С первой атаки в 1999 году ДДоС эволюционировал. Мощностью в сотни гигабит в секунду никого не удивишь, на подходе — терабиты, которые генерируют видеокамеры на улицах, видеорегистраторы в машинах и роутеры в сети. Хакеры захватывают Интернет вещей, чтобы решать конкретные бизнес-задачи с пользой для заказчиков и вредом для всех остальных.
Ничего личного, просто бизнес
ДДоС — частый гость в бизнесе: 77% российских компаний атаковали несколько раз в год, а 37% — четыре и более. Такая пугающая методичность хакеров говорит о плановой работе.
Как и везде, среди хакеров есть новички и опытные игроки. С ДДоС-атаками даже непрофессиональные киберпреступники доставляют неприятности. Они угрожают атакой и вымогают деньги. Если угрозы не работают, проводят демонстративную атаку, во время которой пробуют внедрить вредоноса-криптолокера. Мы писали об этом раньше.
Необязательно организовывать мощную атаку, можно ограничиться назойливым присутствием и малыми силами. Представьте, что вам нужно сосредоточиться на работе, но оповещения от новых абонентов приходят на телефон каждую минуту. Сколько ни вноси в черный список, поработать не получится.
Профессиональные хакеры организуют мощные атаки. Охотятся за пользовательскими данными, коммерческими секретами, помогают устранить конкурентов и выйти на рынок.
Никто не может чувствовать себя в безопасности
В России свою экспертизу и серьезность хакеры продемонстрировали в марте 2014 года, когда в течение двух недель поочередно атаковали сайт Кремля, Центробанка, Альфа-банка, ВТБ24 и Тинькофф-банка.
Группировка хактивистов «кибервоины Изз ад-Дин аль-Кассама» организовала «операцию Абабиль» — наиболее продолжительную в 2013 году атаку на 15 крупнейших американских банков. Сайты банков не работали 249 часов за полтора месяца, хотя год назад за тот же период простаивали 140 часов.
Нападающие комбинировали атаки на инфраструктуру и приложения. Основной трафик шел с серверов, на которых стояли скомпрометированные пхп-приложения. В организованной хакерами сети было много зараженных через уязвимости в Джумле или плагине ТимТомб машин.
В 2013 году мощности в 60–100 Гб/с хватало для успешных атак на банки. Хотя эксперты считают, что это не было пределом, и хакеры могли задействовать дополнительный трафик для усиления.
Растет бизнес — растут атаки
За два года мощность атак выросла в пять раз до 500 Гб/с. Хакеры воздействуют по нескольким векторам: на приложения, инфраструктуру и сервисы компании. Разветвленная структура предприятия оставляет лазейки, чем и пользуются преступники. Одновременное наступление по всем фронтам не дает сотрудникам ИБ сосредоточиться и отвлекает внимание.
Пока служба безопасности борется с нелегитимным трафиком, в корпоративную сеть проникает вредонос через уязвимости в пхп, Вордпрессе или Джумле. Очень популярны sql-инъекции в базу из-за прямого доступа к данным в случае успеха. Для скачивания базы хватит нескольких часов, но киберпреступники берут с запасом — ДДоС-атака может затянуться на неделю.
Если лазейки не устранить, атака повторяется. Некоторые сайты атакуют непрерывно. Например, по статистике Лаборатории Касперского, один сайт выдержал 21 атаку за три месяца. Растёт и ущерб от нападений.
На ликвидацию последствий современной ДДоС-атаки организации тратят до 6,5 тысяч долларов в час — без учета упущенной выгоды за время простоя.
Крупные неприятности из-за мелочей
Появляется больше устройств с доступом к сети. Каждое устройство — потенциальная частичка разрастающихся ботнет-сетей. Ботнет-вирусы живут несколько лет, и их крайне тяжело обнаружить. Достаточно вспомнить вредоноса с атомной станции Гундремминген. Прогресс отучает удивляться краже паролей от сети кофемашинами и нападениям 25 000 видеокамер на ювелирные салоны.
Самые громкие ДДоС-атаки в 2016 году связаны с Интернетом вещей. Сеть из 152 000 камер обрушилась на французского провайдера, о чем руководитель сообщил в Твиттере. Камеры видеонаблюдения и видеорегистраторы генерировали пиковую мощность до 1,5 Тб/с при помощи tcp/ack, tcp/ack+psh и tcp/syn.
Миллионы веб-камер с уязвимостью доступны через онлайн-сервис «Шодан». Проблемы возникают из-за передачи видео по потоковому протоколу реального времени по 554 порту без должной аутентификации.
В сентябре 2016 года хакеры отомстили журналисту Брайану Кребсу через атаку на сайт. Когда мощность атаки достигла 620 Гб/с, провайдер перестал справляться и оставил журналиста без поддержки из-за угрозы ухода в оффлайн других клиентов компании. Источник атаки — многочисленные роутеры, камеры и видеорегистраторы.
Производители отказываются комментировать происходящее, и упрекать их сложно. Технически реализовать обновление огромного количества устройств — дорого. Покупателя интересует цена, а не угрозы безопасности. Поэтому рынок идет на поводу у спроса.
Один час простоя обходится компаниям в 40 тысяч долларов. Средняя атака длится 6–24 часа, убытки доходят до 500 тысяч долларов.
Масштаб ДДоС-атак — результат халатного отношения каждого пользователя
Безопасность — стратегическая задача, забывать о которой нельзя. Риск и цена ошибки слишком велики. На растущем рынке Интернета вещей — тысячи устройств с одинаковой, зачастую урезанной ОС и уязвимостями, которые тяжело патчить. Даже без усиления трафика у киберпреступников практически неограниченные вычислительные мощности.
Опрос 270 компаний в Канаде и США показал, что статистика неутешительная: из 45% атакованных организаций 91% сталкивался с угрозой раз в год, и в 52% случаев переустанавливали ПО или меняли ИТ-оборудование.
Кроме этого теряли:
51% — прибыль,
43% — доверие клиентов,
33% — персональные данные клиентов
26% — финансовую информацию,
19% — интеллектуальную собственность.
Чтобы не попасть в эту статистику, настройте фильтрацию трафика, зарезервируйте основные каналы. Объединитесь с провайдером, чтобы, в случае чего, нелегитимный трафик отсекался до попадания к вам. У другого провайдера храните бэкапы. Чтобы распознать мусорный трафик и отсечь без потери клиентов, установите профессиональную систему анализа.
Дальнейшие действия зависят от потребностей, сетевой инфраструктуры и уровня защищенности компании. Универсальных решений здесь нет, поэтому с каждым клиентом мы проводим аудит, вместе определяем критически важные для бизнеса данные и подбираем решение.
Чтобы справляться с такими масштабными угрозами, нужно объединяться и помогать друг другу.
***
Буквально на днях я обсуждал вопросы безопасности с одним клиентом, и в разговоре он спросил: меня раньше никогда не атаковали, почему станут теперь?
К сожалению, ощущение собственной защищенности — это очень распространенная иллюзия. Во-первых, отсутствие атак в прошлом не гарантирует безопасность в будущем. Во-вторых, хотим мы или нет, мы перешли в цифровую эру. Со своими опасностями. Помните, был такой вирус — Win95.CIH? Сейчас его уже забыли, а в 1998 году он нанес ущерб около 600 000 компьютерам. ДДоС же принципиально другой вид угрозы — он будет наращивать масштабы и не уйдет в забвение в обозримом будущем.
Конечно, не всех атакуют круглыми сутками. Но я думаю, что с таким быстрым ростом мощностей, как мы видим в последнее время, очень скоро проверке на прочность будет подвергнут каждый.
Владимир Ласовский,
менеджер по сетевым продуктам
We are a bunch of people sharing the latest news with our customers and users. We love to write about technologies that are changing our daily life for better. Have a question? Feel free to drop a line to one of us — yuliya.bibisheva@orange.com