Кто-то учится выключать Интернет

Автор: Брюс Шнайер (Bruce Schneier)

Последние год или два кто-то зондирует защиту компаний, заведующих ключевыми частями инфраструктуры интернета. Такое зондирование проводится в форме точно калиброванных атак, задачей которых является определение того, насколько хорошо эти компании умеют защищаться и каких усилий потребует полное выведение их из строя. Мы не знаем, кто этим занимается, но создается ощущение, что это большое государство. Я бы предположил, что это Россия или Китай.

Сначала давайте разъясним ситуацию. Если вы хотите вывести сеть из интернета, то проще всего сделать это с помощью распределенных атак на отказ в обслуживании (denial-of-service attack (DDoS)). Как понятно из названия цель такой атаки – не дать обычным посетителям воспользоваться сайтом. Есть, конечно, некоторые нюансы, но, по сути, на сайт направляется такое количество данных, что он оказывается перегружен. В этих атаках нет ничего нового: хакеры делают это с сайтами, которые им не нравятся, а преступники используют как инструмент для вымогательства. Существует целая индустрия, арсенал технологий, посвященный защите от DDoS. Но в основном это вопрос пропускной способности. Если пожарный шланг данных у атакующего больше, чем у защищающего, атакующий выигрывает.

В последнее время некоторые из крупнейших компаний, поддерживающих основную интернет инфраструктуру, отметили рост числа DDoS против них. Более того, это определенный тип атак. Они заметно масштабнее тех, к которым они привыкли. Они длятся дольше. Они более изощренные. И они похожи на зондирование. В первую неделю атака начинается на определенном уровне, ее интенсивность медленно нарастает, а затем она останавливается. На следующей неделе она начинается на более высокой точке и продолжается. И так далее по этому сценарию, как если бы злоумышленник искал точную точку отказа.

Атаки также конфигурированы таким образом, чтобы увидеть общую структуру защиты компании. Есть много различных способов запуска DDoS-атаки. Чем больше векторов атаки вы одновременно используете, тем больше различных видов защиты вам противопоставляет защищающаяся сторона. Эти компании подвергаются все большему числу атак с использованием трех или четырех различных векторов. То есть компании должны использовать все имеющиеся у них для защиты ресурсы. Они вынуждены демонстрировать свои оборонные возможности атакующему.

Я не могу предоставить детали, так как эти компании общались со мной при условии сохранения анонимности. Но все это вполне совпадает с данными компании Verisign, - регистрационного сервиса для многих интернет доменов высшего уровня, таких как .com и .net. Если она рухнет, то вместе с ней обрушатся все сайты и адреса электронных почт в самых популярных доменах высшего уровня. Verisign публикует ежеквартальный отчет о DDoS трендах. Хотя в нем и не содержится подробностей, полученных мной в разговорах с компаниями, там прослеживаются точно такие же тренды. «Во втором квартале атаки продолжались становиться все более частыми, последовательными и изощренными».

Но это не еще все. Одна компания сообщила мне о целом спектре зондирующих атак помимо DDoS атак: они испытывают способность манипулировать интернет адресами и маршрутами; наблюдают за тем, сколько времени требуется защитникам, чтобы отреагировать на атаку и так далее. Кто-то проводит масштабные испытания сердцевинных защитных способностей компаний, предоставляющих ключевые интернет услуги.

Кто за все этим стоит? Все это не похоже на действия активиста, преступника или исследователя. Профилирование сердцевинной инфраструктуры часто используется для шпионажа и сбора разведывательных данных. Компании обычно этим не занимаются. Более того размер и масштаб зондирования, и особенно их настойчивость, указывают на государства. Кажется, что военная кибер командование какой-то страны пытается настроить свои вооружения на случай кибер-войны. Мне это напоминает времена Холодной войны и американскую программу пролетов самолетов шпионов над территорией Советского Союза, позволявшие включить, отобразить возможности их системы противовоздушной обороны.

Что же с этим делать? Да ничего, по сути. Мы не знаем, откуда идут эти атаки. Данные, которые я видел, указывают на Китай и эту оценку разделяют люди, с которыми я беседовал. С другой стороны, есть возможность замаскировать страну происхождения подобных атак. АНБ проводит больше слежки в сердцевине интернета, чем все остальные вместе взятые, и поэтому, вероятно, обладает более полной картиной. Но мы обо всем это узнаем, только если американское правительство решит сделать из этого публичную проблему.

Но все это происходит и люди должны об этом знать.