання шляхом шантажу.

Вкладення в сферу кіберзлочинів піднімають загрози на новий рівень. Істотний внесок в цю область внесла угрупування The Shadow Brockers, яка викрала хакерський інструментарій АНБ і згодом виклала його в загальний доступ. Надалі опубліковані уразливості були використані для створення мережевого черв'яка-здирника WannaCry. З плином часу дослідники на "сірої" стороні процесу стали розуміти, що майже в кожен напрямок, описане The Shadow Brockers, можна інвестувати свою працю і домогтися успіху. Найнеприємніше в цій ситуації те, що для цього зараз вже існує інфраструктура з безліччю вразливостей мережевого обладнання, які потрібно просто вчасно знайти і "грамотно" використовувати. І це буде відмінна інвестиція в успішний проект, який згодом принесе дуже високий дохід.

Однак зміни в мережі на цьому не закінчуються. Мова вже йде про стійкість всього інтернету. Як показали події в Японії, коли помилка конфігурації мережі Google спричинила за собою масове відключення інтернету в усій країні, мережеві аномалії можуть призвести до повної недоступності цільового ресурсу від декількох хвилин до декількох днів. Такі аномалії називаються "витоками маршрутів" (route leaks), які з'являються в результаті ненавмисного напрямки трафіку оператором зв'язку за безпідставним маршруту. Проблема полягає в проколі динамічний маршрутизації BGP (Border Gateway Protocol), що дозволяє власникам автономних систем обмінюватися інформацією про маршрути руху трафіку. Протокол за замовчуванням приймає оголошені маршрути від інших BGP-маршрутизаторів, що робить можливим не тільки автоматичне і децентралізоване обчислення маршруту, але також дозволяє детектувати інциденти, що виникають внаслідок некоректної налаштування або простий зловмисної активності.

Витік маршруту - це поява на шляху руху трафіку до мети проміжної точки, якої там бути не повинно. Впровадили в цей шлях оператор зв'язку некоректно оголошує шлях руху трафіку від джерела до мети, і маршрут "витікає" в невірному напрямку. Наслідком такого витоку може бути не просто збільшена затримка в отриманні клієнтом доступу до файлів, сторінок і будь-яким іншим даними, але і часткова або повна відсутність ресурсу. У поточній версії протоколу BGP при неправильному налаштуванні анонсів або порушенні рекомендованих практик конфігурації завжди є ймовірність, що некоректний анонс пошириться глобально. Система глобального моніторингу взаємодії автономних систем Qrator.Radar фіксує в середньому 30 000 помилкових префіксів щомісяця і десятки витоків маршрутів щодня, і ця проблема поки не вирішена.

За нашою оцінкою, в більшості випадків з витоком маршрутів винні технічні фахівці, які не до кінця розуміють принципи правильної роботи протоколу BGP. Некоректна настройка протоколу може статися і з вини навіть транзитних операторів, в тому числі і національного рівня. Корінь проблеми полягає в опціонально практично будь-яких налаштувань BGP. Такі "особливості" протоколу можуть бути використані для перехоплення трафіку, що спрощує "атаку посередника" (man in the middle). Проблеми BGP можуть приводити і до відмови в обслуговуванні (DoS). Вже зафіксовані прецеденти навмисного використання уразливості протоколу BGP для "викрадення" трафіку - перенаправлення його по помилковому маршруту. Зловмисники змінюють префікс автономної системи в BGP-пакетах на неіснуючий, тим самим "зливаючи" його в нікуди. В результаті мережевий ресурс, до якого прямував трафік, стає недоступним для користувачів, тобто спостерігається DoS.

Оскільки причиною більшості витоків є неправильне налаштування, єдиним способом вирішення цієї проблеми стає усунення умов, при яких помилки інженерів здатні впливати на інших операторів зв'язку. Опціональні механізми фільтрації в BGP потрібно вмонтувати в сам протокол, тим самим знизивши складність його налаштування. Рішенням цього завдання займаємося ми в Qrator Labs, розвиваючи ініціативу щодо внесення змін до стандарт протоколу BGP в рамках міжнародної організації IETF - "Інженерного ради інтернету" (Internet Engineering Task Force), що розглядає і затверджує всі зміни універсальних інтернет-стандартів і протоколів. Наше розширення BGP, що знаходиться в стадії чернетки стандарту, надасть механізм для автоматичного виявлення витоків і запобігання їх поширення.

Як провайдер послуг з нейтралізації DDoS ми спостерігаємо триваючу еволюцію інструментів, технік і мереж для здійснення атак. "Інфраструктура" атакуючих швидко змінюється, і для протистояння новим загрозам провідним гравцям галузі необхідно постійно проводити дослідження і розробки та вдосконалювати методи виявлення атак. Вся проблематика сфери інформаційної безпеки полягає в тому, що практично будь-яка подія тут може перевернути порядку денного на 180 градусів протягом пари тижнів, і учасникам ринку доведеться виробляти нові методи для боротьби з знову з'явилися погрозами. Ми в Qrator Labs бачимо майбутнє систем протидії мережевим атакам в "розумних" засобах захисту. Подібні рішення використовують адаптаційні алгоритми машинного навчання, щоб вміти відповідати на нові запити. Тільки такі системи зможуть вистояти в битві "щита і меча" і привести галузь до більш складним і просунутим технікам нейтралізації атак.