Числом поболее, ценою подешевле

Продолжим развивать тему безопасности, а вернее небезопасности Интернет. На этот раз речь пойдёт о т.н. распределённых нападениях с целью отказа в доступе, широко известных под аббревиатурой DDOS. Что это, и как это осуществляют?

У любого ресурса, подключённого к сетям передачи данных, например страниц государственных органов, торговых организаций, соцсетей, справочных и т.д. есть максимальная пропускная способность. Она может быть ограничена, как мощностью программного или аппаратного обеспечения ресурса, так и каналом его связи; как объёмом передаваемых данных, так и количеством обращений. Превышение любого из этих параметров приводит к невозможности обслуживания нагрузки, создаваемой ожидаемыми и легитимными пользователями. Происходит отказ в обслуживании.

Чтобы превысить пропускную способность канала связи, достаточно подать на адрес ресурса достаточно запросов, чтобы их суммарный размер оказался больше. Для этого как правило нужно привлечь множество исходящих адресов, потому что существующее ПО для защиты ресурсов легко справляется с ограничением запросов с одного адреса, но не может справится, когда количество исходных адресов значительно вырастает. Аналогично превышают количество запросов за единицу времени. Для всего этого злоумышленники, которыми кишит Интернет, привлекают несколько разных типов ресурсов.

Самый распространённый сценарий — это захват и подчинение ими оборудования или ПО ничего не подозревающих пользователей. Обычно такое происходит с дешёвыми устройствами, имеющими выход в Интернет. Большинство из них — это камеры наблюдения, но также встречаются и другие «умные» (в двойных кавычках) устройства. Будь они действительно умными, этой проблемы не существовало бы. К сожалению, они на самом деле непроходимо глупы, и вот почему.

В условиях непрекращающегося глобального экономического кризиса последних нескольких десятков лет, производители постоянно ищут способа сэкономить копейки, десятые доли копеек, и т.д. Для этого законопослушные и добросовестные производители встроенное ПО, иначе известное, как прошивки таких устройств, стараются запрограммировать как можно проще, и при этом срезают углы и экономят на безопасности. Недобросовестные намеренно встраивают в него чёрный ход. В результате такие устройства относительно просто взломать и подчинить, или же они с фабрики уже готовы к такому. Миллионы подобных устройств рассылаются покупателям и оказываются подключены к Интернет безо всякой защиты. Наступает нужный момент, и все они получают сигнал навалиться на какой-нибудь адрес и начать отправлять на него поток запросов, который приведёт к перенасыщению ресурса и отказу в обслуживании. Можно ли что-то предпринять против этого?

Да, можно, нужно, и предельно просто. Достаточно регулирующим органам вытащить голову из песка и оглядеться вокруг: решений полно, и осталось лишь принять несколько законов или подзаконных актов. Так чего же они ждут, словами Гимли? Пинка?

Во-первых, большинству этих «умных» устройств вообще не нужен выход в Интернет. Почти 100% таковых никогда не потребуется обновление ПО. Почти 100% таковых обновления ничем не помогут. Размер их внутренней памяти выбран по минимуму, только чтобы влезла минимально работающая прошивка. Добавлять полезные обновления просто некуда. Разумным индивидуумам должна казаться дикой сама мысль о том, что придётся скачать с как правило подозрительного адреса неведомую программу, как правило для ОС Windows, и запустить её, причём она зачастую потребует запуска из-под административной учётной записи. А ведь находится немало таких, кто это делают.

Во-вторых, большинству пользователей этих устройств совершенно не нужен доступ к ним из публичного Интернет. Если они нуждаются в круглосуточном, ежедневном удалённом доступе к камере наблюдения, умному дому и т.п., значит на кону деньги и немалые, следовательно они не обеднеют, если примут ряд мер для того, чтобы обезопасить свой удалённый доступ. Да, как я уже неоднократно писал, всё затрудняется фундаментальными принципами технической реализации Интернет: у всего в нём могут постоянно меняться адреса, и это затрудняет защиту ресурсов. Так и у подобных пользователей может постоянно меняться адрес устройства, с которого они, например, просматривают отснятое камерой наблюдения изображение. Но это всё равно не беда: достаточно поднять в локальной сети камеры виртуальную частную сеть, и всё, камере больше вообще не нужен внешний IP адрес, потому что через VPN пользователь входит в саму локальную сеть. Вместо камеры, слушавшей внешние запросы, которую можно было обнаружить при помощи сканирования портов с другой стороны планеты, даже если она изначально не имела чёрного хода, теперь во внешний мир выставлен лишь порт VPN, защищённый именем пользователя, паролем, а может быть, и двойной аутентификацией, с сильным шифрованием поверх всего этого, который не содержит признаков присутствия каких-либо устройств. Внезапно вместо сотен миллионов подобных ждунов, готовых обрушить сотни гигабит DDOS на любой ресурс мира, Интернет становится тихим и безопасным местом.

Сразу оговорюсь: речь далеко не только о камерах. Просто их больше всего, их производители участвуют в гонке цен по направлению к нулю, и они у всех на слуху. Среди подверженных устройств и телевизоры, и маршрутизаторы, а в последнее время и всё расширяющийся парк «умных» пылесосов, стиральных машин, и прочего мусора.

По какой-то, казалось бы, на первый взгляд необъяснимой причине, подобные атаки почти всем сходят с рук. За свою долгую карьеру в области информационных технологий я наблюдал достаточно масштабных атак, которые причинили существенный ущерб и потребовали длительных работ по устранению последствий. Кто понёс за это ответственность? Кроме немногих «крайних» среди ответственных сотрудников пострадавших организаций, пожалуй, никто. Ни производители этих мусорных устройств, ни те, кто позволили им заполонить рынки, ни их покупатели — никто не был привлечён к ответственности.

Я не призываю сажать покупателей дешёвых камер наблюдения в концентрационный лагерь или отправлять их в газовые камеры! Ни в коем случае! Но было бы вовсе несложно принять закон, по которому любое устройство, которое требует подключения к Интернет для выполнения своей основной функции, должно обязательно сопровождаться информационным листком, в котором простым человеческим языком его потребителю объяснят, какие существуют опасности и как их можно устранить.

Ещё можно было бы законодательно обязать провайдеров Интернет предоставлять два уровня обслуживания: для обычных пользователей, которым нужен только выход, и для продвинутых пользователей, которые требуют входящие соединения. Эти услуги необязательно должны различаться стоимостью: достаточно просто наличия выключателя, пусть даже доступного пользователю через портал самообслуживания, но решение включить его должно быть осознанным и информированным.

Если к тому же законодательно потребовать от провайдеров позволять их пользователям ограничивать географически доступ к своим ресурсам, то угроза не только DDOS, но и многих других типов атак значительно сократится. Пользователи и сами могут это осуществить, но если это будет сделано в инфраструктуре провайдера, то эффективность такого решения будет намного выше.

Неужели я призываю к чему-то сложному, дорогостоящему, что приведёт к банкротству градообразующих предприятий, массовым увольнениям и прыжкам с небоскрёбов? Нет, конечно! По сравнению с ущербом от DDOS это всё стоит копейки, потому что инфраструктура для всего этого или уже существует, или может быть относительно недорого введена в эксплуатацию. Всегда и всюду я призываю лишь включить мозг и задуматься о важном, а не о второстепенном.

Мне могут возразить: источники DDOS трудно отследить. Да, кое-какие затруднения существуют, но лишь по той же самой причине, о которой я твержу уже давно: человечество не воспринимает Интернет всерьёз. Да, действительно, в момент такой атаки его цель оказывается в затруднительном положении, и до него многие запросы могут даже не доходить. Но когда начинается такая масштабная атака, в борьбу с ней включаются провайдеры ресурсов и их провайдеры, а вот они уже десятилетия как обладают средствами отслеживания потоков данных. Остаётся немногое: отработать по источникам. Необязательно подавать в суд или сажать! Хотя бы выдать предупреждения, хотя бы сообщить, ведь большинство владельцев взломанных устройств даже не подозревают об этом, хотя бы выдать предупреждения!  А вот это почему-то не происходит.

Не буду показывать пальцами, но существует одна глобально известная организация, предлагающая всем желающим защиту от DDOS. По странному совпадению её клиентами, один за другим, оказываются почти все жертвы таких атак: на пока ещё незащищённый ресурс обрушивается поток запросов, и его владельцы бросаются подписываться на услугу защиты. Наблюдается аналогия с производителями антивирусов, которые действуют по похожему сценарию: выпускают вирус, запугивают широкую общественность, и выкатывают средства обнаружения и лечения. Уж не намеренно ли создана ли в Интернет обстановка, благоприятствующая правонарушениям? Уж не пытается ли кто-то монополизировать рынок, узнать всё о всех, и обрести контроль над всем и продать информацию обо всех производителям, поставщикам услуг и другим структурам? Судите сами. Я разложил все факты перед вами, как на блюдечке с голубой каёмочкой.

Помимо этого, практически каждый обладатель т.н. «умных» телевизоров и других устройств знает, что производитель спит и видит превратить каждый из них в тыкву при помощи обновлений. Осуществляется это при помощи привязки устройств к подконтрольным производителю услугам, без которых затруднительно обойтись. Осознают ли потребители, что таким образом они предоставляют производителю полный контроль над устройством, включая наблюдение за действиями пользователя, удалённое включение и выключение, попытки взлома других устройств в проводных и находящихся поблизости беспроводных сетях, а также уже упомянутую DDOS?

Да, проще всего купить железку, подключить её к сети, забыть, забить и не задумываться. Так большинство и поступает. А потом вдруг падает какой-нибудь важный сервис, которым пользуются миллионы, и они же ноют: «Как же так? Кто допустил?» А допустили те, кто в упор не желает замечать и признавать, что Интернет — это не песочница на детской площадке, а поле битвы политических и экономических гигантов за влияние и доходы, в которой рядовой пользователь оказался побочной жертвой. Тут ведь ещё такой аспект есть: жертвы не заинтересованы поднимать шум. Если они могут замолчать происшествие, они так и поступят, чтобы не терять репутацию и не нарываться на нежелательное внимание ото всех вообразимых сторон, включая регуляторов и правоохранительные органы.

Снова и снова я повторяю простую истину: меры по обеспечению безопасности в Интернет не обязательно сложные и дорогостоящие. Достаточно включить мозг и перестать быть несведущими и безответственными потребителями всего подряд, что подешевле. Не предпринимая практически никаких мер против инициаторов атак DDOS, человеческое общество снова и снова демонстрирует увлечение второстепенным и хроническую неспособность сосредоточиться на важном.