Qrator Labs

Компании Qrator Labs* и Wallarm** представили отчет о состоянии сетевой безопасности в 2016 г. (Данные предыдущего отчета компаний см.)

В прошедшем году компании наблюдали несколько изменений в отрасли. Ниже приведены выдержки из этого отчета.

Инциденты, связанные с атаками типа «отказ в обслуживании» вновь на слуху — но теперь грамотно выполненные атаки уже угрожают доступности целых регионов. На проблему вновь нужно обращать повышенное внимание, словно мы вернулись на 5–7 лет назад в прошлое.

До прошлого года могло показаться, что проблема DDoS уже достаточно хорошо решена. Но в минувшем году мощность атак и их сложность выросли радикально. В прошлом даже мощные атаки в 100–300 Гбит/с не вызывали особой «головной боли». Сложные типы атак на протоколы прикладного уровня случались редко. В 2016-м же году мир впервые увидел атаки в 1 Тбит/с, и атаки на уровень L7 стали куда более распространенными.

Упрощение атак

Можно назвать несколько причин для этих изменений. Все эти годы эволюция ИТ шла по своего рода «пути наименьшего сопротивления». Компании боролись против времени и конкурентов, и победителем выходил тот, кто удачно и вовремя сэкономил. Чтобы написать конкурентоспособный продукт, часто приходилось пренебрегать безопасностью.

Таким же образом сформировался весь современный Интернет — создание его протоколов и спецификаций породили аналогичные проблемы.

И в прошлом году эти проблемы достигли критического уровня. Фактически мы стали свидетелями беспрецедентных изменений ситуации с безопасностью Сети в целом.

Состояние индустрии, динамика атак 2015–2016 гг.

Хорошая иллюстрация этому — возникшая осенью 2016 г. угроза Mirai, ботнета небывалой мощности, который был построен на устройствах Интернета вещей — от домашних маршрутизаторов и IP-камер до смешной «экзотики» уровня чайников с Wi-Fi. Опасность Mirai оказалась вполне реальной: на блог исследователя Брайна Кребса пришли вполне осязаемые 620 Гбит/с volumetric-атаки, а французский хостер OVH выдержал 990 Гбит/с. Сама компания Qrator Labs в минувшем году тоже встречалась с Mirai — в виде атаки на 120 Гбит/с.

Сильнее всего от Mirai пострадал DNS-провайдер Dyn, к услугам которого прибегают многие компании из списка Fortune 500. В результате атаки water torture на DNS-серверы, трафик TCP и UDP на порт 53, мощность в 1,2 Тбит/с со 100 тыс. узлов на несколько часов ушли в оффлайн крупнейшие веб-сайты мира. Защищать DNS особенно сложно. Обычно мусорный трафик приходит с десятка портов (53, 123 и так далее). В случае с DNS-сервером закрытие 53 порта означает приостановку нормальной работы сервиса.

Сам ботнет Mirai состоял из подключенных к Интернету устройств с парами логин—пароль по умолчанию и достаточно простыми уязвимостями. Аналитики полагают, что это — лишь первенец в целом поколении ботнетов на основе Интернета вещей. Даже решение проблемы одного Mirai не поможет. Злоумышленники сначала просто перебирали пароли, теперь ищут уязвимости и бэкдоры, дело доходит до изучения кода свежей прошивки устройства на предмет возможных «дырок» с последующей их эксплуатацией в течение считанных часов.

Бум стартапов и последующий рост числа подключенных устройств — это новое поле богатых возможностей, где можно создать не один еще более крупный и опасный ботнет. В 2016 г. внезапно появился считавшиеся недостижимыми атаки в 1 Тбит/с.

С какими атаками придется столкнуться, скажем, в 2019-м году?

Одновременно заметно упал уровень необходимого опыта и знаний для организации DDoS-атак. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2017 г. самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткоинов в кошельке.

Амплификация

Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объем отсылаемого «мусорного» трафика путем эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Типичный пример атаки с амплификацией — это трафик DNS-ответов на IP-адрес жертвы.

Другой вектор — Wordpress, повсеместный и функциональный движок для блогов. Среди прочих функций в этой CMS есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросом заставить уязвимый сервер запросить любую веб-страницу из Интернета. Полученный злонамеренный трафик называют Wordpress Pingback DDoS.

Атака на HTTPS не сложнее, чем на HTTP: нужно лишь указать другой протокол. Для нейтрализации же потребуется канал шириной от 20 Гбит/с, возможность обрабатывать трафик прикладного уровня на полной пропускной способности соединения и расшифровывать все TLS-соединения в реальном времени — это значительные технические требования, исполнить которые могут далеко не все. К этой комбинации факторов добавляется огромное число уязвимых серверов на Wordpress — в одной атаке можно задействовать сотни тысяч. У каждого сервера неплохое соединение и производительность, а для обычных пользователей участие в атаке незаметно.

Первое использование вектора в Qrator Labs увидели в 2015 г., но он до сих пор работает. В компании ожидают, что в дальнейшем этот тип атак вырастет по частоте и мощности. Амплификация на Wordpress Pingback или DNS — это уже отработанные примеры. Вероятно, в будущем мы увидим эксплуатацию более молодых протоколов, в первую очередь игровых.

BGP и утечки маршрутов

Отцы-основатели Интернета вряд ли могли предвидеть, что он вырастет до своих текущих объемов. Та сеть, которую они создавали, была построена на доверии, но в периоды бурного роста Интернета оно было утрачено. Протокол BGP создавали, когда общее число автономных систем (AS) считали десятками, сейчас же их более 50 тысяч.

Протокол маршрутизации BGP (Border Gateway Protocol, протокол граничного шлюза, основной протокол динамической маршрутизации — прим. ред.) появился в конце восьмидесятых как некий набросок на салфетке трех инженеров. Неудивительно, что он отвечает на вопросы ушедшей эпохи. Его логика гласит, что пакеты должны идти по лучшему из доступных каналов. Финансовых отношений организаций и политики огромных структур в нем не было.

Но в реальном мире деньги — на первом месте. Деньги отправляют трафиком из России куда-то в Европу, а затем возвращают обратно на Родину — так дешевле, чем использовать канал внутри страны. Политика не дает двум поссорившимся провайдерам обмениваться трафиком напрямую, им легче договориться с третьей стороной.

Другая проблема протокола — отсутствие встроенных механизмов проверок данных по маршрутизации. Отсюда берут корни уязвимости BGP hijacking, утечек маршрутов и зарезервированных номеров AS. Не все аномалии злонамеренны по своей природе, часто технические специалисты не до конца понимают принципы функционирования протокола. «Водительских прав» на вождение BGP не дают, штрафов нет, зато доступно большое пространство для разрушений.

Типичный пример утечек маршрутов: провайдер использует список префиксов клиентов как единственный механизм фильтрации исходящих анонсов. Вне зависимости от источника анонсов клиентские префиксы всегда будут анонсироваться по всем доступным направлениях. Пока существуют анонсы напрямую, данная проблема остается труднодетектируемой. В один момент сеть провайдера деградирует, клиенты пытаются увести анонсы и отключают BGP-сессию с проблемным провайдером. Но оператор продолжает анонсировать клиентские префиксы во всех направлениях, создавая тем самым утечки маршрутов и стягивая на свою проблемную сеть значительную часть клиентского трафика. Разумеется, так можно организовывать атаки Man in the Middle, чем некоторые и пользуются.

Для борьбы с утечками в anycast-сетях компании-авторы отчета разработали ряд поправок и представили их Инженерному совету Интернета (IETF). Изначально мы хотели понять, когда в такие аномалии попадают наши префиксы, и по чьей вине. Поскольку причиной большинства утечек оказалась неправильная настройка, мы поняли, что единственный способ решить проблему — устранить условия, в которых ошибки инженеров способны влиять на других операторов связи.

IETF разрабатывает добровольные стандарты Интернета и помогает их распространению. IETF — это не юридическое лицо, а сообщество. У такого метода организации есть множество плюсов: IETF не зависит от правовых вопросов и требований какой-либо страны, его нельзя засудить, взломать или атаковать. Но IETF не платит зарплаты, всё участие добровольно. Вся деятельность едва ли выходит на приоритет выше чем «неприбыльная». Поэтому разработка новых стандартов идет медленно.

Обсуждать или предлагать черновики стандартов может любой желающий — в IETF нет требований членства. В рабочей группе идет основной процесс. Когда достигнуто согласие об общей теме, то с авторами предложения начинают обсуждения и доработку черновика. Результат уходит директору области, цель которого — перепроверка документа. Затем документ направляют в IANA, поскольку всеми изменениями протокола управляет именно эта организация.

Если черновик Qrator Labs и Wallarm с новым расширением BGP пройдет все «круги ада», то поток утечек маршрутов иссякнет. Злонамеренные утечки никуда не уйдут, но для решения этой задачи есть лишь один вариант — постоянный мониторинг.

2017-й год

Qrator Labs и Wallarm ожидаюм более быстрое обнаружение уязвимостей у предприятий. По статистике, полученной компанией Wallarm с развернутых компанией honeypot’ов, в 2016 г. между публичным эксплойтом и его массовой эксплуатацией проходит в среднем 3 ч, а в 2013 г. этот срок составлял неделю. Злоумышленники становятся все более подготовленными и профессиональными. Ускорение продолжится, в ближайшем будущем ожидается сокращения этого временного промежутка до 2 ч. И снова лишь проактивный мониторинг способен предотвратить эту угрозу и застраховать от чудовищных последствий.

Взлом и сетевое сканирование уже достигли небывалого масштаба. В этом году все больше злоумышленников обзаведется предварительно отсканированными диапазонами IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы Wordpress». Увеличится число атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack).

В следующие один или два года можно будет увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Последние несколько лет битвы меча и щита привели к более продвинутым методам нейтрализации. Но отрасль часто забывала о legacy, и технический долг довел атаки до небывалой простоты. Начиная с этого момента, выстоять против рекордных нападений смогут лишь построенные со знанием дела геораспределённые облачные системы.

* Qrator Labs — компания, чьей основной деятельность является нейтрализации DDoS-атак.

** Wallarm с 2009 г. работает в сфере защиты данных для ряда крупных компаний в России, США, Европе.