Небезпеку і безпека — гонка віртуальних озброєнь

Що з нами не так



Суть цієї реальності в тому, що в світі завжди відбуваються протилежні процеси, конкуренція або війни. Ось і зараз кібертероризм вийшов на новий рівень, пов'язаний з використанням динамічного інтернету речей.

Створення загроз і небезпеки для інформації, проти безпеки даних і нормального функціонування мережі. Останній приклад — відбулася атака на сайт Dyn, яка зачепила не тільки саму компанію-провайдера, але і всіх її клієнтів. Серед них найбільш популярні у всій мережі платформи і сервіси Amazon, Twitter, GitHub, Heroku, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud, The New York Times, Starbucks, HBO, CNN, Basecamp, PayPal, Etsy. Цей список далеко не повний. У нього потрапило більше ніж 75 учасників: інтернет-платформи новинних ресурсів, фінансових організацій, продавців послуг, соціальних мереж, сайти компаній-розробників. Приблизні втрати прирівнюються до $110 000 000 — за одну добу. Причини атаки ніхто, поки, достовірно назвати не може, а до розслідування вже приєдналися представники ФБР (США). Подія вийшла за рамки адміністрування, на «федеральний рівень. Всі, хто постраждав, будуть відновлювати репутацію. Стало зрозуміло, що ніхто не надійний настільки, наскільки це здавалося ще недавно.

Гонка кібер-озброєння відбувається, напевно, з того самого часу, як з'явилося поняття мережі. «Вдалі» приклади обговорює вся планета, про невдалі не знає ніхто, крім авторів. Останній приклад показав вразливі місця в захисті великих сайтів з ТОП-20 по всьому інтернету. Що саме послужило причиною і хто конкретно є відповідальним — завжди складні питання. У будь-якому випадку, це, як і завжди, протистояння заради демонстрації переваги. Коли з'являються таємниці, знаходяться бажаючі в них покопатися. Або навпаки. У ситуації з інтернетом боротьба йде між кібербезпеки і кіберзлочинцями. Якщо б не було погроз, то не знадобилася б захист. Лом — ломом.

Кребс і відкритий код
Якщо поглянути в суть питання, то ми побачимо, що сама по собі DDoS-атака — дуже проста дія. До розуміння цього додається те, що шкідливий код став відкритим і доступним до вивчення будь-яким бажаючим якраз перед нападом. Аналітик компанії Dyn у своєму блозі задавався питанням, як же факт публічності коду вплине на компанії. Відповідь надійшла дуже швидко. Було зовсім нескладно використовувати відкритий код для нової потужної атаки. Який там Кевін Митник і його хитромудрі алгоритми, в тому числі соціальні. Це просто направлені запити. Про них і кібербезпеки в цілому багато пише журналіст Брайан Кребс, який сам же першим і постраждав від нового слова у сфері кібертероризму — ботнету речей Mirai. Його сайт атакували близько місяця тому, про що писали на ГТ.



З атакою боровся провайдер Akamai, поки не виникла необхідність вибрати безпеку всіх інших клієнтів. Головна відмінність великої атаки від традиційних попередніх було в тому, що запити представляли собою пакети даних без застосування ампліфікації. Повну історію можна пригадати «Гиктаймсе».

Після «нападу» на сайт Брайана Кребса була зафіксована схожа атака з потужністю в два рази більшою — на цей раз постраждала майданчик французької компанії OVH. Код ботнету-агресора приблизно тоді ж виклали у відкритий доступ.

Історична довідка для любителів
На перші DDoS-атаки почали скаржитися ще в 1996 році. Однак широке увагу до проблеми виникло лише наприкінці 1999 року, коли практично одночасно були виведені з ладу веб-сервіси найбільших світових корпорацій (Amazon, Yahoo, CNN, eBay, E-Trade та інших). Приймати термінові заходи щодо вирішення проблеми стали тільки в грудні 2000 року, коли знову були здійснені впливу на сервера ключових корпорацій.
Цікава аналогова історія про техніку схоже DoS-атак
Цікавим прикладом предка DDoS-атаки була так звана полька Сяккиярви. В 1941-му році СРСР залишили бомби у Виборзі. Радіоприймач активувався з частотою кожні п'ять хвилин на 15 секунд, а бомба вибухала за умови програвання строго певної мелодії. Фіни змогли знешкодити заряди завдяки тому, що безперервно транслювали польку Сяккиярви і цим глушили будь-який інший сигнал.

А тепер повернемося в наш час.

Як це було
Компанія Dyn є великим провайдером системи доменних імен. З нею працюють більшість відомих інтернет-платформ. За твердженнями фахівців компанії перша атака почалася приблизно в 7 ранку, 21 жовтня. Більшість сайтів Східного Узбережжя були недоступні. Вже до 9:30 проблеми були усунені. Але ненадовго. Друга хвиля атаки прийшла в 11:52. Третя — близько 17 вечора.

Поки ведеться розслідування силами дослідників і уряду на офіційному рівні, публіка знайомиться з новими фактами і деталями. Ден Дрю, глава відділу безпеки Level 3 Communications сказав, що вони ідентифікували аттаки, що приходять з великої кількості різних локацій. І вони впевнені, що вже відомий ботнет Mirai залучений в ці дії.

У Ars Technica до цього додали:
«Ботнет, що складається з таких пристроїв як WiFi-роутери та відео-камери, підключені до інтернету, посилає масивне число апросов на сервера Dyn. З першого погляду запити виглядають як легітимні, тому системі Dyn було важко відрізнити їх від звичайних, нормальних користувацьких запитів. Раніше в жовтні публічно був відкритий код ботнету Mirai. Він і ще один ботнет Bashlight підірвали вразливість BusyBox».

Атаки вставляли випадкові рядки тексту перед доменними іменами, роблячи їх новими, цілком законними запитами до адрес доменних систем. Кешування результатів для прискорення відгуків неможливо через рандомних префіксів.

Повна історія атак описана на англійській мові виданням New York Times.

Здається, що стався у п'ятницю на кшталт чогось біблійному. Щось подібне попередження про те, що ніколи не можна вважати себе занадто крутим і всесильним. Керівництво компанії Dyn говорить, що «ціна свободи — вічна пильність».

Роботи вже повстали?
Питання відноситься до того, що був встановлений джерело атак — безліч «розумних пристроїв». Від радіонянь до CCTV камер і роутерів, цифрових відеорекордерів. Точні дані від дослідницького відділу компанії Flashpoint кажуть, що армія ботнету складається з IP-камер і DVR-пристроїв, вироблених китайською компанією XiongMai Technologies. Вироблені деталі продаються величезним потоком вендорів — встановити конкретного покупця важко. Однак це символічно, що китайські пристрою атакували сервера США.

Причини атак
Потужність DDoS-атак зростає. Ви пам'ятаєте, так? Спочатку Кребс (атака 612 Гб/с), пізніше OHY і ось тепер Dyn (атака у 1Тб/сек). Це відбувається нарівні з використанням незахищених і заражених пристроїв з інтернету речей, підключених до світової мережі. Величезні кількості фальшивих запитів адресуються на конкретний сервер або набір сервером і вони стають недоступними так, як не можуть впоратися з запитами або просто тому, що мережу або сервер не мають достатньої потужності, щоб їх обробити.

Ще отсюда:
«Замовні атаки на конкурентів з метою зменшити прибуток і негативно вплинути на імідж. Спосіб, в якому компанії не покращують свої позиції безпосередньо, а погіршують стан конкурентів, домагаючись мети, має місце бути, незважаючи на всю нечесність. Хоча хто може привести статистику, що було б дешевше: оплачувати потужні DDoS-атаки або інвестувати у свій розвиток. Напевно, атаки все ж дешевше, швидше і, таким чином, простіше. Один раз заплатив — репутація відновлюється довго. Чи То справа думати, вкладатися, розвиватися… — довго це».

Доступність засобів злому також відіграє істотну роль у зазначених процесах. Все, що відкрито, можна використовувати. Це легше, ніж перейнятися ідеєю і написати своє.

Людська природа творити зло

Як би пафосно це не звучало — цього не відняти. Починаючи з перших DDoS-атак, страждали в першу чергу комерційні компанії на зразок Amazon. Так що серед причин можна знайти і вічне питання: «А чому хтось вибиває скла і викручує лампочки в під'їзді?». Та тому що вони просто можуть це зробити і хочуть. Так і з атаками. Просто є 1 і 0. Є ті, хто придумують інтернет, а є ті, хто шкодить з його допомогою заради шкоди. Історія постійно повторюється, а сила — збільшується.

Якщо всі докази ведуть до росіянином — значить, це точно не вони
Досить логічно, тільки якщо не припускати що, якщо хакери використовують посил про те, що їх не запідозрять, і вони настільки дурні і залишили багато слідів, що прямо вказують на них. І зробили це навмисно, щоб додатково ще і кинути тінь на когось. Припущення про те, що сталося в п'ятницю хвильовому кибертерроре заплутані.

Авторитетні фахівці у сфері безпеки висувають свої версії. Хто може стояти за атаками: хакери Китаю, Росії, Ірану, Північної Кореї? Підтримувані урядом або незалежні? Розслідування продовжують вестися силами фахівців компанії Dyn, і державою, і вченими.

Урок витягнутий?
Речі, підключені до інтернету, зовсім не захищені (не беручи до уваги заводський пароль і логін). А речі, які постраждали від атаки раз, вже непридатні. Якщо їх ніхто не буде спеціально лагодити і від'єднувати від інтернету. А цього не буде, занадто їх багато. Тим не менш тенденция така, що інтернет речей буде неухильно зростати.

Немає коротким доменним іменам і централізації
Багато хто вважає, що потрібно вводити стандарти і на речі. Можливо, це питання варто підняти на зборах зберігачів інтернету.
Правда, малоймовірно, що всі виробники гаджетів, підключених до інтернету стануть випускати так багато прошивок і підтримувати їх постійно, просто з-за залишається низької ймовірності виявитися одними з «атакуючих».

Наскільки крихкими виявилися системи DNS. Позначився брак бекапів для веб-сайтів і компаній, які покладаються на провайдерів-аутсорсерів. CTO в Intel Security Стів Гробмана висловив побоювання, що «таке може відбутися знову через успішності попередньої спроби». Звичайно, відбудеться і буде цікавіше і/або потужніший. Він говорить, що «довіра хмарних сервісів в питанні безпеки з'єднання може бути зайвим. Ми повинні вибрати базових, привілейованих провайдерів, яким можна довірити бекапи і інші заходи безпеки у боротьбі з подібними атаками».

Більшість сервісів повинні прагнути до більш високих значень TTL. Добу — не так багато і потрібно зберегти старі IP-запити, в будь-якому випадку, протягом 24-х годин з причини кешу, який не враховує значення TTL. У такому разі сервіси не будуть залежати від того, що відбувається зі станом центрального домену. Таким чином провайдери DNS вийдуть з поля зору атакуючих.

Втрата трафіку дорівнює втраті прибутку. У разі атаки завжди повинні бути шляхи негайного обходу. Якщо нічого не буде зроблено з кардинальних заходів, то прогноз один — атаки будуть сильніше і частіше.

Інтернет надто небезпечних речей
Виходить, що інтернет речей — модна тема, яку постійно обговорюють. У реальності в ньому немає централізованої платформи, а ринок сповнений різних пристроїв вимагає оновлення програмним забезпеченням. Безпека — це не просто «фіча» начебто бібліотечного файлу. Проблеми виникають із-за того, що ніхто не оновлює прошивки.

Не дивно, що управління вирішальними структурами інтернету відбувається за допомогою методів, що нагадують посвячення в масони.

Орден Фенікса
Таємна ложа людей, які «тримають» інтернет на семи ключах…
Пройшла символічна і тим не менш важлива церемония. Яка на тлі атак Східного Узбережжя знаходить нові смисли.
Якщо ви зможете контролювати DNS, то ви зможете утримати в своїх руках весь інтернет.

Організація ICANN (Internet Corporation for Assigned Names and Numbers) збирається раз на три місяці ось уже шостий рік. Разом вони проводять надсекретний ритуал, відомий як церемонія ключів. В ході неї ключі від метафоричного замку інтернету піддаються перевірці і оновленню. Організація ICANN несе відповідальність за присвоєння числових інтернет-адрес (IP) веб-сайтів і комп'ютерів.

Для захисту DNS організація обрала сім чоловік ролі зберігачів ключів. Кожен з них отримав актуальний ключ до інтернету. Ще семеро людей стали запасними зберігачами ключів. Для проведення церемонії потрібно хоча б троє учасників зі своїми ключами. Саме стільки ключів необхідно для доступу до захисного обладнання DNS.

Фізичні ключі відкривають депозитні комірки безпеки. Всередині них знаходяться смарт ключі у вигляді карт.

Головний ключ являє собою код. Це пароль доступу до головній базі даних ICANN. Цей ключ генерує кілька ключів, які захищають окремі частини інтернету в різних місцях і використовуються різними організаціями інтернет-безпеки.

Церемонію також оточує кілька рівнів захисту безпеки. Учасники проходять через кілька зачинених дверей за допомогою кодів ключів і сканерів рук. У підсумку вони заходять в приміщення, з якого неможливо передавати сигнали електронної комунікації.

Вже завтра, 27 жовтня ICANN проведе ще одну історичну церемонію. В ході неї вперше головний ключ змінитися самостійно. В технічних термінах це означає, що зміниться пара ключів, на якій тримається вся безпека DNS. Пара називається ключ підписання кореневої зони.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.