Стан мережевої безпеки в 2016 році, докладний звіт Qrator Labs і Wallarm



«Хабраэффект» навпаки — атаки на Хабрахабр за рік (зверху) і на Гиктаймс (знизу). У лютому 2017 на Гиктаймс була нейтралізована атака в 17,5 Гбіт/с.



Як компанія, чиєю основною діяльність є нейтралізації DDoS, в минулому році ми спостерігали кілька змін у галузі.

Інциденти, пов'язані з атак типу «відмова в обслуговуванні» знову на слуху, але тепер грамотно виконані атаки вже погрожують доступності цілих регіонів. На проблему знову потрібно звертати підвищену увагу, ніби ми повернулися на 5-7 років назад у минуле.

До минулого року могло здатися, що проблема DDoS вже досить добре вирішена.

Але потужність атак і їх складність в минулому році зросли радикально. У минулому навіть потужні атаки в 100-300 Гбіт/с не викликали особливої «головного болю». Складні типи атак на протоколи прикладного рівня траплялися рідко. А в 2016 році світ вперше побачив атаки в 1 Тбіт/с, і атаки на рівень L7 стали куди більш поширеними.

Спрощення атак
Можна назвати кілька причин цих змін.

Всі ці роки еволюція інформаційних технологій йшла за свого роду «шляхом найменшого опору». Компанії боролися проти часу і конкурентів, а переможцем виходив той, хто вдало і вчасно заощадив. Щоб написати конкурентоспроможний продукт, часто доводилося нехтувати безпекою.

Таким же чином сформувався весь сучасний Інтернет — створення протоколів і специфікацій породили аналогічні проблеми.

І в минулому році ці проблеми досягли критичного рівня. Фактично ми стали свідками безпрецедентних змін ситуації з безпекою Мережі в цілому.


Динаміка зміни активності атак по індустріям за 2015 — 2016 рр…

Хороша ілюстрація цього — виникла восени 2016 року загроза Mirai, ботнету небувалої потужності, який був побудований на пристроях Інтернету речей — від домашніх маршрутизаторів і IP-камер до смішний «екзотики» рівня чайників з Wi-Fi. Небезпека Mirai виявилася цілком реальною: на блозі дослідника Брайна Кребса прийшли цілком відчутні 620 Гбіт/с volumetric-атаки, а французький хостер OVH витримав 990 Гбіт/с.

Самі ми в минулому році теж зустрічалися з Mirai — у вигляді атаки на 120 Гбіт/с.

Найсильніше від Mirai постраждав DNS-провайдер Dyn, послугами якого користуються багато компаній зі списку Fortune 500. Атака water torture на DNS-сервери, трафік TCP і UDP порт 53, потужність 1,2 Тбіт/с зі ста тисяч вузлів — і на кілька годин пішли в оффлайн найбільші веб-сайтів світу. Захищати DNS особливо складно. Зазвичай сміттєвий трафік приходить з десятка портів (53, 123 і так далі). У випадку з DNS-сервером закриття 53 порту означає припинення нормальної роботи сервісу.

Сам ботнет Mirai складався з підключених до Інтернету пристроїв з парами-логін пароль за замовчуванням і досить простими уразливими. Ми вважаємо, що це — лише первісток в цілому поколінні ботнетів на основі Інтернету речей. Навіть рішення проблеми одного Mirai не допоможе. Зловмисники спочатку просто перебирали паролі, тепер шукають уразливості і бекдори, доходить до вивчення коду свіжої прошивки пристрою на предмет можливих «дірок» з подальшою їх експлуатацією протягом лічених годин.

Бум стартапів і подальше зростання кількості підключених пристроїв — це нове поле багатих можливостей, де можна створити не один ще більш великий і небезпечний ботнет. У 2016 році раптово з'явився вважався недосяжним терабіт в секунду.

З якими атаками доведеться зіткнутися, скажімо, в 2019 році?

Одночасно помітно впав рівень необхідного досвіду і знань для організації DDoS атак. Сьогодні для здійснення вдалої атаки навіть на великі сайти і додатки досить відеоінструкції на YouTube або трохи кріптовалюти для оплати послуг сервісу типу booter. Тому в 2017 році найбільш небезпечною людиною в сфері кібербезпеки може виявитися, наприклад, звичайний підліток з парою біткойнів в гаманці.

Ампліфікація
Для збільшення потужності атак зловмисники амплифицируют атаки. Атакуючий збільшує обсяг отсылаемого «сміттєвого» трафіку шляхом експлуатації вразливостей в сторонніх сервісах, а також маскує адреси реального ботнету. Типовий приклад атаки з ампліфікацією — це трафік DNS-відповідей на IP-адресу жертви.



Інший вектор — Wordpress, повсюдний і функціональний движок для блогів. Серед інших функцій у цій CMS є функція Pingback, з допомогою якої автономні блоги обмінюються інформацією про коментарях і згадках. Уразливість в Pingback дозволяє спеціальним XML-запитом змусити уразливий сервер запросити будь-яку веб-сторінку з Інтернету. Отриманий шкідливий трафік називають Wordpress Pingback DDoS.

Атака на HTTPS не складніше, ніж на HTTP: потрібно лише вказати інший протокол. Для нейтралізації ж потрібно канал шириною від 20 Гбіт/с, можливість обробляти трафік прикладного рівня повної пропускної здатності з'єднання і розшифровувати всі TLS-з'єднання в реальному часі — значні технічні вимоги, виконати які можуть далеко не всі. До цієї комбінації факторів додається величезна кількість вразливих серверів на Wordpress — в одній атаці можна задіяти сотні тисяч. У кожного сервера непогане з'єднання і продуктивність, а участь в атаці для звичайних користувачів непомітно.

Ми побачили перше використання вектора в 2015 році, але він досі працює. Ми очікуємо, що в подальшому цей тип атак зросте в частоті і потужності. Ампліфікація на Wordpress Pingback або DNS — це вже відпрацьовані приклади. Ймовірно, в майбутньому ми побачимо експлуатацію більш молодих протоколів, в першу чергу ігрових.

BGP і витоку
Батьки-засновники Інтернету навряд чи могли передбачити, що він виросте до своїх поточних обсягів. Та мережа, яку вони створювали, була побудована на довірі. Це довіра було втрачено в періоди бурхливого зростання Інтернету. Протокол BGP створювали, коли загальне число автономних систем (AS) рахували десятками. Зараз їх понад 50 тисяч.

Протокол маршрутизації BGP з'явився в кінці вісімдесятих як якийсь начерк на серветці трьох інженерів. Не дивно, що він відповідає на запитання минулої епохи. Його логіка свідчить, що пакети повинні йти за кращого з доступних каналів. Фінансових відносин організацій і політики величезних структур в ньому не було.

Але в реальному світі гроші — на першому місці. Гроші відправляють трафік з Росії кудись в Європу, а потім повертають назад на Батьківщину — так дешевше, ніж використовувати канал всередині країни. Політика не дає двом який посварився провайдерам обмінюватися трафіком безпосередньо, їм легше домовитися з третьою стороною.

Інша проблема протоколу — відсутність вбудованих механізмів перевірок даних по маршрутизації. Звідси беруть коріння уразливості BGP hijacking, витоків маршрутів і зарезервованих номерів AS. Не всі аномалії злонамеренны за своєю природою, часто технічні фахівці не до кінця розуміють принципи функціонування протоколу. «Водійських прав на водіння BGP не дають, штрафів немає, зате є велика простір для руйнувань.

Типовий приклад витоків маршрутів: провайдер використовує список префіксів клієнтів як єдиний механізм фільтрації вихідних анонсів. Незалежно від джерела анонсів клієнтські префікси завжди будуть анонсуватися по всім доступним напрямках. Поки існують анонси безпосередньо, дана проблема залишається труднодетектируемой. В один момент мережа провайдера деградує, клієнти намагаються відвести анонси і відключають BGP-сесію з проблемним провайдером. Але оператор продовжує анонсувати клієнтські префікси у всіх напрямках, створюючи тим самим витоку маршрутів і стягуючи на свою проблемну мережа значну частину клієнтського трафіку. Зрозуміло, так можна організовувати атаки Man in the Middle, ніж деякі і користуються.

Для боротьби з витоками в anycast-мережах ми розробили ряд поправок і представили їх Інженерного раді Інтернету (IETF). Спочатку ми хотіли зрозуміти, коли в такі аномалії потрапляють наші префікси, і з чиєї вини. Оскільки причиною більшості витоків виявилася неправильна настройка, ми зрозуміли, що єдиний спосіб вирішити проблему — усунути умови, в яких помилки інженерів здатні впливати на інших операторів зв'язку.



IETF розробляє добровільні стандарти Інтернету допомагає їх поширенню. IETF — це не юридична особа, а співтовариство. У такого методу організації є безліч плюсів: IETF не залежить від правових питань і вимог якої-небудь країни, його не можна засудити, зламати або атакувати. Але IETF не платить зарплати, усі участь добровільно. Вся діяльність чи виходить на пріоритет вище, ніж «неприбуткова». Тому розробка нових стандартів йде повільно.

Обговорювати чи пропонувати чернетки стандартів може кожен бажаючий — в IETF немає вимог членства. В робочій групі йде основний процес. Коли досягнуто згоду про загальну тему, то з авторами пропозиції починають обговорення та доопрацювання чернетки. Результат йде директору області, мета якого — повторна перевірка документа. Потім документ направляють в IANA, оскільки усіма змінами протоколу керує саме ця організація.

Якщо наш чернетку з новим розширенням BGP пройде всі кола пекла, то потік витоків маршрутів вичерпається. Зловмисні витоку нікуди не підуть, але для вирішення цієї задачі є лише один варіант — постійний моніторинг.

2017 рік
Ми очікуємо більш швидке виявлення вразливостей у підприємств. За статистикою, отриманою компанією Wallarm з розгорнутих компанією honeypot'ів, в 2016 році між публічним експлойтів і його масової експлуатацією проходить в середньому 3 години. У 2013 році цей термін становив тиждень. Зловмисники стають все більш підготовленими і професійними. Прискорення триватиме, ми очікуємо скорочення цього часового проміжку до 2 годин в найближчому майбутньому. І знову лише проактивний моніторинг здатний запобігти цю загрозу і застрахувати від жахливих наслідків.

Злом і мережеве сканування вже досягли небувалого масштабу. Все більше зловмисників в цьому році обзаведуться попередньо відсканованими діапазони IP-адрес, сегментованих по використовуваних технологій і продуктів — наприклад, «всі сервери Wordpress». Збільшиться кількість атак на нові технологічні стеки: микроконтейнеры, приватні і публічні хмари (AWS, Azure, OpenStack).

В наступні один або два роки ми очікуємо побачити ядерний тип атак на провайдерів та іншу інфраструктуру, коли постраждають пов'язані автономні системи або цілі регіони. Останні кілька років битви меча і щита призвели до більш просунутих методів нейтралізації. Але галузь часто забувала про legacy, і технічний борг довів атаки до нечуваної простоти. Починаючи з цього моменту, вистояти проти рекордних нападів зможуть лише побудовані зі знанням справи гео-розподілені хмарні системи.



Представлені вище дані — лише витяги з нашого звіту про стан мережевої безпеки. В ньому ці та інші загрози описані докладно.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.