В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
После единичных случаев кибердиверсий в 1980-х и 1990-х, c начала 2000-х гг. началась настоящая кибервойна без начала и конца, без каких-либо правил. Периодические протесты разных сторон ни к чему не приводят и не приведут, - раз даже в реальном мире наднациональные структуры (ООН, ОБСЕ и т.д.) оказываются бессильными под давлением мощных держав. Что говорить о киберпространстве, где доказательная база изначально добывается значительно сложнее и отсутствует понятие границ государства.
Возможно, читатели уже слышали про недавний (очередной) скандал между Китаем и США, связанный с кибершпионажем. Как обычно, никто ничего не признает. Отмечу лишь, что в подразделениях кибервойск США и Китая (самые яркие примеры: USCYBERCOM в США или НОАК 61398 в КНР) числятся сотни и тысячи военных специалистов, есть возможность задействовать подразделения ВВС, флота, разведки. Также, безусловно, растет уровень влияния хактевистов (группы хакеров по всему миру, действующие в основном по политическим мотивам и из желания прославиться).
Сегодняшняя конфликтная ситуация в соседнем государстве позволяет нам воочию наблюдать и проанализировать методы работы противоборствующих сил в киберпростран-стве, их основные задачи и цели в кризисах подобного уровня. Кроме того, она поможет спрогнозировать действия сторон и в случае более серьезных обострений. Все это, безусловно, поможет нам подготовиться и минимизировать негативное воздействие на наше киберпространство в кризисные моменты.
В данной статье я бы хотел оценить произошедшие события на примере самой громкой и одной из самых распространенных угроз в Интернете – DDoS-атаки.
Для начала приведу краткую сводку событий, связанных с DDoS. Разумеется, перечисляю наиболее известные и крупные инциденты, о которых было заявлено публично. Безусловно, можно привести десятки других, менее значимых. Так уж получилось, что Россия в данной ситуации оказалась вовлеченной в конфликт, поэтому все, что мы рассматриваем, характерно и для России, и для Украины с некоторыми оговорками. Также вовлеченными (или скорее вовлекающими) оказались страны НАТО.
1. Большая часть значимых инцидентов произошла с ресурсами СМИ, официальными сайтами ведомств. То есть DDoS использовался как элемент информационной борьбы: лишить оппонента источника информации, парализовать работу с общественностью, снизить уровень коммуникации населения в информационном поле оппонента.
2. Достаточно "популярен" оказался финансовый сектор. Здесь в ряде случаев был элемент диверсии, хотя наверняка чаще это была нечистоплотная конкурентная борьба: "под шумок" навредить конкуренту.
3. Значительная часть инцидентов приписывается хактеви-стам. Основные хактевисты, "представляющие обе стороны": Anonymous Ukraine, Kiберсотня и Киберберкут.
4. Аномальная активность DDoS-атак точно совпала с началом эскалации политического кризиса на Украине. Этот эффект прослеживается четко. И по мере втягивания других сторон инциденты в аномальном количестве появляются и у них.
Анализируя активность DDoS, всегда нужно учитывать тот факт, что из года в год интенсивность и сложность DDoS-атак растет. Поэтому нужно обязательно рассматривать текущую ситуацию, сравнивая ее с общей картиной в целом и отделить "нормальный рост" от "аномального роста" количества и/или объема DDoS-атак.
Пользуясь сервисом http://www.digitalattackmap.com/ (совместная разработка Arbor Networks и Google), можно получить наглядную картину по миру по объему и характеру DDoS (см. рис. 1).
Видно, что за год в мировом масштабе происходящие с октября 2013 г. на Украине события не имеют заметного влияния на общую картину. Заметный (многократный) рост объема DDoS-атак наблюдается только в многолетней перспективе.
Теперь посмотрим на картину по России: здесь видно резкое нарастание объема DDoS с начала 2014 г. (и в основном с марта, что совпадает с известными событиями в Крыму), и пик пришелся на март – апрель (см. рис. 2).
Примерно похожая картина наблюдалась на Украине, с той разницей, что всплески объема DDoS там наблюдались уже с октября 2013 г., причины чего также вполне понятны (см. рис. 3).
Учитывая, что DDoS в значительной степени генерировался хактевистами в ответ на нарастание напряженности и политического кризиса, то не удивительно, что на Украине крупные инциденты наблюдаются с октября 2013 г. (отказ от евроинтеграции и начало майдана).
По характеру и природе чаще наблюдались Volumetric DDoS-атаки (см. рис. 4).
Теперь, рассмотрим глубже характер инцидентов (поквартально в Q4 2013 г. и Q1 2014 г.) по России и Украине (здесь приведены данные системы Arbor Atlas):
Пользуясь данными диаграммами и статистикой, можно сделать следующие выводы:
1. И в России, и на Украине в сравнении Q1 2014 г. и Q4 2013 г. наблюдалось снижение общего числа DDOS-атак (в разы), но одновременно и многократно увеличилась интенсивность. Также увеличилась продолжительность DDoS-атак. То есть в среднем участники "боевых действий" прекратили размениваться по мелочам и перешли с мелких диверсий к серьезным и масштабным действиям в кибер-пространстве.
По России, несмотря на то что (казалось бы) снизилось число инцидентов и даже максимально зарегистрированная DDoS-атака в Q1 2014 г. чуть уступает Q4 2013 г. (125 и 133 Гбит/с соответственно), общий объем крупных атак в Q1 2014 г. значительно (в разы) превышает Q4 2013.
2. Весьма показательно, что распределение атакуемых сервисов по номерам TCP/UDP портов в Q1 2014 г. смещается в сторону конкретных портов диапазона well known. То есть меньшая хаотичность при выборе сервисов и протоколов объясняется конкретными целями, в частности акцентом на Web-ресурсы СМИ и государственные структуры.
3. Большая нацеленность подтверждается и увеличением среднего времени (продолжительности) DDoS-атаки.
В целом ситуация наглядно продемонстрировала, как могут и будут использоваться DDoS-атаки в условиях острого политического и межгосударственного кризиса. DDoS явился полноценной частью информационной борьбы. В случае более серьезных конфликтов, думаю, DDoS начнет массово использоваться и против инфраструктуры операторов связи разных уровней (хотя уже сейчас, по средней мировой статистике, 2/3 атак – на Tier 2 и 1/5 – на Tier 1. Но как мы смогли убедиться на примере недавнего конфликта, в первую очередь меняется агрессивность атак, а не их количество). То есть задачи DDoS расширятся с задач информационной борьбы до задач кибердиверсий. Пока ситуация на Украине не соответствовала столь жесткому сценарию применения DDoS.
Безусловно, учитывая тенденции по среднему увеличению объема DDoS-атак и их сложности, следующие конфликты будут сопровождаться значительно более интенсивными DDoS-атаками. Обычно армии готовятся к войнам прошлого и оказываются не готовыми к войнам настоящего. Защитить или минимизировать эффект от киберугроз и DDoS, в частности, может государственная стратегия защиты операторов связи национального уровня. С технической точки зрения понадобятся системы очистки от DDoS, сопоставимые по производительности с пропускной способностью основных каналов операторов связи, иерархические системы подавления DDoS, способные инициировать очистку на уровень выше (Tier 1/2/3/Пред-приятие/ЦОД/Хостинг), продуманные концепции защищенной настройки сетевого оборудования.
Значительная часть основных операторов связи России уже развивает системы защиты от DDoS. Если говорить о хостинг-площадках, СМИ, финансовых и торговых площадках, государственных интернет-сервисах, то факт наличия серьезных угроз им уже очевиден: можно заключить, что они станут первой целью в кризисные периоды.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2014