|
Календарь мероприятий
апрель  2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
показать все 
Новости партнеров
Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!
Читать далее
Ассоциация разработчиков «Отечественный софт» отметила 15-летие
Читать далее
РДТЕХ представил Технологическую карту российского ПО 2023
Читать далее
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool
Читать далее
показать все
Статьи
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?
Читать далее
Мотивируй, не то проиграешь!
Читать далее
В 2024 году в России и мире вырастут объемы применения AR/VR
Читать далее
Цифровые технологии: надежды и риски
Читать далее
Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?
Читать далее
Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства
Читать далее
показать все
|
Тренды 2018 года в области безопасности и развития интернет-инфраструктуры в России и в мире
Главная / Новости партнеров / Тренды 2018 года в области безопасности и развития интернет-инфраструктуры в России и в мире
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представляет основные тренды 2018 года в сфере безопасности и интернет-инфраструктуры в России и в мире.
Изменение интернета, пропускной способности ресурсов, укрупнение интернет-бизнеса, рост числа инструментов и методов для проведения различных атак создает новые сложности для ведения бизнеса в цифровую эпоху.
Бурный рост Интернета и пропускной способности сетей привёл к тому, что без поддержки со стороны крупных корпораций в нем сегодня очень сложно работать и зарабатывать деньги. И речь уже отнюдь не только о поисковой оптимизации и борьбе за высокие места в результатах поиска Яндекса или Google.
Растут требования к каналам связи, растёт и стоимость обработки данных с учётом современных угроз, и малый и средний бизнес (в том числе многие средства массовой информации или компании сегмента e-commerce) переходят в стадию «выживания»: им теперь жизненно необходимо заручиться поддержкой “старших” участников рынка, чтобы оставаться на плаву. Для этого бизнесу требуется все больше разнообразных аутсорсинговых продуктов, и не просто услуг по администрированию сервера — цифровой бизнес вынужден активно задействовать, в частности, сторонние решения по безопасности: противодействие DDoS-атакам, взломам, антиспам и антифрод. В противном случае становится практически невозможно поддерживать информационную систему в устойчивом состоянии и обеспечивать ее защиту.
В последнее время все более заметной в этой области становится поддержка со стороны крупных игроков рынка. Например, компания Google предоставляет бесплатную площадку защиты от DDoS для независимых СМИ, понимая, что последствия сложившейся в интернете ситуации могут оказаться фатальными для многих компаний. Этот процесс шел уже достаточно долгое время, однако осязаемым он стал лишь за последний год.
Развитие протоколов интернета идет рука об руку с текущими тенденциями в области изменения инфраструктуры онлайн-бизнеса.
Ярким примером является новый экспериментальный протокол QUIC (Quick UDP Internet Connections), разработанный Google для замены старой технологической “подложки” Всемирной сети. Сегодня уже происходит активное внедрение QUIC: в частности, Google Chrome, как и серверы Google, уже поддерживают новый протокол, а в дальнейшем он должен заменить нынешний протокол HTTP, используемый для работы веб-сайтов по всему миру.
Разработанный стандарт обладает целым рядом достоинств, однако предполагается, что он будет работать на высокопроизводительных “фермах” серверов, соответствующих тем, которые имеются в распоряжении Google и Facebook. В процессе проектирования практически не уделялось внимание ситуации, при которой инфраструктура веб-сайта будет уступать в плане вычислительных ресурсов крупному облаку, что еще больше усугубляет положение малого и среднего бизнеса в современном интернет-пространстве.
Статистика по DDoS-атакам за 2016-2018 гг
|
|
2018
|
2017
|
2016
|
|
Нейтрализовано атак
|
85 578 ↑
|
61 206 ↑
|
36 746
|
|
Среднее число атак
|
255 ↑
|
180 ↑
|
100
|
|
Максимальное число атак в день
|
490 ↓
|
556 ↑
|
248
|
|
Средний размер ботнета
|
3 683 ↓
|
3 782 ↑
|
1 915
|
|
Максимальный размер ботнета
|
893 788 ↓
|
4 960 121 ↑
|
729 226
|
|
Средняя длительность атаки, час
|
3 ↓
|
4 ↓
|
6
|
|
Максимальная длительность атаки, день
|
818 ↑
|
770 =
|
770
|
|
Число Spoofed атак
|
73 784 ↑
|
49 530 ↑
|
25 445
|
|
Атак более 1 Гб/c
|
206 ↓
|
231 ↓
|
278
|
|
Атак более 10 Гб/c
|
34 ↓
|
54 ↑
|
40
|
|
Атак более 100 Гб/c
|
4 ↑
|
0 =
|
0
|
Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменением его состояния.
Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации. До сих пор популярными являются DDoS-атаки с использованием техники Amplification (злоумышленник посылает запрос уязвимому серверу, который, в свою очередь, непрерывно бомбардирует жертву кратно большими по размеру пакетами).
В октябре 2018 года Qrator Labs зафиксировала атаку DNS Amplification скоростью 400 Гбит/сек. Кроме того, злоумышленники научились использовать для амплификации DDoS-атак серверы скоростной базы данных Memcached, что позволяет усилить атаку, в теории, более чем в 10 000 раз. Март 2018 года отметился самой мощной DDoS-атакой в истории: трафик в 1,35 Тбит/сек был направлен на GitHub , крупнейший веб-сервис для хостинга ИТ-проектов и совместной разработки, а всего через несколько дней этот рекорд был побит атакой в 1,7 Тбит/сек на американского сервис-провайдера.
Потенциально Memcached-атаки могли отключить от интернета целые регионы и даже страны, однако этого не произошло благодаря скоординированной и оперативной реакции интернет-сообщества. При этом не были задействованы никакие международные организации, от ООН до Международного телефонного союза — ключевую роль в борьбе с такими атаками сыграли профессионалы из индустрии. На данный момент международное сообщество достигло того уровня развития, когда, объединяя практики, оно может успешно бороться с серьезными угрозами. Так работает модель принятия решений в современном Интернете.
Потенциально опасной является организация атак с использованием протокола HTTP/2 – это вторая крупная версия вышеупомянутого сетевого протокола HTTPS (известного каждому пользователю Сети по адресной строке, начинающейся со слова “https://”). В начале 2018 года вышло исследование учёных из университета Белфаста (https://pure.qub.ac.uk/portal/files/138103125/dbeckett_ssezer_Paper_Tsunami_Final.pdf) о том, какие атаки гипотетически могут быть реализованы злоумышленниками из-за определенной проблемы в протоколе. Эксплуатация уязвимостей HTTP/2 позволяет осуществлять усиленные DDoS-атаки на уровне запросов браузера. Такие атаки сложно выявить, и еще сложнее им противодействовать.
Инциденты с использованием брешей в HTTP/2 пока не наблюдаются, но лишь потому, что проникновение протокола пока не такое большое. Однако в ближайшей перспективе мы, вероятно, будем наблюдать подобные атаки на практике, и они могут быть не менее разрушительны, чем знаменитые DDoS-атаки типа Wordpress Pingback (https://xakep.ru/2016/11/29/encrypted-wordpress-pingback/).
Динамика DDoS-атак по отраслям в 2017-2018 гг
|
|
2017-2018
|
|
Рекламные агентства
|
-30%
|
|
Банки
|
90%
|
|
Букмекерские конторы
|
143%
|
|
Купоны
|
-84%
|
|
Криптобиржи
|
54%
|
|
Интернет-магазины
|
22%
|
|
Образование
|
-18%
|
|
Развлекательные сайты
|
5%
|
|
Forex
|
-67%
|
|
Игры
|
142%
|
|
Страхование
|
195%
|
|
СМИ
|
22%
|
|
Медицина
|
55%
|
|
Микрофинансы
|
-43%
|
|
Онлайн-кассы
|
836%
|
|
Платежные системы
|
20%
|
|
Промо-сайты
|
-51%
|
|
Агентства недвижимости
|
-30%
|
|
Социальные сети
|
47%
|
|
Такси
|
-8%
|
|
Туризм
|
-23%
|
|
Торговые площадки
|
-48%
|
Ошибки в протоколе BGP продолжают приводить к перехватам трафика
BGP (Border Gateway Protocol) -- де-факто стандартный протокол, управляющий трафиком на уровне операторов связи. Ошибки, случайные или умышленные, в его настройке приводят к нелегитимному перехвату трафика. Здесь, конечно, важны не только сами ошибки, но и экосистема операторов связи, которая способствует их распространению. В результате, даже самый маленький оператор может повлиять на доступность крупнейших сервисов в масштабах национального сегмента.
Только в 2018 году в российском сегменте интернета произошло порядка 10 крупных инцидентов, повлиявших на доступность как внутренних, так и внешних ресурсов.
13 декабря 2017 – празднование дня рождения бывает разным, так, оператор DV-LINK-AS в первый день своей работы стянул на себя трафик крупнейших контент провайдеров, сделав в течение нескольких часов недоступными сервисы Google, Facebook, Microsoft, Mail.ru и нескольких других контент провайдеров. Причем аномалия затронула не только Россию, но и другие регионы.
17 января 2018 – сеть, принадлежащая мэрии Москвы, перенаправила трафик между Ростелекомом и Комкором. В тот раз аномалия была еще масштабней и затронула более 70 тысяч сетей. В результате, как и в последнем случае, «выбило пробки» как в сети мэрии, так и в Комкоре, что оказало значимое влияние на весь трафик в рунете.
4 мая 2018 – обычно трафик между Европой и Азией идет с использованием подводных кабелей, проходящих по дну Средиземного моря, Суэцкий канал, огибающих Индию и Сингапур. Однако небольшой оператор в Киргизии решил это исправить, организовав “шелковый путь” из России в Азию через свою сеть и далее Китай. К сожалению, результатом стала лишь временная недоступность между Россией и Азией.
Последней в этом списке стала ошибка конфигурации небольшого оператора Krek, в результате которого он перехватил значительную часть трафика Ростелекома, сделав недоступными тысячи сервисов, включая Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие. По оценке Qrator Labs, аномалия могла затронуть от 10% до 20% пользователей в РФ.
И если подобные инциденты за счет своего масштаба не увидеть невозможно, то мелкие или целевые перехваты трафика в большинстве случаев остаются незамеченными и могут длиться часами, а в некоторых случаях -- неделями.
Целевые перехваты трафика и атаки Man-in-the middle набирают силу
2018 год продемонстрировал набирающий силу тренд по использованию уязвимостей протокола BGP для целевых перехватов трафика. Такой перехват трафика может иметь разные цели: это отказ в обслуживании, рассылка спама и атаки Man-in-the-middle.
Атаки на отказ в обслуживании с использованием BGP -- это не новый тренд. Первым “звоночком” стал перехват трафика Youtube в далеком 2008 году, когда пакистанский оператор решил заблокировать у себя в сети этот сервис, а в итоге сделал его недоступным по всему миру. С внедрением еще более совершенных методов шифрования трафика, таких как TLS версии 1.3 и DoH, блокировка по IP-адресам становится практически единственным способом реализации блокировки контента, а BGP -- все более популярным для реализации этих блокировок. Смешение этих двух функций -- бомба замедленного действия, поскольку стоит такому перехвату трафика распространиться, эффект от блокировки в одной стране может повлиять на пользователей другой.
Другая сторона целевого перехвата трафика -- это, как ни странно, рассылка спама. Существует несколько популярных сервисов, распространяющих информацию об источниках спама. Самый известный из них -- это Spamhouse. Типовым способом борьбы является блокировка источников по IP-адресам. Соответственно, атакующим для обхода этих блокировок постоянно нужны новые “чистые” IP-адреса. При этом источники новых IP-адресов практически иссякли -- IPv4 пространство кончается как у регистраторов, так и у крупных поставщиков. Спамеры нашли интересный выход: они перехватывают трафик чужого адресного пространства, а когда оно попадает в черные списки, “сбрасывают” его обратно и переходят к следующему блоку. Показательной была борьба технического сообщества против оператора, которого неоднократно ловили на такой активности. В течение месяца борьбы удалось подвергнуть атакующего остракизму, отключив его от всех его поставщиков.
Еще один способ “применения” перехватов трафика, который получил значительное развитие в 2018 году -- это атаки Man-in-the-middle. Перехватывая входящий трафик, атакующий может перенаправить пользователей на фишинговый сайт-близнец, где введенные логины, пароли (и любые другие пользовательские данные) становятся тут же доступны атакующему. Последствия такой атаки были продемонстрированы на клиентах криптобиржи myetherwallet.com, где в результате успешной атаки пользователи потеряли криптовалюту на сумму более 200 тысяч долларов.
Криптобиржи, безусловно, находятся в зоне повышенного риска: анонимность кошельков и невозможность откатить транзакцию только упрощают задачу вывода средств. Однако и классические финансовые инструменты, такие как стандартный банковский личный кабинет, также могут быть уязвимыми к подобным атакам. В случае перехвата трафика банк-клиента атакующим становятся доступны не только логины пароли, но и web-cookies, которые позволяют пользователям не логиниться в течение короткого промежутка времени. Этого интервала вполне достаточно для совершения неавторизованных транзакций.
Методы противодействия
Системным решением проблемы перехвата трафика с использованием BGP является кардинальное изменение правил игры: встраивание защиты как от ошибок, так и от атак в сам протокол. Qrator Labs участвует в разработке изменений в стандарте протокола BGP в рамках инженерного Совета Интернета (IETF). В перспективе расширение протокола позволит решить 99% проблем, связанных как с ошибками в настройке, так и с хакерской активностью.
Однако на ближайшие годы вопрос нивелирования рисков и борьбы с перехватами придется решать каждому оператору самостоятельно. Существуют эффективные методы, позволяющие перенаправить трафик по корректному пути, но для этого необходимо оперативно получить информацию о том, кто является источником перехвата и как аномалия распространяется. Это делает систему мониторинга BGP в реальном времени ключевой частью любой системы противодействия. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover.jpg)
