оператор связи

Кибербезопасность 2017

author-avatar

Автор:

Должность: Шеф

30.03.2018

Экстракт-резюме из обширного отчета компании Qrator Labs об информационной и кибербезопасности в 2017 году с примерами из жизни (читайте: практики вашего интернет-провайдера) от Александра Солодовникова.

В мире информационно-телекоммуникационных технологий достаточно много проблем, которые создаются не только в России, но и по всему миру и не только усилиями властей, но и качеством подготовки людей, и уязвимостями технологий, и многими другим причинами. Мы сталкиваемся с такого рода проблемами почти каждый день. И наша задача — минимизировать риски для наших абонентов. Естественным образом, мы не сможем воздействовать на все факторы, а только лишь на некоторые. Тем не менее мы будем делать всё от нас зависящее. В то же время мы постараемся держать вас в курсе потенциальных проблем. Ибо, “предупреждён, значит вооружён”.

Итак! Заканчивается первый квартал 2018 года, соответственно стали появляться достаточно подробные аналитические отчёты за прошлый — 2017. Вот мы и решили представить вам некую выжимку из отчёта компании Qrator LabsОзнакомьтесь и учитывайте в своей деятельности.  Этот ежегодный отчёт Qrator Labs подготовлен в партнерстве с проектом Wallarm. Он охватывает проблематику кибер и информационной безопасности за 2017 год.

Жизнь не стоит на месте, в том числе и с точки зрения изменений в окружающей нас кибердействительности. Вот и прошлый год не стал исключением. Поэтому авторы  отчета обратили внимание на растущее разнообразие киберугроз в связи с  расширением набора методов атак. Никто же не стоит на месте, да?:)) Диапазон критических уязвимостей в современном WEB-пространстве стал настолько велик, что атакующая сторона имеет большие возможности выбора для того, чтобы устроить неприятности практически для любой организации. В то же время, растущее число новых инструментов управления позволяет вредоносам действовать автоматически, делая практически ненужными централизованные системы управления ими.

Сравнивая 2017 с предыдущим 2016 годом мы понимаем то, что, если 2016 был годом ботнетов (botnet) и Терабитных DDoS атак, то 2017 стал годом вымогателей (ransomware) и проблем маршрутизации (routing). Как вы наверное слышали, самыми знаменитыми вымогателями в прошлом году стали  WannaCry 2.0Petya и Bad RabbitМы о них тоже много писали в середине прошлого года в своей группе в ВК, вот один из постов про Петю, например. Кстати, прямо сейчас, пока готовили этот пост, в СМИ опубликовали информацию о новом проявлении WannaCry, на этот раз атакован американский авиагигант Boeing.

Отдельная история — инциденты с маршрутизацией, например, у Google в ЯпонииLevel 3 в СШАРостелекомом в России, да и у многих других участников рынка. Они поднимают на новый уровень и без того невероятно большие риски связанные с “человеческим фактором”, таким как неправильное управление сетями или недостаточная автоматизация процессов. “Смелые” админы, тестирующие настройки оборудования “по-живому” или уверенно отключающие важные автоматизирующие скрипты, могут “организовать” крайне тяжёлые последствия для доступности сервисов в  интернет не только для своей сети, но и гора-а-а-аздо шире. А об этом мы тоже писали здесь.

Динамика количества атак за 2016/17

Глубже в кроличью нору
В 2017-м мы стали свидетелями того, насколько быстро, всего за год (!), мир ИТ перешёл из одного качественного состояния в другое.

Письма злодеев, угрожающих DDoS атаками, массово рассылаемые тысячам компаний, провоцируют панику. А паника не способствует защите ресурсов и не помогает в долгосрочном планировании кибербезопасности. Так что к угрозам нужно готовиться заранее, до их реального появления. Пример? Вот, пожалуйста. Многие устройства из мира Интернета вещей (IoT) могут быть взломаны при помощи самых простых методов, типа использования уязвимостей WEB-интерфейсов. Почти все такие уязвимости являются критическими, но возможности поставщиков ограничены поскольку отсутствуют средства для быстрой доставки обновлений прошивок. В нашей практике, например,  мы столкнулись с взломом систем видеорегистрации и последующим их участием в бот-сетях. И всё это не где-то, а у наших абонентов! В этом случае работали обе проблемы и уязвимость прошивки и “человеческий фактор” в лице установщика видеорегистратора.

Этот подвид атак ещё не стал массовым, но количество взломов устройств IoT непрерывно растёт с тех пор, как набор инструментов под названием Mirai стал стандартом в развёртывании бот-сетей. Конечно, были и более ранние бот-сети и разрабатывались они самостоятельно, но и в Mirai использованы некоторые элементы их идеологии: такая вот преемственность поколений.

Количество атак на сегмент пользователей

В принципе, многие бот-сети легко предсказуемы, например BlueBorn. Понятно, что чем  больше количество участников, а соответственно и масштаб, тем более бот-сети опасны и устойчивы. Кстати, компьютеры и/или другие устройства некоторых из наших абонентов поражены и являются участниками бот-сетей. Мы предупреждаем и пишем об этом, но не всегда встречаем понимание, а жаль. Если же заглянуть в недалёкое будущее, учитывая возможность распространения червей через WiFi, можно предположить вероятность роста количества бот-сетей состоящих из “маленьких” устройств, таких как например, “умные часы” (smartwatch). Каждый из таких девайсов не создаст много трафика, “но если в кучу сгрудились малые…..”

Так что ожидаем появления бот-сетей, насчитывающих очень большое количество участников и способных перегрузить любые сети без использования каких-либо усиливающих DDoS протоколов (для справки: усиливающие протоколы в комбинации с подменой IP-адреса позволяют значительно быстрее загрузить всю доступную пользователю полосу. Наиболее значимыми усилителями DDoS считаются протоколы ICMP, DNS and NTP).

Итак, если вы — предприятие и вы подключены выделенным каналом L2 (Ethernet, к примеру) к провайдеру, ждите, что рано или поздно какое-то устройство в вашей сети будет наверняка взломано.И хорошо, если вы станете маааленьким источником, а если мишенью или источником но немаленьким….

Зафиксированные в 2017 году DDoS атаки, произведённые на коммерческой основе, были достаточно сложными с точки зрения техники организации. Атакующей стороне удавалось обходить какие-то средства защиты, какие-то взламывать, но в конечном итоге, злоумышленники достигали своей цели.

В целом, 2017 доказал нам, что бот-сети располагающиеся на компьютерах с Windows не исчезнут. А разрушительный эффект воздействия WannaCry, Petya и  NotPetya может быть воспроизведён посредством DDoS атаки, если “правильное” программное обеспечение будет управлять трафиком, инициированным даже всего одним компьютером в сети с приличной пропускной способностью. Еще один пример из жизни: мы это регулярно видим у одного из наших абонентов. Он периодически начинает генерировать трафик во всю ширину предоставленного канала всего лишь с одной машины. Этот канал всего 100 Мбит/с, но если снять ограничение, то будет и 1Гбит/с, как я понимаю. На наш взгляд, бот-сети становятся всё больше и больше. Вероятно, мы находимся на пороге некоего прорыва, когда новые версии вредоносных сетей заполонят весь интернет.

Высокие скорости атак, производимых расположенными на Windows-машинах бот-сетями, превратили позапрошлогоднюю шутку о DDoS,  забивающей всю пропускную способность сети в 1 Терабит/с в грустную реальность, в которую хочешь-не хочешь, а приходится верить. А то, что сотни Гигабитных атак станут реальностью в 2018 году, так это и к бабке не ходи. В то же время, всё, что может быть убито на уровне приложений (L7), умрёт раньше, чем скорость вторжения достигнет таких  величин.

Количество атак в зависимости от занимаемой полосы пропускания

Унаследованная инфраструтура
В 2017 году инциденты с маршрутизацией стали такой же обыденностью, какой были ботнеты в предыдущем. Успешные DDoS атаки могут поражать что-то конкретное либо это WEB-ресурсы, либо приложения. Они могут быть очень мощными и нацеливаться на популярные социальные сети, например. Могут быть опасными даже для целых ИТ-экосистем, нарушая взаимодействие элементов. Могут поражать инфраструктуры хостеров и провайдеров: так, нас атакуют ежедневно, было несколько достаточно мощных атак. Но как мы увидели в прошлом году, отказы систем маршрутизации куда опаснее, они бывают и вовсе ошеломительными и выводят из строя сети целых стран.

Сетевой инцидент, когда Google “положил” Японский интернет, был вероятно наиболее тяжёлым примером того, что может случиться вследствие ошибки в конфигурации BGP у одного, правда очень большого, контент-провайдера.

В случае BGP нужно быть чрезвычайно аккуратными, потому что разрушения могут быть огромными. Поскольку BGP управляет всем трафиком от одной Автономной Системы (AS) к другим, мы говорим не просто об увеличении задержки для пользователей, а о гораздо большем, о возможности проведения “Атаки посредника” (Man in The Middle или MITM) на зашифрованный трафик, например. Кроме того, такие инциденты грозят потерей связности для миллионов пользователей и даже целых наций.

Да, мы всё ещё живём в мире открытых сетей, но это всё больше представляется роскошью, а не должным. Тот факт, что кто угодно всё ещё может получить статус Локального интернет-регистратора (LIR) и собственную AS, а следовательно стать оператором, замечателен и заслуживает удивления.

Из-за этого “кто угодно” человеческий фактор был, есть и будет наиболее уязвимой точкой в любой компании или интернет-сервисе. Но в то же время человек является также и наиболее сильной единицей защиты, поскольку именно люди делают всю работу и всё находится в их руках. Известные технологические проблемы также тесно связаны с человеком, поскольку код пишут тоже люди (пока?).  В 2017 году стало особенно заметно, как пугающе легко разрушить весь сетевой мир. Поэтому всё наше внимание было направлено на проблемы маршрутизации, а возможность успешно перехватить любой трафик для будущих или даже текущих потребностей делает весьма вероятными злоупотребления с BGP. На днях Роскомнадзор опубликовал правила блокировки трафика для операторов связи, среди которых есть и метод “Black Hole”. А это именно оно самое, т.е. злоупотребление BGP.

Уязвимости и Интранет

А ещё 2017 был годом большого количества взломов. Вот прямо от эпидемии шифровальщиков и до утечек данных (Vault 7 и The Shadow Brokers), и это в дополнение к серьёзным сливам информации из-за “человеческого фактора”, вот только два примера Uber и Equifax,  на это мы тоже обращали ваше внимание.

Уязвимо всё!… Поэтому на самом деле речь должна идти не о том “что наиболее уязвимо”, а о том “где уязвимости могут быть найдены раньше” и, главное, кем. Где есть проблемы, там обязательно будут попытки ими воспользоваться. Более того, сейчас существуют много широко распространённых технологий, в которых проблемы могут воспроизводиться. Код пишут люди, поэтому закрывая одни дыры, они зачастую открывают другие, а злоумышленники следят за этими действиями весьма внимательно. Эти ребята знают, что чем более заметным является вендор, тем больше времени у него занимает разработка и доставка пользователям исправлений, таковы бизнес-процессы, однако.

И популярные нынче “Облака” представляют собой системы, которые наследуют проблемы возникшие в прошлых поколениях технологий, да и человеки никуда не делись. Утечки Uber и OneLogin ведь не с неба свалились, они начались с того, что ключи к сервисам Amazone почему-то были размещены в Github вместе с программным кодом.

Ещё одной серьёзной проблемой стала ситуация с MongoDBCassandraMemcached и другими системами управления базами данных. Если администраторы забывают установить правильный уровень безопасности, организаторы атак быстро находят эту дыру. Такое произошло с виртуальной клавиатурой для смартфонов Ai.Type, когда из-за “забывчивости” были утеряны аккаунты 31 млн. пользователей, а это почти keylogger.

2017 показал, что множество различных устройств могут быть уязвимы и подвержены огромному количеству кибератак. Но мы увидим гораздо больше инцидентов с участием устаревшего оборудования и программного обеспечения в перспективе.

Атаки, ориентированные на смартфоны, могут совершаться либо при помощи вредоносных приложений в магазинах приложений, либо с использованием уязвимостей. Расширения браузеров, сетевые устройства (достаточно сильно пострадавшие за последние три года), а также всякие прочие девайсы должны тестироваться на устойчивость к атакам снова и снова. И всё равно, на каком-то этапе они могут не устоять.

Главной же целью создания решений для смягчения DDoS атак является защита, которая должна стоить дешевле нападения. Получение финансовых преимуществ над атакующими критически важно. Но это очень трудно по двум причинам:

  • Беспечное отношение к основным проблемам информационной безопасности и угрозам;
  • Новости, влияющие на жизнь компаний и угрожающие рынку информационной безопасности;


Продолжительность атак в минутах

 Криптомания

А ещё 2017 году появилась совсем новая ниша — взломы ICO. Тенденция атаковать компании в наиболее стрессовые для них моменты распространилась и на различные стартапы в области криптовалют. Это происходит по-разному: либо в форме взлома, либо в форме DDoS, а зачастую и в виде комбинации этих способов. И если рынок ICO будет продолжать свой рост, то можно ожидать и роста количества атак тоже.

ICO представляет интерес и для взломщиков и для тех, кто пытается обеспечить безопасность, потому эта абсолютно новая тема появилась прямо на наших глазах. Здесь крутится много денег, а техническая сторона достаточно слаба. ICO и криптовалюты ломают непрерывно. Майнинговые фермы биткоина подвергаются DDoS в самые последние секунды вычисления каждого блока, чтобы создать дополнительные ветви. Также под огнём находятся и “облачные кошельки”, и мы видели несколько серьёзных взломов в течение года. А майнинг криптовалют на чужих машинах стал практически общим местом и может быть довольно выгодным делом даже для таких зомби-машин как старые инфицированные компьютеры и сервера.
Количество сетевых атак на инфраструктуру (типа DDoS на майнинговые пулы в конце вычисления каждого блока) да и на сами криптовалюты будет заметно расти. Каждая сложная технология имеет какую-то основу и если в ней есть изъян, счастье не будет долгим.

Еще несколько слов
     API! API становятся всё более и более важными для многих значимых потребителей решений в сфере кибербезопасности. Эти потребители профессиональны и хотят больше контроля над очисткой и фильтрацией трафика. И разработчикам не нужно это недооценивать.

Возможно наиболее заметным явлением становятся не атаки сами по себе, а прогресс, который совершили поставщики и то, что они теперь не только конкурируют между собой, но и начали взаимодействовать и обмениваться опытом в целях смягчения воздействия бот-сетей. Когда угрозы  нависли над целыми отраслями, и стало ясно, что это не просто “естественный отбор” компаний, тогда взаимодействие пошло и пошло на разных уровнях (формальном, неформальном, B2G и B2C). Результатом стало успешное сдерживание бот-сетей в 2017 году.