Брюс Шнайер, один из самых известных в мире специалистов в области киберзащиты и криптографии, на днях опубликовал в блоге Lawfare немного пугающую заметку. По его утверждениям, крупные компании, обеспечивающие работоспособность всего интернета (доменные регистраторы, провайдеры первого уровня) последнее время целенаправленно подвергаются нарастающим разведывательным и DDoS-атакам. У их истоков, вероятней всего, стоят спецслужбы одной из крупных стран. Редакция AIN.UA приводит полный перевод заметки Шнайера.
Последние пару лет кто-то проверял защиту компаний, которые управляют критическими частями инфраструктуры интернета. Эти проверки обрели форму точно нацеленных атак, спланированных таким образом, чтобы определить, как хорошо эти компании могут защитить себя, и что нужно, чтобы вывести их из строя. Мы не знаем, кто за этим стоит. Но выглядит так, как будто это очень большая страна. Я бы назвал первыми кандидатам Китай и Россию.
Для начала немного вводных. Если вы хотите отключить сеть от интернета, самый простой метод сделать это – провести распределенную атаку типа «отказ в обслуживании» (DDoS). Как понятно из ее названия, это атака, призванная не дать законным пользователям попасть на сайт. Есть множество тонкостей, но, по сути, это означает направление такого объема данных на сайт, который приводит к его перегрузке. Эти атаки не новы: хакеры пользуются ими против сайтов, которые им не нравятся, а преступники – для вымогательства. Существует целая индустрия с внушительным арсеналом технологий, посвященная защите от DDoS. Но в основном проблема лежит в пропускной способности сети. Если у атакующего пожарный шланг с данными шире, чем у защищающегося, то первый побеждает.
Не так давно некоторые крупные компании, предоставляющие базовую инфраструктуру для работы всего интернета, зафиксировали рост количества DDoS-атак против них. Более того, они наблюдали определенные типы атак. И эти атаки значительно масштабней, чем они привыкли. Атаки длятся дольше. Они более сложны и выглядят как разведка. На одной неделе атака начинается на определенном уровне, который постепенно нарастает, прежде чем затухнуть. На следующей, она начинается в точке повыше, продолжает расти, и так далее. Выглядит так, будто атакующие ищут конкретную точку, в которой система не выдержит.
Атаки также построены таким образом, чтобы оценить все возможности защиты компании. Существует множество способов запуска DDoS-атаки. Чем больше векторов атаки используется одновременно, тем больше разных способов защиты должен применять защищающийся. Пострадавшие наблюдают все больше атак, использующих три-четыре вектора одновременно. Это означает, что компании должны использовать все методы защиты, которые у них есть в наличии. Они не могут спрятать туз в рукаве и вынуждены продемонстрировать атакующему все свои возможности.
Я не могу рассказать детали, потому что эти компании общались со мной на условиях анонимности. Но их рассказ совпадает с тем, что сообщает Verisign – регистратор для многих популярных доменов верхнего уровня, вроде .com или .net. Если он упадет, то произойдет отключение всех веб-сайтов и email-адресов, использующих наиболее распространенные домены верхнего уровня. Каждый квартал Verisign публикует отчет о DDoS-трендах. Хотя в этих публикациях нет такой детальной информации, как я слышал от пострадавших от атак компаний, тренды одни и те же: “Во втором квартале 2016 года атаки продолжили нарастать по частоте, продолжительности и сложности”.
Но это еще не все. Одна из компаний рассказала мне в добавок к DDoS и о множестве разведывательных атак. Злоумышленники тестируют возможности манипулировать интернет-адресами и маршрутизацией, наблюдают за тем, сколько времени требуется защищающимся для ответных действий и так далее. Кто-то активно тестирует ключевые защитные возможности компаний, предоставляющих критически важные интернет-услуги.
Кто на такое способен? Не похоже на активиста, преступника или исследователя. Прощупывание ключевой инфраструктуры – типичная практика для шпионажа и сбора разведданных. Компании таким не занимаются. Более того, масштаб таких атак, и особенно их продолжительность, указывает на игроков государственного уровня. Выглядит так, будто военное киберкомандование какой-то из наций пристреливает свое оружие на случай кибервойны. Мне это напоминает программу США во время Холодной войны, когда их высотные самолеты летали над Советским союзом, чтобы привести в действие его систему ПВО и испытать ее возможности.
Что мы можем сделать с этим? На самом деле — ничего. Мы не знаем источника атак. Данные, которые я видел, указывают на Китай. Эту точку зрения разделяют люди, с которыми я общался. С другой стороны, страну происхождения такого рода атак можно скрыть. АНБ (Агентство нацбезопасности США), у которого возможностей наблюдения за опорной сетью интернета больше, чем у всех остальных вместе взятых, должно иметь идеи получше. Но мы не увидим никаких обвинений, если только США не захотят сделать из этого международный инцидент.
Но это происходит. И люди должны знать.