5 историй проколов в дата-центрах
и как их можно было избежать
Сдержать осаду
Материал подготовлен при поддержке
Private Data Centers DEAC / Что это значит?
Этот материал подготовлен журналистами AIN.UA по редакционным стандартам и опубликован при поддержке рекламодателя
Автор:
Ольга Карпенко
К 2019 году объем интернет-трафика, по прогнозам Сisco, дорастет до 14 зетабайт в год (1 зетабайт — это 10^21 байт, если бы каждый терабайт в зетабайте был километром, этой длины хватило бы на 1300 путешествий к Луне и обратно). Трафику в дата-центрах предрекают рост в 25% за пять лет. И каждый год доступности и сохранности этих огромных объемов данных угрожают риски: от обычных DDoS-атак до взлома, кражи и даже нашествия белок (реальная причина глобального сбоя в работе дата-центра Yahoo в 2010 году). Способы защиты данных и устойчивость дата-центров в форс-мажорных ситуациях остаются темой для обсуждений и работы специалистов по безопасности. Microsoft, к примеру, тестирует дата-центр на дне океана, обсуждаются летающие дата-центры и даже дата-центры на низкой орбите.

Редакция AIN.UA в рамках совместного спецпроекта с европейским оператором дата-центров DEAC подготовила анализ нескольких громких кейсов, связанных с защитой данных в дата-центрах: от взлома энергосети страны до ухода в «даун» крупнейших мировых сайтов и сервисов. Мы рассмотрим реальные потери в каждом случае, а специалисты дата-центров DEAC прокомментируют (их ответы находятся на голубом фоне), что нужно было бы сделать, чтобы избежать рисков или хотя бы свести их к минимуму.
Что случилось?
Вирусная атака на «Прикарпаттяоблэнерго» — декабрь 2015 года. Это привело к тому, что сотни тысяч людей в Ивано-Франковской области остались без света.
Детали истории
23 декабря 2015 года жители Ивано-Франковской области столкнулись с отключением света на 6 часов. Не то, чтобы отключения энергии в регионах Украины зимой — большая редкость, но этот случай был уникальным. Не только потому, что отключение было массовым — 230 000 жителей области остались в темноте. Но и потому, что это случилось в результате хакерской атаки, совершенной группой Sandworm с помощью вируса BlackEnergy.

По данным расследования Wired, атака начала разворачиваться прямо на глазах одного из изумленных операторов «Прикарпаттяоблэнерго»: он увидел, как курсор мыши на экране рабочего компьютера сам запустил программу, которая контролировала локальные подстанции, начал открывать окна управления, буквально отключать подстанции и оставлять жителей региона без света. Всего было отключено 30 подстанций. Оператор попытался залогиниться, но к этому времени пароль учетной записи уже был заменен.

Энергокомпании сохранили логи фаерволла и системы — это помогло воссоздать хронологию атаки. Первый этап: атаковать «айтишников» и сисадминов энергораспределяющих компаний. Им высылали зараженные Word-файлы, при открытии файла программа просила включить макросы для документа — и если пользователь соглашался, компьютер заражался вирусом BlackEnergy3, который запускал бэкдор для хакеров. Это дало доступ ко внутренним корпоративным сетям. Чтобы проникнуть в сеть SCADA, которая контролирует энергосети, нужно было обойти файерволлы — для этого хакеры украли пароли к VPN тех пользователей, которые получали доступ к SCADA удаленно.

Когда и этот этап был пройден, хакеры написали вредоносную программу, которая подменила прошивку конвертеров последовательного интерфейса в Ethernet на дюжине подстанций (конвертеры использовались для обработки команд из сети SCADA на системы контроля подстанций). Это отрезало возможность операторам включить подстанции после блэкаута. Более того, пока отключались рубильники, параллельно прошла TDOS-атака на колл-центры станций — чтобы люди не могли сообщать о поломке. Как финальный штрих, хакеры с помощью вируса KillDisk стерли все файлы с рабочей станции оператора.
Как можно было этого избежать?
В письмах фишинга часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего либо на сайт с редиректом. После того, как IT-администратор или сотрудник компании открывает поддельную страницу, мошенники пытаются побудить пользователя ввести на поддельной странице свои логин и пароль. На практике человеческий фактор приводит к тому, что мелкая ошибка провоцирует глобальный сбой и полную остановку IT-систем. Так что единственный способ избежать подобных атак — работа компании с опытными экспертами по безопасности.

После того как файлы, отправленные администраторам, открылись, вирус распространился по сети энергоснабжения компании и начал выполнять вредоносные команды, которые привели к снижению мощности. TDOS-атака была реализована для того, чтобы как можно дольше удерживать прерывание питания, так как атака буквально забила входящие вызовы для обслуживания клиентов и аварийных линий энергетической компании. Так как отсутствовали жалобы о неполадках в подаче электричества, инцидент был обнаружен поздно. Защита от TDOS-атак может осуществляться с помощью специального программного обеспечения или оборудования PBX (private branch exchange), тщательном контроле входящих вызовов и их содержимого. Это доступная и индивидуально настраиваемая услуга, которую эксперты адаптируют под деятельность компании.

Оператор дата-центров DEAC предоставляет такую услугу на базе виртуальных мощностей и при помощи специализированного ПО защищает голосовые сети, сортируя хороший и плохой трафик с помощью передовых технологий. Благодаря автоматизации TDOS-атаки легко генерируются и не требуют большого количества вредоносных вызовов для начала хаоса. На данный момент выделяются три главных вида TDOS-атак:

  • Простые атаки происходят из одной точки происхождения и иногда используют поддельные телефонные номера. Средний и малый бизнес является наиболее уязвимым, поскольку полагается на критические голосовые линии и может иметь ограниченные ресурсы для быстрого реагирования.
  • Комплексные атаки часто трудно идентифицировать, так как используют поддельные номера, которые трудно обнаружить как малым, так и крупным компаниям.
  • Распределенные и комплексные атаки используют сложную технологию спуфинга с направленными вызовами со всей страны. Крупные компании подвергаются наибольшему риску. В этом случае раннее обнаружение является критически важным.

В большинстве случаев бизнес использует поставщика голосовых услуг, в доступности которого лишь некоторые базовые средства безопасности. Для того, чтобы время отклика было достаточным для защиты бизнес-операций от сбоев, защита от TDOS-атак осуществляется с помощью облачного развертывания и специального программного обеспечения на базе оборудования PBX, которое предоставляет различные параметры управления вызовами, поддержку полустатических и динамических белых и черных списков, настраиваемые сетевые запросы по исходному номеру, проверкам типа номера, аутентификации по телефону и т. д. Данное решение полностью соответствует нормативным требованиям отрасли.

Доклад Ponemon Institute «Что беспокоит специалистов по безопасности в 2018 году», показал, что руководители по информационной безопасности (CISO) менее уверены, чем когда-либо, относительно их подверженности киберриску. Согласно исследованию, две трети CISO уверены, что в этом году их организации будут подвергаться кибератакам.
Что случилось?
Несколькочасовый сбой в работе сети Telegram по всему миру 29 марта 2018 года. Поскольку многие компании используют этот мессенджер для координации и командной работы, во многих офисах полностью застопорился рабочий процесс. Пользователи украинского Facebook шутили, что пора вспоминать старые аналоги Telegram, и пытались припомнить свои номера «аськи».
Детали истории
29 марта 2018 года мессенджер Telegram упал в Европе, Центральной Азии и Калифорнии.
Панику среди пользователей подогревало еще и то, что компания долгое время не комментировала причины такого масштабного отключения. Сначала Павел Дуров, основатель компании, написал о проблемах с питанием в европейском серверном кластере сервиса. Однако затем предоставил более детальное объяснение, которое, правда, не совсем очевидно: как запланированные ремонтные работы могли привести к незапланированному сбою?

«Это было вызвано запланированными техническими работами со стороны провайдера дата-центра, которые, к сожалению, привели к незапланированному даун-тайму. Благодаря распределенной инфраструктуре Telegram, Америка и Восточная Азия не пострадали от сбоя», — написал Дуров.

Как можно было этого избежать?
К сожалению, факт того, что работы были запланированы, не исключает возможный сбой по причине человеческого фактора или же непредусмотренного технического фактора. Обычно при запланированных работах все процедуры строго регламентированы и согласованы с заказчиком.

Крайне редко может случиться то, что невозможно предугадать, но в то же самое время не относится к форс-мажорным обстоятельствам. Например, если заказчик использует дублированное сетевое подключение, и на время проведения работ с основного телекоммуникационного канала системы заказчика были переведены на резервный, который аварийно вышел из строя вне зоны ответственности дата-центра (например, пропало соединение канала в одном из телекоммуникационных узлов Амстердама).

Поэтому во избежание таких непредвиденных случаев существуют системы многократного резервирования, которые дублируют друг друга в случае аварии. Но конечно, это стоит дополнительных денег, на что согласны не все компании, довольствуясь простым резервированием телекоммуникационного подключения. Вполне вероятно, что похожие обстоятельства и произошли в этом кейсе. Продуманный план аварийного восстановления и бэкап-платформы наподобие Veeam на базе надежных дата-центров – все это в корне устранит подобные непредвиденные ситуации.
Что случилось?
Атака в октябре 2016 проведенная с помощью ботнета Mirai, была нацелена на серверы компании Dyn. Dyn контролировала часть внутренней инфраструктуры интернета — Domain Name System (DNS). В результате в офлайн ушли многие крупные американские и европейские сайты вроде Twitter, the Guardian, Netflix, Reddit, CNN.
Детали истории
Одним из первых атаку описал журналист Брайян Кребс, собственно, он и указал на причину массового блэкаута сайтов: атаку на Dyn, которая обслуживает DNS. Журналист отметил, что атака прошла с использованием того же инструмента — Mirai, с помощью которого атаковали и его собственный ресурс. В конце сентября его создатели выложили исходники в публичный доступ — для всех желающих провести DDoS-атаку.

Карта блэкаутов, вызванных атакой:
Эксперты из Flashpoint определили, что атаку организовали с помощью сети IoT-устройств — основным методом взлома устройств для такой активности является подбор паролей из стандартных (вроде admin admin или root admin). Позднее один из производителей, XiongMai Technologies, подтвердила, что ее девайсы могли участвовать в атаке. Она проходила с десятков тысяч устройств, ее мощность достигала 1,2 Тбит/с.

Можно вспомнить еще одну из крупнейших DDoS-атак в истории — атака на серверы французского хостинг-провайдера OVH в 2016 году. Атака проходила с мощностью 1 Тбит/с, для нее использовалась ботнет-сеть IoT-устройств - всего около 152 000 устройств, включая CCTV-камеры и видеорегистраторы. И хотя сам провайдер не пострадал в результате, атака заставила задуматься, что случилось бы, будь на месте OVH более мелкая и незащищенная компания.
Как можно было этого избежать?
Предотвратить кибер-угрозы и проще, и легче всего с защитой от DoS и DDoS-атак. Услуга AntiDDoS разработана для защиты инфраструктуры компании и ее клиентских сервисов круглосуточно - автоматически определяет и блокирует атаку, обеспечивая непрерывность бизнес-процессов и предоставляется практически любым серьезным сервис провайдером. Разумеется, до тех пор, пока предприятие не столкнулось с первой атакой, не все компании охотно стремятся инвестировать в превентивные меры. При выборе поставщика данной услуги стоит обратить более глубокое внимание на предмет определения атак. Некоторые услуги AntiDDoS предотвращают только определенные виды DoS или DDoS-нападений.

Оператор дата-центров DEAC предоставляет защиту от DDoS-атак всех известных видов по всей инфраструктуре и гарантирует непрерывность работы сети, обеспечивая быстрое время отклика пользователям даже во время атаки. Решение спасает от серьезных финансовых потерь, простоев и репутационных рисков.

Поэтому компания DEAC предлагает 2 вида планов защиты от DDoS атак: умный (smart) и объемный (volume). Умная система smart anti-DDoS анализирует атаки и сохраняет идентифицированные виды, типы и методы атак в своей базе данных. С каждой атакой система становится все умнее, и поэтому с каждым разом быстрее способна обнаружить и устранить атаку. В свою очередь объемная (volume) система анти-DDoS обнаруживает увеличение в объеме потока трафика и просто удерживает его, при этом сохраняя допустимый объем трафика, в результате чего не забивается интернет-связь клиентов и те могут продолжать работу, несмотря на нападение.
Что случилось?
Взлом сайта знакомств Ashley Madison в августе 2015 года. Утечка гиперчувствительных данных миллионов пользователей (к примеру, позволяющих уличить женатого человека в измене), судебные иски против компании. В июле прошлого года материнская компания Ruby Corp согласилась выплатить пострадавшим порядка $11.2. По данным Reuters, общие затраты на устранение последствий взлома плюс судебные выплаты составили 25% дохода компании за год.
Детали истории
Группа хакеров под именем Impact Team получила доступ к данным 37 млн пользователей популярного сайта знакомств. Взлом удался благодаря имеющейся в сервисе функции Full Delete - если пользователь желает покинуть сайт навсегда, он может стереть свои личные данные, но за цену в $19. Но хакеры утверждали, что данные на серверах компании остаются в полном объеме даже в случае оплаты (в компании опровергали это обвинение). Уже в первом дампе, опубликованном на Pastebin, было 10 ГБ пользовательских данных. Во втором дампе содержались уже и внутренние данные компании, включая почту СEO и исходный код сервиса.

Что же касается технических деталей атаки, хакерская группа в интервью Motherboard описала взлом просто: «Мы тяжело работали, чтобы провести полностью неотслеживаемую атаку, затем проникли в систему и оказалось, что обходить нечего. Никто за нами не следил. Никаких систем безопасности… Единственная сложность: сегментированная сеть (segmented network). Можно было использовать пароль для VPN вроде Pass1234, чтобы получить рут-доступ ко всем серверам».

По следам взлома и утечки базы нанятая компанией фирма по IT-безопасности в соответствии с Digital Millennium Copyright Act (DMCA) постаралась убрать все куски базы, всплывшие в интернете, из общего доступа. Кроме репутационных и денежных потерь для компании, этот кейс окончился и неприятностями для отдельных людей. LA Times рассказывал историю 56-летнего Рика Томаса, который, желая получить переживания поярче, чем потускневшие эмоции в 19-летнем браке, зарегистрировался на сайте. Он не изменял жене физически, но его переписок хватило, чтобы хакер под ником Mr X начал шантажировать его угрозами выслать сообщения об изменах всем друзьям и семье Рика. Взамен он требовал $1000 в биткоинах. Рик предпочел открыться жене.
Как можно было этого избежать?
В данном случае не были выполнены даже минимальные требования по безопасности, начиная с многоуровневой защиты корпоративных сетей и заканчивая отсутствием процедур безопасности, небезопасными паролями. В работе с администрированием клиентской сети и систем основное требование к сотрудникам или аутсорсингу — придерживаться строгих требований безопасности и процедур. По причине недостаточного контроля и отсутствия процедур никто не заметил, что система была взломана, и в системе совершались действия третьими лицами. Ситуация в целом демонстрирует низкие требования компании к безопасности и низкий уровень компетентности IT-персонала.

Во избежание подобных ситуаций регулярно должен проводиться IT-аудит систем и ресурсов, который помогает найти, где компания теряет деньги из-за некачественной работы IT-специалистов, оценить критичность IT-сервисов для бизнеса, что в целом даст понимание о том, как улучшить бизнес с помощью информационных технологий и самое главное — компания получит полный отчет с рекомендациями по улучшению текущего положения.

Впоследствии внедряется конкретный план действий: например, индивидуально подобранные решения для защиты данных включают в себя защиту от кибернападений, шифрование данных, внутренние системы безопасности, план действий в кризисных ситуациях и другие услуги.

Что случилось?
В дата-центре GitHub случился перебой с питанием в январе 2016 года. Сервис был недоступен 2 часа. Звучит не так страшно, если не учитывать того, что это платформа, где работают с кодом 27 млн разработчиков и многие компании.
Детали истории
«Короткий перебой в питании в нашем основном дата-центре вызвал каскадные отказы, повлиявшие на несколько сервисов, критичных для работы GitHub.com. Пока мы работали над восстановлением сервиса, GitHub был недоступен на протяжении двух часов и шести минут», — написал директор по системам сервиса Сэм Ламберт, объясняя причины сбоя.

Обычные перебои в питании как правило не стопорят работу всего дата-центра в большинстве случаев, ведь обычно они оборудованы UPS, вспомогательными генераторами и автоматически перенаправляют обслуживание сайтов на вспомогательные системы. Когда такое все же происходит, это обычно означает, что вспомогательные системы тоже не справились. По данным исследования Ponemon Institute, отказы в работе UPS — самая часто встречающаяся причина в сбоях работы дата-центров. Неизвестно, во сколько оценили убытки пользователи GitHub, однако, по данным той же организации, примерная зависимость между длительностью сбоя в дата-центре и убытками выглядит так:
Известно, что сервис не использует в дата-центре виртуальные машины для построения частного облака. По словам Ламберта, в облаке используются только физические машины.

Подобные случаи — не единичны: в мае 2017 года авиакомпании British Airways пришлось отменить рейсы для десятков тысяч пассажиров в пиковое время из-за поломки в одном из своих британских дата-центров — в общей сложности с трудностями столкнулось 75 000 пассажиров. Инцидент произошел в субботу утром, но полноценно возобновить рейсы компании удалось только во вторник. Технических деталей поломки компания не сообщала, согласно официальному сообщению, в дата-центре отключилось питание, ситуация усугубилась «неконтролируемой подачей питания» и скачком напряжения, что в конце концов выбило из работы IT-системы компании.

Ранее, в 2015 году в дата-центре PayPal случился массовый сбой, и это задело пользователей по всему миру. На тот момент она обрабатывала порядка 12,5 млн платежей в день, примерные оценки потерь онлайн-сервисов в платежах — порядка $51 млн. Основной причиной назвали перебои с питанием в дата-центре компании
Как можно было этого избежать?
Избежать таких ситуаций можно с помощью решений аварийного восстановления, разделенных, по крайней мере, на два отдельных, не зависящих друг от друга дата-центров. В случае перебоев в одном дата-центре, системы переключаются, и нагрузка переходит на другой дата-центр. При выборе такого решения необходимо оценить, способны ли дата-центры функционировать независимо друг от друга. На нашей практике были ситуации, когда клиенты обращались за помощью после сбоя в решении, которое построено на двух дата-центрах, расположенных в различных географических районах. При этом дата-центры имели свои независимые системы электроснабжения, систему резервного копирования, но оба использовали одного интернет-провайдера (ISP). Клиент столкнулся с ситуацией, когда решение, построенное на двух, казалось бы, независимых дата-центрах отказало, так как упомянутый интернет-провайдер был недоступен по причине крупной аварии в его сетях.

Развернутая сеть дата-центров DEAC защищена от такого рода рисков, поскольку IP-сервисы снабжены не менее чем 10 партнерскими сетями провайдеров, которые могут заменять друг друга. Широкий географический охват, большой выбор различных сетей и эффективные сетевые подключения с комплексным шифрованием позволяют выбрать решения дата-центра в стратегически важной для бизнеса точке мира.
© 1999—2018 AIN.UA
adv@ain.ua
Made on
Tilda