DDoS война без правил и линии фронта
Последние полгода выдались жаркими в геополитическом смысле. На первый план всех новостных колонок выходят события на Украине. Каждый день в период с октября 2013 г. по май 2014-го ситуация обостряется и, к сожалению, цена политического кризиса идет уже не только на миллиарды долларов, но и на сотни человеческих жизней. Традиционно самые активные «боевые действия» идут в киберпространстве. Вообще, если говорить о киберпространстве, то даже в мирное время можно сегодня констатировать не «холодную», а самую настоящую кибервойну между основными державами мира.
После единичных случаев кибердиверсий в 1980-х и 1990-х, с начала 2000-х гг. началась настоящая кибервойна без начала и конца, без каких-либо правил. Периодические протесты разных сторон ни к чему не приводят и не приведут, — раз даже в реальном мире наднациональные структуры (ООН, ОБСЕ и т.д.) оказываются бессильными под давлением мощных держав. Что говорить о киберпространстве, где доказательная база изначально добывается значительно сложнее и отсутствует понятие границ государства.
Возможно, читатели уже слышали про недавний (очередной) скандал между Китаем и США, связанный с кибершпионажем. Как обычно, никто ничего не признает. Отмечу лишь, что в подразделениях кибервойск США и Китая (самые яркие примеры: USCYBERCOM в США или НОАК 61398 в КНР) числятся сотни и тысячи военных специалистов, есть возможность задействовать подразделения ВВС, флота, разведки. Также, безусловно, растет уровень влияния хактевистов (группы хакеров по всему миру, действующие в основном по политическим мотивам и из желания прославиться).
Сегодняшняя конфликтная ситуация в соседнем государстве позволяет нам воочию наблюдать и проанализировать методы работы противоборствующих сил в киберпространстве, их основные задачи и цели в кризисах подобного уровня. Кроме того, она поможет спрогнозировать действия сторон и в случае более серьезных обострений. Все это, безусловно, поможет нам подготовиться и минимизировать негативное воздействие на наше киберпространство в кризисные моменты.
В данной статье я бы хотел оценить произошедшие события на примере самой громкой и одной из самых распространенных угроз в Интернете — DDoS-атаки.
Для начала приведу краткую сводку событий, связанных с DDoS. Разумеется, перечисляю наиболее известные и крупные инциденты, о которых было заявлено публично. Безусловно, можно привести десятки других, менее значимых. Так уж получилось, что Россия в данной ситуации оказалась вовлеченной в конфликт, поэтому все, что мы рассматриваем, характерно и для России, и для Украины с некоторыми оговорками. Также вовлеченными (или скорее вовлекающими) оказались страны НАТО.
Октябрь — декабрь 2013
• Атакован сайт партии Украины «Батышщина» (после инсталляции систем защиты от DDoS сами серверы были изъяты представителями силовых подразделений).
• Атакован сайт Центробанка России.
Январь — февраль 2014
• Атакованы информационные системы сайта «Почты России» и сайт «Ведомостей».
Март 2014
О Атакован официальный сайт Президента России (kremlin.ru), крымские сайты референдума (referendum2014.org.ua) и ряд форумов Севастополя и Крыма, сайты Банка России, МИД России, Альфабанка, ВТБ24.
• Атакованы российские биржевые площадки.
• Атакованы сети передачи данных провайдеров Интернета в России.
• Атакован сайт НАТО и NATO Cooperative Cyber Defense Center of Excellence (CCDCOE).
• Атакован сайт украинского информагентства УНИАН.
• Атакован сайт Верховного совета Крыма.
• Атакован сайт ТКС Банка. Апрель 2014
• Атакованы сайты «МК», Russia Today, «Новой Газеты».
Май 2014
• Атакован сайт информационного агентства «Украинские национальные новости».
• Атакован сайт «Известий».
• Атакован сайт ЦИК Украины.
По факту данных инцидентов можно сделать выводы
1. Большая часть значимых инцидентов произошла с ресурсами СМИ, официальными сайтами ведомств. То есть DDoS использовался как элемент информационной борьбы: лишить оппонента источника информации, парализовать работу с общественностью, снизить уровень коммуникации населения в информационном поле оппонента.
2. Достаточно «популярен» оказался финансовый сектор. Здесь в ряде случаев был элемент диверсии, хотя наверняка чаще это была нечистоплотная конкурентная борьба: «под шумок» навредить конкуренту.
3. Значительная часть инцидентов приписывается хактевистам. Основные хактевисты, «представляющие обе стороны»: Anonymous Ukraine, Юберсотня и Киберберкут.
4. Аномальная активность DDoS-атак точно совпала с началом эскалации политического кризиса на Украине. Этот эффект прослеживается четко. И по мере втягивания других сторон инциденты в аномальном количестве появляются и у них.
Статистика
Анализируя активность DDoS, всегда нужно учитывать тот факт, что из года в год интенсивность и сложность DDoS-атак растет. Поэтому нужно обязательно рассматривать текущую ситуацию, сравнивая ее с общей картиной в целом и отделить «нормальный рост» от «аномального роста» количества и/или объема DDoS-атак.
Пользуясь сервисом http://www.digitalattackmap.com/ (совместная разработка Arbor Networks и Google), можно получить наглядную картину по миру по объему и характеру DDoS.
Видно, что за год в мировом масштабе происходящие с октября 2013 г. на Украине события не имеют заметного влияния на общую картину. Заметный (многократный) рост объема DDoS-атак наблюдается только в многолетней перспективе.
Теперь посмотрим на картину по России: здесь видно резкое нарастание объема DDoS с начала 2014 г. (и в основном с марта, что совпадает с известными событиями в Крыму), и пик пришелся на март — апрель.
Примерно похожая картина наблюдалась на Украине, с той разницей, что всплески объема DDoS там наблюдались уже с октября 2013 г., причины чего также вполне понятны.
Учитывая, что DDoS в значительной степени генерировался хактевистами в ответ на нарастание напряженности и политического кризиса, то не удивительно, что на Украине крупные инциденты наблюдаются с октября 2013 г. (отказ от евроинтеграции и начало майдана).
По характеру и природе чаще наблюдались Volumetric DDoS-атаки.
Теперь, рассмотрим глубже характер инцидентов (поквартально в Q4 2013 г. и Q1 2014 г.) по России и Украине (здесь приведены данные системы Arbor Atlas):
Q4 2013 Украина
Количество DDoS атак: 9370.
Максимальная атака (в пике): около 69 Гбит/с (6 млн пакетов в секунду).
Q1 2014 Украина
Количество DDoS-атак: 1310.
Максимальная атака (в пике): около 211 Гбит/с (56 млн пакетов в секунду).
Q4 2013 Россия
Количество DDoS-атак: 11 635.
Максимальная атака (в пике): около 133 Гбит/с (13 млн пакетов в секунду).
Q1 2014 Россия
Количество DDoS-атак: более 7187.
Максимальная атака (в пике): около 125 Гбит/с (33 млн пакетов в секунду).
Выводы
Пользуясь данными диаграммами и статистикой, можно сделать следующие выводы:
1. И в России, и на Украине в сравнении Q1 2014 г. и Q4 2013 г. наблюдалось снижение общего числа DDOS-атак (в разы), но одновременно и многократно увеличилась интенсивность. Также увеличилась продолжительность DDoS-атак. То есть в среднем участники «боевых действий» прекратили размениваться по мелочам и перешли с мелких диверсий к серьезным и масштабным действиям в киберпространстве. По России, несмотря на то что (казалось бы) снизилось число инцидентов и даже максимально зарегистрированная DDoS-атака в Q1 2014 г. чуть уступает Q4 2013 г. (125 и 133 Гбит/с соответственно), общий объем крупных атак в Q1 2014 г. значительно (в разы) превышает Q4 2013.
2. Весьма показательно, что распределение атакуемых сервисов по номерам TCP/UDP портов в Q1 2014 г. смещается в сторону конкретных портов диапазона well known. То есть меньшая хаотичность при выборе сервисов и протоколов объясняется конкретными целями, в частности акцентом на Web-ресурсы СМИ и государственные структуры.
3. Большая нацеленность подтверждается и увеличением среднего времени (продолжительности) DDoS-атаки.
В целом ситуация наглядно продемонстрировала, как могут и будут использоваться DDoS-атаки в условиях острого политического и межгосударственного кризиса. DDoS явился полноценной частью информационной борьбы. В случае более серьезных конфликтов, думаю, DDoS начнет массово использоваться и против инфраструктуры операторов связи разных уровней (хотя уже сейчас, по средней мировой статистике, 2/3 атак — на Tier 2 и 1/5 — на Tier 1. Но как мы смогли убедиться на примере недавнего конфликта, в первую очередь меняется агрессивность атак, а не их количество). То есть задачи DDoS расширятся с задач информационной борьбы до задач кибердиверсий. Пока ситуация на Украине не соответствовала столь жесткому сценарию применения DDoS.
Безусловно, учитывая тенденции по среднему увеличению объема DDoS-атак и их сложности, следующие конфликты будут сопровождаться значительно более интенсивными DDoS-атаками. Обычно армии готовятся к войнам прошлого и оказываются не готовыми к войнам настоящего. Защитить или минимизировать эффект от киберугроз и DDoS, в частности, может государственная стратегия защиты операторов связи национального уровня. С технической точки зрения понадобятся системы очистки от DDoS, сопоставимые по производительности с пропускной способностью основных каналов операторов связи, иерархические системы подавления DDoS, способные инициировать очистку на уровень выше (Tier 1/2/3/Пред-приятие/ЦОД/Хостинг), продуманные концепции защищенной настройки сетевого оборудования.
Значительная часть основных операторов связи России уже развивает системы защиты от DDoS. Если говорить о хостинг-площадках, СМИ, финансовых и торговых площадках, государственных интернет-сервисах, то факт наличия серьезных угроз им уже очевиден: можно заключить, что они станут первой целью в кризисные периоды.