Эксперты Qrator Labs и Positive Technologies поделились данными о типовых проблемах в сфере сетевой безопасности в 2019 г.
Известно, что в многоэтажных домах чаще грабят квартиры на первых и последних этажах: на первые проникают с земли, а на верхние — с крыши. Схожую картину технический директор компании Qrator Labs Артем Гавриченков увидел в прошлогодних сетевых атаках: заметно чаще злоумышленники атаковали сети «снизу» и «сверху», чем «посередине» сетевой модели OSI.
Основным типом атак на полосу пропускания (т. е. атак по первому, транспортному, уровню сетевой модели OSI) в 2019 г. стали атаки с использованием амплификации. Если употребить терминологию обычной почтовой службы, суть этой технологии такова: атакующий отправляет от имени жертвы конверт, на котором она же указана как получатель. В письме содержится просьба прислать информацию очень большого объема. В результате жертва оказывается буквально завалена информационным мусором.
В 2019 г. злоумышленники использовали три новых способа амплификации: за счет уязвимости удаленного управления компьютерами Apple, за счет уязвимости в пространстве имен System.Web.Services.Discovery компании Microsoft, используемым для создания веб-служб и еще за счет использования протокола TCP.
Начало применения последнего способа было зарегистрировано в августе прошлого года. Опасность таких атак, как отмечает Артем Гавриченков, заключается в том, что TCP используют все веб-сайты. Первые же атаки привели к недоступности столь большого количества хостинг-ресурсов по всему миру, что сообществом были приложены усилия, достаточные для вычисления и отключения сервера, с которого эти атаки исходили, что, по его словам, редчайший случай. К сожалению с ноября атаки возобновились с других ресурсов, на вычисление которых сообщество среагировало более терпимо.
По оценкам Qrator Labs, наиболее длительная атака с TCP-амплификацией заняла около 11,5 часов с пиковым значением в 208 млн. пакетов в секунду. Как полагают эксперты, целью атак были онлайн-казино. Зная о невысоких перспективах расследований, пострадавшие хостеры не заявляли в полицию. Тем не менее, как отметил Артем Гавриченков, когда пострадавшей стороной оказывается Google, место нахождение злоумышленников выявляется оперативно с точностью до юнита в серверной стойке. Ну а дальнейшее уже зависит от действий правоохранительных структур.
Средняя продолжительность DDoS-атак, по наблюдениям Qrator Labs, в прошлом году сокращалась в силу того, что рост доступности инструментов для их проведения увеличил серди злоумышленников количество дилетантов, которые не имеют ресурсов для эскалации атак, если первичные попытки оказываются отраженными.
На фоне полуторакратного увеличения количества DDoS-атак Qrator Labs отметила рост на 20% среднего размера используемых в таких атака бот-сетей, что эксперты увязывают с ростом количества уязвимых смартфонов и устройств Интернета вещей.
Вот одна из причин этого увеличения на фоне увеличения числа устройств Интернета вещей. В прошлом году исследователи обнаружили образующую бэкдор аппаратную закладку в прошивке материнской платы видеорегистраторов производства китайской whitelabel-компании Xiongmai. Под несколькими десятками брендов ее видеорегистраторы продаются по всему миру. Учитывая вычислительные мощности таких устройств, как видеорегистраторы, и их зачастую прямой доступ в Интернет, следует предвидеть гораздо более мощные DDoS-атаки, чем те, что были организованы в 2016 г. с помощью бот-сетей, построенных на базе камер видеонаблюдения, и причинили немалый вред атакованным.
Анализ атак по седьмому, прикладному уровню сетевой модели OSI показывает, что примерно на 25% устройств доступа к Интернету программное обеспечение стабильно не обновляется. Среди этих устройств не только те, которые не обновляются по вине пользователей, но и те, которые перестали поддерживаться производителями и при этом продолжают эксплуатироваться пользователями. Следует помнить, что необновленное ПО — важный источник киберуязвимостей.
Важную роль уровень приложений играет в проведении т. н. целевых (APT) атак. Как отмечает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин, распространенным каналом первичного проникновения в корпоративную инфраструктуру стали веб-приложения, в первую очередь это веб-сайты, без которых современные компании не могут функционировать. По данным компании, уязвимости обнаруживаются сегодня на каждом втором сайте. Безопасности веб-ресурсов, как и других наиболее часто используемых в организациях приложений, следует уделять первейшее внимание.
При организации защиты нужно также помнить, что действовать злоумышленники будут через наиболее уязвимые места, среди которых связь с удаленными филиалами и партнерами, защита которых как правило слабее защиты центральных ресурсов или трудно контролируема.
Большие проблемы порождают нынешние попытки оптимизации сетей операторов связи с использованием протокола BGP. Так, в январе нынешнего года отдельные IP-адреса Google, Apple, Instagram, Faсebook, WhatsApp и некоторых других компаний в одночасье были перенаправлены провайдером услуг по оптимизации трафика, находящемся в ДНР, на одну из точек обмена трафиком в Санкт-Петербурге. Такие переключения чреваты не только нарушением доступности интернет-ресурсов, но злонамеренным перехватом трафика. Подобные инциденты, по данным Qrator Labs, в 2019 г. происходили неоднократно.
Важно отметить, что для снижения расходов на трафик российские операторы связи (и не только они) начали активно закупать BGP-оптимизаторы, а техническому центру Роскомнадзора законодательно разрешено напрямую управлять анонсами BGP. Это, по мнению экспертов Qrator Labs, чревато ростом числа инцидентов, сходных с упомянутым выше. Например, совсем недавно для доступа по Интернету была утрачена целая автономная система (т. е. система масштаба сети оператора связи или крупного контент-провайдера, в России это масштаб Ростелекома) из Северной Америке. Эксперты считают, что пару лет назад администраторы этой системы перестали выходить на связь с American Registry for Internet Numbers, и специалисты последней без принятия мер для каких-либо уточнений в конце концов удалили ее из своей базы данных. Подобное самоуправство возможно и в глобальной таблице IP-сетей.