Rambler's Top100
 
 
Все новости Новости отрасли

Интернет вещей пошел в DDoS-атаку

21 апреля 2017

2016 стал годом фундаментальных изменений в сфере сетевой безопасности: в дело вступили подключенные устройства. И это только начало, предупреждают аналитики.

В отчете "Состояние сетевой безопасности в 2016 году ", подготовленном компаниями Qrator и Wallarm, особое внимание уделяется "новой реальности" DDoS-атак, в которых теперь участвуют подключенные устройства.

Исследователи отмечают, что 2016 год можно назвать "точкой отсчета" новой реальности, в которой оказался без преувеличения весь мир:

1. Входа в мир взломов и атак упростился до уровня руководств и пошаговых инструкций

Сегодня стать киберзлоумышленником стало проще:  уровень необходимых знаний и технического опыта упал. На данный момент достаточно обычного видеоруководства на YouTube или оплачиваемого валютой Bitcoin сервиса вида stresser или booter, чтобы существить успешную атаку даже на крупные сайты и приложения. В предыдущие годы подобного не наблюдалось.

2. Были проведены первые DDoS-атаки с помощью устройств, подключенных к сети

Брайан Кребс  — популярный блогер в сфере кибербезопасности — первым рассказал об эволюции ботнета  Mirai  и описал подробности отдельных проблем безопасности и уязвимостей.  За то, что он не один год работал журналистом сферы информационной безопасности и на его счету громкие  расследования компьютерных взломов и путей,  которые приводят людей к киберпреступлениям, Кребса был выбран целью атаки. Компания  Akamai, которая размещала блог Кребса pro bono, на безвозмездной основе ради общественного блага,  не смогла выдержать рекордную атаку в  620 Гбит/с ботнетом Mirai и отказалась от поддержания ресурса исследователя. Однако,  как говорит сам Брайан, в Интернете цензура не сработает. Сегодня он продолжает расследовать криминальную активность в Сети.

3. Уязвимости в инфраструктуре, атаки с высоким уровнем косвенного урона
В конце  2016 года мы наблюдали первый, но не последний ботнет на основе Интернета вещей  —  Mirai. Сотни тысяч маршрутизаторов, камер, серверов  DVR и других подключённых устройств вплоть до кофеварок с  Wi-Fi  создали самый заметный медиаповод года в сообществе информационной безопасности: они атаковали  Dyn, одного из крупнейших провайд еров  DNS-серверов в мире. Быстрая и беспощадная атака  —  и одни из самых посещаемых веб-сайтов в мире часами не открывались у пользователей,  что показало фантастический косвенный урон хорошо продуманной атаки на инфраструктуру.  До этого  Mirai  поднял планку возможной угрозы атакой в 1 Тбит/с  на  OVH,  французского облачного хостинг-провайдера, одного из крупнейших в своём классе.

Перечисленные три события не представляют даже половину того,  что произошло в прошлом году.  Но они помогают отметить значительное изменение в мире  DDoS и, в целом,  сетевых атак, которые были предсказаны, проанализированы и зарегистрированы компаниями Qrator Labs и  Wallarm.

Случаи Брайана Кребса, OVH и  Dyn ознаменовали начало новой эры в  DDoS.  В то же время, они обозначили прибытие эпохи Интернета вещей.  Текущее число устройств в последнем, вероятно, находится где-то между оценкой фирмы  Gartner  в  6,5 миллиардов  (среди них нет компьютеров,  планшетов и смартфонов),  оценкой компании  IDC в 9 миллиардов  (вновь без упомянутых устройств) и прикидкой  IHS в  17,6 миллиардов  (здесь подсчитаны любые типы устройств). Считается, что к  2020 году к Интернету будут подключены от  20 до  30  миллиардов устройств.

Растёт не только число атак, но и их качество. Повзрослели как методы защиты  DNS,  так и векторы и инструменты, используемые атакующими.  Показали свою эффективность атаки вида  no such domain (NXDOMAIN), нацеленные на быстрое истощение производительности кэша. Mirai  атаковал свои целис помощью так называемых  «пыток водой» (DNS Water Torture  Attack). Подобный тип атак отличается от обычных отражения и амплификации DNS-запросов и позволяет рекурсивному  DNS-серверу атаковать целевой авторитетный.

От DDoS сейчас страдают все отрасли — Интернет сейчас везде

В  2016 году атаки и другие инциденты , связанные с  DDoS,  вернулись в повестку дня в полной мере, хотя ранее некоторым участникам рынка казалось,  что проблема  DDoS-атак в целом решена.  Но она осталась,  поскольку в прошлом самую опасную разновидность атак  — с амплификацией  —  для большого провайдера было легко устранить даже в тех случаях, когда мощность начинала доходить до чисел в  100—300  Гбит/с. В дополнение к этому,  другие сложные типы атак  (к примеру , L7) в последние годы случались достаточно редко. 

Один факт был наиболее интересен:  во всех этих устройствах  —  веб- камерах , серверах видеозаписи,  некоторых устройствах с  SIM-картами —  были уязвимости , которыми воспользовались в таком крупном масштабе за такие короткие сроки.  Конец  2016  года оказался необычным периодом времени,  когда DDoS-риски опять оказались на первых полосах всех СМИ.  Сейчас техническим специалистам вновь нужно обращать пристальное внимание на защиту от DDoS,  словно мы вернулись на  5, 6  или  7
лет назад.

"В последние годы мы регистрировали линейный рост пиковой мощности  DDoS,  а в 2016 году рост атак обусловлен тем, на что они направлены", - отмечено в отчете.  Теперь можно всерьёз обсуждать технические возможности для атак, которые опасны для доступности целых регионов мира,  которые грозят самому функционированию крупных провайдеров.  

В целом, по оценке аналитиков, в нынешнем году (и вообще в ближайшем будущем) улучшения ситуации ждать не стоит.  Во-первых, потому, что в погоне за ценой часто жертвуют в первую очередь именно безопасностью, чтобы получить желаемый продукт с конкурентоспособной стоимостью. 

Кроме того, по мнению авторов отчета, из-за бума стартапов будет ещё больше компаний,  которые "срезают дорогу на пути к финишной прямой".  Это затронет Интернет в целом.

Связанная с  Mirai  угроза  —  это не что -то уникальное.  В  Qrator Labs  уверены, что  Mirai —  это лишь первенец в целом поколении ботнетов Интернета вещей, которые мы увидим в 2017 году. Сейчас не поможет даже решение проблемы  Mirai, потому что изменения фундаментальны.

При обзоре интернет-инфраструктуры часто можно видеть отсутствие даже жизненно необходимых мер по обеспечению безопасности. Сегодня подобного достаточно, чтобы появились лица, которым хочется извлечь из существующих багов и уязвимостей выгоду.
 
"Атаки на инфраструктуру стали явью, поскольку технические специалисты и люди вообще боятся того, что страшно, а не того, что опасно", - отмечают авторы отчета. Последние несколько лет атаки с помощью  HTTP  были самыми частыми.  Постепенно протокол стал самым защищённым.  Сейчас все либо умеют отражать атаки,  либо хотя бы знают, у кого просить помощи. Инфраструктура (к примеру, DNS) стала заметной целью кибератак лишь недавно, и в целом она всё ещё небезопасна.

Обычно при нейтрализации  HTTP-атаки с амплификацией проводится анализ портов источников трафика (53, 123, ...).  Чаще всего в атаке используются лишь 10  из них, как правило,  в настоящем трафике их нет. В ситуации с  DNS-сервером ситуация развивается наоборот: 53  порт заблокировать нельзя, иначе возникнут проблемы с нормальной работой сервиса. Поэтому атаки с  DNS-амплификацией нужно обрабатывать. Но в реальном мире, где для этого нужны аплинки в 40  Гбит/с и  значительные вычислительные мощности , на подобное редко решаются даже крупнейшие компании.  У них нет необходимого канала и нет мощностей для обработки пакетов в пиковой пропускной способности физического соединения, поскольку  DNS  этого не требует. Но даже если бы такая возможность у них была, это не сыграло бы существенной роли, поскольку ботнет типа  Mirai  может создавать любой тип мусорного трафика, не ограничиваясь амплифицированным серверами  DNS. При этом трафик будет выглядеть правдоподобно.  Единственная причина подобной эволюции —  то, что злоумышленники нашли слабые места в инфраструктуре. 
 
Итак, 2016 год показал,  что хорошо направленная атака на инфраструктуру может нанести огромный косвенный урон всем связанным приложениям и сервисам , и в целом компаниям,  зависящим от любых из этих технологий.

Инфраструктура Интернета хрупка и нуждается в обновлении

Протокол BGP (Border Gateway Protocol, протокол граничного шлюза), используемый появился в конце 80-х годов ХХ века. Он был чрезвычайно удобен для своего времени. Логика BGP гласит «выбери лучший канал из доступных»,  но это может отличаться
от логики (в первую очередь - финансовой) организаций,  которые управляют границами этих каналов.  Если финансово более выгодно посылать трафик из одной страны в другую ,  а затем обратно,  любой провайдер без особых раздумий так и сделает.  Это
не только означает рост времени прохождения пакетов,  но и упущенную возможность для лучших отношений между провайдерами одной страны.  С хорошо выстроенным пирингом многие проблемы можно решать напрямую, а не через третьих лиц. Но в игру вновь вступает политика, так что между отдельными провайдерами прямого пиринга не было,  нет и не будет.

Проблема слабо организованной инфраструктуры возникла не в  2016 году,  она была очевидна и ранее. Ключевая интернет- инфраструктура была и всегда будет основана на доверии,  но его не заслуживает большое количество людей в отрасли,  которые работают легкомысленно и небрежно.

Инфраструктура Интернета не получает достаточного финансирования.  Текущее снабжение  не соответствует современному темпу развития Сети.

Если говорить о  BGP, то сейчас основная проблема  — отсутствие встроенных проверок данных по маршрутизации , которыми управляет протокол.  Вся информация по маршрутизации не требует никаких подтверждений.  Отсюда и возникают все проблемы BGP. В протоколе множество  «дыр», которые допускают создание ошибок или вообще использование злоумышленниками и преступниками. BGP не проверяет маршрут и не задаётся вопросом, существует ли этот маршрут и не подделан ли он. Протокол лишь передаёт данные по маршрутизации.

При этом проблемы маршрутизации  BGP  тяжело искать и решать, поскольку распространение маршрутов находится вне зоны контроля одного провайдера.

Управление облаками


Аналитики отмечают, что вопрос "Почему облака никогда не «падают»?" не вполне справедлив. Правильно говорить о том, что облака пока что не «падали»,  поскольку в случае чрезвычайной ситуации клиент облака будет отключён раньше, чем появятся серьёзные проблемы.

Даже в тех случаях,  когда облако выглядит достаточно мощным,  чтобы найти ресурсы для обработки и зловредного трафика,  рано или поздно клиента всё равно отключат,  когда счёт дорастёт до слишком крупных размеров.

Сейчас в рамках  DDoS вида «бей и беги» наблюдаются в основном короткие атаки. Однако в следующем году среднее время атаки может вырасти ,  и это станет заметной проблемой для интернет-компаний по всему миру. Некоторые облачные платформы обещают не требовать оплату за зловредный трафик от  DDoS.  Но обычно подобное относится лишь к  volumetric-атакам.  Сложная атака прикладного уровня почти неотличима от настоящего трафика,  и за неё придётся заплатить. Защита от  DDoS  опять же оказывается не бесплатной услугой.

Интернет Небезопасных Вещей


В период до  2016  года Qrator протестировал в  Wallarm несколько устройств от крупных производителей. Аналитики пришли к неутешительному выводу:  почти все они были уязвимы. Тогда эксперты оценили ситуацию в мировых масштабах. На тот период нам было ясно,  что вскоре с Интернетом вещей будут проблемы с далекоидущими последствиями.  В  2016 году  эти предсказания сбылись в полной мере в виде  Mirai  и других связанных с  IoT ботнетов,  которые были построены из устройств с паролями и логинами по умолчанию,  устройств,  видных всему остальному миру  — IP- камер, к примеру.  После входа в устройство есть выбор:  либо перезагрузить его,  либо найти уязвимость в исполнении кода (инъекции тоже эффективны).  Подобное можно осуществить на сетевом уровне. Нужно упомянуть,  что уязвим каждый тип аппаратного обеспечения,  проблема не сужается до лишь  IP-камер,  маршрутизаторов и DVR.

Модные технологии без причины и понимания

Другая важная часть отрасли  —  это компании ,  которые разворачивают корпоративные (локальные ) облака для собственных нужд и которым сильно не хватает техник безопасности и практики защиты.

Технологический стэк растёт быстро,  скоро появятся области программирования,  где для обеспечения работы систем код писать не нужно. Регулярно выходят новые инструменты, но вопросы о безопасности и о потенциальных уязвимостях не задаются.  Если оно работает,  если оно облегчает жизнь разработчика  —  это будут употреблять в реальных решениях.  Подобное отношение  —  ещё одна серьёзная проблема.  Общая тенденция к упрощению разработки лишь усиливает проблему.  

Технологический стэк становится всё более и более сложным для людей,  которые быстро входят в отрасль программирования.

Чего ждать ?

1 Тбит/с казался недостижимым в ближайшие годы, но он уже здесь, отмечают в Qrator. "С чем придётся бороться, скажем,  в  2019  году?  Никто не может угадать, и никто не выйдет с этого поля боя живым,  за исключением географически распределённых облачных сервисов, построенных обдуманно и с осознанным расчётом", - говорят аналитики.

Сейчас пропускная способность в сотни гигабит в секунду становится новой нормой,  а  Mirai — лишь первая подобная атака.

В  2017 году, по прогнозам экспертов, можно ожидать более мощные атаки, целью которых являются те же векторы ,  но с новыми беспрецедентными мощностями,  поскольку амплификация и амплификаторы становятся новым поколением неуправляемой угрозы

Будут быстрее находиться уязвимости у бизнесов,  которые стремятся развивать свои продукты с более высокой скоростью, переходя на гибкие подходы к разработке и непрерывную интеграцию программного кода.  Для достижения проактивной защиты компаниям придется встраивать практики информационной безопасности непосредственно в процесс разработки и выкладки кода.

Взломы и сетевое сканирование достигнут массового масштаба. Продолжит уменьшаться период времени между первыми сообщениями о уязвимости и её широким использованием во взломах.  У еще большего количества злоумышленников будут базы с предварительно отсканированными диапазонами IP-адресов, сегментированными по используемым технологиям и конкретных продуктов, например , «все серверы с WordPress».

Самыми уязвимыми устройствами Интернета вещей будут камеры видеонаблюдения, маршрутизаторы и  NAS.

Увеличится число атак на новые технологические стеки, такие как микроконтейнеры,  публичные и приватные облака  (AWS, Azure, OpenStack). Стремительное распространение новых облачных сервисов и пока не устоявшиеся лучшие практики
по обеспечению безопасности приведут к появлению проблем из-за неправильной конфигурации.

"Киберпреступники используют то, что работает,  и бесстрашно преследуют свою цель,  - отмечают аналитики. - Для них играют роль всего два фактора:  нужное время и финансовый исход атаки  (с учётом «расхода» и  «дохода»). "

По мнению аналитиков, в ближайшие год-два можно ожидать ядерный тип атак на провайдеров и другую инфраструктуру. В этих ситуациях сети, автономные системы или целые регионы могут пострадать или даже испытать недоступность.

Последние несколько лет продолжающейся битвы меча и щита привели нас к более сложным и продвинутым техникам нейтрализации атак.  Но отрасль часто забывала о  legacy,  о количестве систематических ,  хронических проблем Интернета, которые довели использование уязвимостей, взломы,  перегрузку сетей и прочие всевозможные атаки до небывалой простоты.

«В 2017 году самым опасным человеком для сферы информационных технологий может оказаться подросток лет  18 -19 с улыбкой на лице и парой биткоинов на электронном кошельке, проживающий где угодно на земном шаре. Не сыграет роли внутренняя или внешняя политика могучих держав», - предупреждают аналитики.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.