Веб-разработчик Роман Библюк рассказал в интервью о новых тенденциях в мире кибератак и сервисах для борьбы с ними.
В конце 2015 года сайт влиятельной британской телерадиокомпании ВВС подвергся мощной кибератаке. Несколько часов онлайн-версия ведущего СМИ была недоступной для пользователей. Это была DDoS-атака, принцип которой заключается в одновременном направлении десятков и сотен тысяч запросов с зараженных вирусами компьютеров на конкретный веб-ресурс. Атакованный сайт либо начинает грузиться очень медленно, либо вообще прекращает работать.
Ответственность за DDoS-атаку на сайт BBC взяло на себя сообщество New World Hacking. Хакеры заверили, что на примере BBC, они побили мировой рекорд мощности атаки – 605 Гбит/с. Единицы сайтов способны выдержать такую нагрузку и обычно перестают обслуживать пользователей.
Защищены ли украинские медиа, чтобы не стать жертвой подобных атак? Специалисты Школы цифровой безопасности DSS380 проанализировали 145 новостных сайтов в Украине и определили: по состоянию на начало 2016 года только 14,5% из них (21 редакция) использовали специальные сервисы защиты от DDoS-атак.
Среди редакций, использующих защиту от DDoS-атак, есть и газета «Экспресс». Веб-разработчик Роман Библюк рассказал об опыте борьбы с DDoS-атаками на сайте expres.ua в начале 2014 года.
Во время событий Евромайдана от кибератак пострадал ряд украинских сайтов, среди них: «Украинская правда», «Радио Свобода», “Лига.нет” и “Цензор.нет”.
«До этого времени мы не использовали никаких внешних сервисов защиты. Ведь до этого фиксировали лишь примитивные попытки, которые администраторы сайта оперативно решали», – рассказывает Роман Библюк.
«События разворачивались чрезвычайно стремительно. После нескольких коротких разведок боем, сайт был атакован ботнетом, который генерировал нагрузку в более чем 3 Гбит/с. Стало очевидно, что собственными силами мы не сможем нейтрализовать нападение», – добавляет Библюк.
С тех пор expres.ua защищает система Deflect.ca – бесплатный сервис по защите от DDoS-атак, созданный канадской организацией eQualit.ie специально для независимых СМИ, правозащитных организаций и активистов. В рамках работы Школы DSS380, совместного проекта eQualit.ie и общественной организации «Интерньюз-Украина», украинские медиа и неправительственные организации могут подключаться к бесплатной системе безопасности Deflect. Ведь часто у журналистов и правозащитников нет финансовых ресурсов на платные системы по информационной безопасности.
Роман Библюк обслуживает десятки украинских сайтов, и мы поинтересовались, какая разница между платными и бесплатными сервисами защиты, в чем особенности подключений к этим системам и какие новые тенденции в мире кибератак.
В Украине тема DDoS-атак впервые стала заметной лишь в начале 2012 года, когда хакеры блокировали сайты государственных структур, протестуя против закрытия популярного файлообменника – ex.ua. Раньше Украина не была интересна хакерам?
Вероятно, об этих атаках просто публично не сообщалось. А, возможно, основная причина в том, что до 2012 года украинский интернет был частично закрыт, его большой сегмент был доступен лишь в рамках UA-IX без выхода во внешний мир, а сами внешние каналы были не слишком широкими и четко контролировались.
Однако были прецеденты. В 2009 году украинский интернет пережил едва ли не самую мощную до этого времени DDoS-атаку. Как сообщалось, сетевая инфраструктура одного из самых популярных в Украине регистраторов доменов и хостинга переживала нагрузки более чем в 2 Гбит/с. Тогда специалисты предсказывали, что в ближайшие несколько лет можно ожидать повышения количества и уровня объемов DDoS-атак до 10 Гбит/с и более. А уже в октябре 2010 года DDoS-атаке подверглась украинская крупнейшая телекоммуникационная компания. В результате атаки пострадало качество интернет-услуг. Никакой информации о том, кто стоял за этой атакой и какими были ее цели, не сообщалось.
Для сравнения, по данным Arbor Networks в мире впервые зафиксировали DDoS-атаку объемом:
- 10 Гбит/с – в 2005 г.
- 50 Гбит/с – в 2009 г.
- 100 Гбит/с – в 2010 г.
Можно ли напрямую связывать увеличение DDоS-атак с политическими событиями в Украине и активной фазой информационной войны cо стороны России?
Существует интересный проект Digital Attack Map от Google, который в реальном времени мониторит и визуализирует карту DDoS-атак, а также дает возможность просмотреть историю, начиная с 2013 года. Согласно его данным, Украина пережила беспрецедентный уровень DDoS-атак впервые во время Майдана в 2014 году. Выводы можете сделать сами.
В бизнесе DDoS-атаки имеют целью временно заблокировать работу конкурента, например, интернет-магазина. СМИ атакуют с целью ограничить доступ к важной информации. А надо ли нейтральным сайтам, например, сайту о погоде, остерегаться DDoS-атак и подключаться к системам защиты?
В первую очередь целью кибератак в мире являются онлайн-игры, технологические компании, интернет-провайдеры, финансовые сервисы, медиа и развлекательные сайты. В отдельных странах распределение по отраслям может меняться, дополняться государственными учреждениями, правозащитными и неправительственными организациями и тому подобное.
Если задача у всех DDoS-атак преимущественно общая – сделать недоступным сайт для целевых пользователей, то мотивы организаторов часто отличаются. Кто-то превратил это в преступный бизнес, шантажируя компании, для которых критически важна непрерывная работа. Другие атакуют с целью недобросовестной конкуренции, тормозя работу сайтов-конкурентов. Еще DDoS-атаки применяют для несанкционированных проникновений и краж данных, чтобы отвлечь и скрыть в общем потоке данных настоящие намерения злоумышленников.
Не всегда мотивы меркантильные. За последние годы получил распространение хактивизм – общественное движение политического протеста с активным привлечением внимания СМИ. Яркий пример – группа Anonymous, в активе которой серия громких акций и предоставление в общественное пользование программы LОІС.
А иногда DDoS-атаки не являются умышленными. Классический пример, когда линк на сайт небольшой организации или издания попадает на главные страницы топ-изданий, вызывая интерес у десятков или сотен тысяч читателей. Такой резкий скачок в трафике по последствиям может быть аналогичным последствиям атаки DDoS.
Помимо сайта, подверженного атаке, жертвами могут стать случайные сайты, если они оказались на одном хостинге или у одного провайдера, в одном дата-центре или на общих каналах, в одной стране и тому подобное. Поэтому предусмотреть системы защиты от DDoS-атак – это вынужденная необходимость.
Достаточно заполнить форму регистрации и выполнить дальнейшие инструкции. Предварительно рекомендую подготовить следующую информацию:
- перечень доменов сайтов, которые хотите подключить;
- данные доступа к DNS доменов и копию записей их зон;
- техническое описание программного обеспечения, на котором работает сайт (название CMS, версия);
- описание всех динамических разделов сайта (комментарии, опросы, анкеты, Flash, форумы, баннеры, виджеты, API и т.д.);
- если используете SSL, тогда файлы сертификатов;
- среднестатистические данные посещаемости и трафика.
Можно ли говорить, что не существует совершенной системы защиты от кибератак, поскольку хакерам удается заблокировать даже самые большие новостные сайты, которые могут позволить себе дорогое обслуживание?
Кибератаки с каждым годом наращивают мышцы. Количество, объем, сложность атак увеличиваются в геометрической прогрессии. DDoS-атаки и борьба с ними – это как игра в шахматы. Здесь пока нет однозначных победителей. Атакующая сторона постоянно придумывает новые техники. Сторона защиты учится сопротивляться этому. Ход за ходом. Но поставить мат не удается никому.
Система защиты Deflect.ca, которую вы подключили к сайту expres.ua, – бесплатная. Есть ли отличие от платных сервисов?
Она бесплатна только потому, что предусмотрена для независимых медиа, правозащитных организаций и активистов. Сегодня систему Deflect.ca используют свыше 7 миллионов пользователей ежемесячно в 25 странах мира.
Для нейтрализации DDoS-атак Deflect использует лучшие практики защиты, которые характерны для коммерческих решений: сокрытие реального IP-адреса веб-сайта, предотвращение публичного доступа к редакторским/административным разделам (например /аdmin, /login и т.п.), поддерживает SSL, используются короткие TTL для DNS, политики черных списков, распределенного кэширования, фильтрации вредоносных запросов с помощью fail2ban, learn2ban и iptables и т. п.
Инфрастуктура сети состоит из многочисленных однотипных реверс-прокси, размещенных у недорогих и географически удаленных хостинг-провайдеров, что, с одной стороны, уменьшает стоимость обслуживания оборудования, а с другой – дает свободу выбора между провайдерами.
Когда в начале 2014 сайт «Экспресса» атаковали мощностями в более чем 3 Гбит/с и мы самостоятельно не могли справиться, eQualit.ie оперативно откликнулись на запрос о помощи с процессом подключения. Ситуацию осложняло то, что сайт все еще находился объектом атаки, однако благодаря Deflect уже через несколько дней редакция вернулась к обычному режиму работы.