Роман Біблюк: Кількість та складність DDoS-атак збільшується у геометричній прогресії
Виділіть її та натисніть Ctrl + Enter —
ми виправимo
Роман Біблюк: Кількість та складність DDoS-атак збільшується у геометричній прогресії
Наприкінці 2015-го року сайт впливової британської телерадіокомпанії ВВС піддався потужній кібератаці. Кілька годин онлайн-версія провідного ЗМІ була недоступною для користувачів. Це була DDoS-атака, принцип якої полягає в одночасному направленні десятків та сотень тисяч запитів із заражених вірусами комп’ютерів на конкретний веб-ресурс. Атакований сайт або починає вантажитися надто повільно, або взагалі припиняє працювати.
Відповідальність за DDoS-атаку на сайт BBC взяла на себе спільнота хакерів New World Hacking. Хакери запевнили, що на прикладі BBC вони побили світовий рекорд потужності атаки – 605 Гбіт/с. Одиниці сайтів здатні витримати таке «навантаження» й зазвичай перестають обслуговувати користувачів.
Чи захищені українські медіа аби не стати жертвою подібних атак? Фахівці Школи цифрової безпеки DSS380 проаналізували 145 новинних сайтів в Україні й визначили – тільки 14,5% з них (21 редакція) станом на початок 2016 року використовували спеціальні сервіси захисту від DDoS-атак.
Серед редакцій, які використовують захист від DDoS-атак є й газета «Експрес». Веб-розробник Роман Біблюк, розповів про досвід боротьби з DDoS-атаками на сайт expres.ua на початку 2014-го року.
Під час подій Євромайдану від кібератак постраждала низка українських сайтів, серед них: «Українська правда», «Радіо Свобода», Ліга.нет та Цензор.нет.
«До цього часу ми не використовували жодних зовнішніх сервісів захисту. Адже до цього фіксували лише примітивні спроби, які адміністратори сайту оперативно вирішували», – розповідає Роман Біблюк.
«Події розгорталися надзвичайно стрімко. Після кількох коротких розвідок боєм, сайт був атакований ботнетом, що генерував навантаження у понад 3 Гбіт/с. Стало очевидно, що власними силами ми не зможемо нейтралізувати напад», – додає Біблюк.
Відтоді expres.ua захищає система Deflect.ca– безкоштовний сервіс із захисту від DDoS-атак, створений канадською організацією eQualit.ie спеціально для незалежних ЗМІ, правозахисних організацій та активістів. В рамках роботи Школи DSS380, спільного проекту eQualit.ie та ГО «Інтерньюз-Україна», українські медіа та неурядові організації можуть підключатися до безплатної системи безпеки Deflect. Адже часто в журналістів та правозахисників немає фінансових ресурсів на платні системи з інформаційної безпеки.
Роман Біблюк обслуговує десятки українських сайтів, й ми поцікавилися, яка різниця між платними та безкоштовними сервісами захисту, у чому особливості підключень до цих систем та які нові тенденції є у світі кібератак.
В Україні тема DDoS-так вперше вийшла на широкий загал лише на початку 2012 року, коли хакери блокували сайти державних структур протестуючи проти закриття популярного файлообміника ex.ua. Раніше Україна не була цікава хакерам?
Ймовірно, про ці атаки просто публічно не повідомлялося. А, можливо, основна причина в тому, що до 2012 року український інтернет був частково закритий, його великий сегмент був доступний лише в рамках UA-IX без виходу у зовнішній світ, а самі зовнішні канали були не надто широкі і чітко контролювались.
Однак були прецеденти. У 2009 році український інтернет пережив чи не найпотужнішу до цього часу DDoS-атаку. Як повідомлялося, мережева інфраструктура одного з найпопулярніших в Україні реєстраторів доменів та хостингу переживала навантаження у більше ніж 2 Гбіт/с. Тоді фахівці пророкували, що у найближчі кілька років можна очікувати підвищення кількості та рівня обсягів DDoS-атак до 10 Гбіт/с і більше. А вже у жовтні 2010 року DDoS-атаці була піддана українська найбільша телекомунікаційна компанія. В результаті атаки постраждала якість інтернет-послуг. Жодної інформації про те, хто стояв за цією атакою і якими були її цілі, не повідомлялося.
Для порівняння, за даними Arbor Networks у світі вперше зафіксовано DDoS-атаку об'ємом:
- 10 Гбіт/с у 2005 р,
- 50 Гбіт/с у 2009 р,
- 100 Гбіт/с у 2010 р.
Akamai’s [state of the internet] / security Q2 2015 report
Чи можна напряму пов'язувати збільшення DDоS-атаки з політичними подіями в Україні та активною фазою інформаційної війни із Росії?
Існує цікавий проект Digital Attack Map від Google, який у реальному часі моніторить та візуалізує картину світу DDoS-атак, а також дає можливість переглянути історію починаючи з 2013 року. Згідно з його даними, Україна пережила безпрецедентний рівень DDoS-атак вперше під час Майдану в 2014 році. Висновки можете зробити самі.
В бізнесі DDoS -атаки мають за мету тимчасово заблокувати роботу конкурента, наприклад,інтернет-магазин. ЗМІ атакують з метою обмежити доступ до важливої інформації. А чи треба нейтральним сайтам, наприклад сайту про погоду, остерігатися DDoS -атак і підключатися до систем захисту?
Найчастіже ціллю кібератак у світі є онлайн-ігри, технологічні компанії, інтернет-провайдери, фінансові сервіси, медіа та розважальні сайти. В окремих країнах розподіл за галузями може змінюватися, доповнюватися державними установами, правозахисними та недержавними організаціями тощо.
Джерело: Akamai’s [state of the internet] / security Q2 2015 report
Джерело: Digital Attack Map
Якщо задача у всіх DDoS атак переважно спільна – зробити недоступним сайт для цільових користувачів, то мотиви організаторів часто відрізняються. Хтось перетворив це в злочинний бізнес, шантажуючи компанії, для яких критично важлива безперервна робота. Інші атакують з метою недобросовісної конкуренції, гальмуючи роботу сайтів-конкурентів. Ще DDoS-атаки застосовують для несанкціонованих проникнень та крадіжок даних, щоб відволікти та приховати у загальному потоці даних справжні наміри зловмисників.
Не завжди мотиви меркантильні. За останні роки набув поширення хактивізм – суспільний рух політичного протесту із активним залученням уваги медіа. Яскравий приклад – група Anonymous, в активі якої серія гучних акцій та надання у суспільне користування програми LОІС.
А іноді DDoS є ненавмисними. Класичний приклад, коли лінк на сайт невеликої організації чи видання потрапляє на головні сторінки топ-видань, викликаючи інтерес у десятків чи сотень тисяч читачів. Такий різкий стрибок у трафіку за наслідками може бути аналогічним наслідкам атаки DDoS.
Також жертвами можуть стати випадкові сайти, які разом з конкретною ціллю атаки розміщені на одному хостингу чи в одного провайдера, в одному дата-центрі чи на спільних каналах, у одній країні тощо. Тому передбачити системи захисту від DDoS-атак – це вимушена необхідність. Достатньо заповнити форму реєстрації та виконати подальші інструкції. Попередньо рекомендую підготувати наступну інформацію: перелік доменів сайтів, які бажаєте підключити; дані доступу до DNS даних доменів та копію записів їх зон; технічний опис програмного забезпечення, на якому працює сайт (назва CMS, версія); опис усіх динамічних розділів сайту (коментарі, опитування, анкети, Flash, форуми, банери, віджети, API тощо); якщо використовуєте SSL, тоді файли сертифікатів; середньостатистичні дані відвідуваності та трафіку.
Чи можна говорити, що не існує досконалої системи захисту від кібератак, оскільки хакерам вдається заблокувати навіть найбільші новинні сайти, які можуть дозволити собі дороге обслуговування?
Кібератаки з кожним роком нарощують м’язи. Кількість, об’єм, складність атак збільшується в геометричній прогресії. DDoS-атаки і боротьба з ними – це як гра у шахи. Тут наразі немає однозначних переможців. Атакуюча сторона вигадує постійно нові техніки. Сторона захисту вчиться опиратися цьому. Хід за ходом. Але поставити мат не вдається нікому.
Система захисту Deflect.ca, яку ви підключили до сайту expres.ua безкоштовна. Чи є відмінність з платними сервісами?
Вона безкоштовна тільки тому, що передбачена для незалежних медіа, правозахисних організацій і активістів. Сьогодні Deflect.ca використовує понад 7 мільйонів користувачів щомісяця у 25 країнах світу.
Для нейтралізації DDoS-атак Deflect використовує кращі практики захисту, характерні комерційним рішенням: приховування реальної ІР-адреси веб-сайту, запобігання публічного доступу до редакторських/адміністративних розділів (напр. /admin, /login і т.п.), підтримує SSL, використовуються короткі TTL для DNS, політики чорних списків, розподіленого кешування, фільтрування зловмисних запитів за допомогою fail2ban, learn2ban та iptables тощо.
Інфрастуктура мережі складається з численних однотипних реверс-проксі, розміщених у недорогих та географічно віддалених хостинг-провайдерів, що, з одного боку, зменшує вартість обслуговування обладнання, а з іншого, дає свободу вибору між провайдерами.
Коли на початку 2014-го сайт «Експресу» атакували навантаження у понад 3 Гбіт/с і ми самостійно не могли впоратися, eQualit.ie оперативно відгукнулися на запит про допомогу з процесом підключення. Ситуацію ускладнювало те, що сайт все ще перебував об’єктом атаки, проте дякуючи Deflect вже за кілька днів редакція повернулася до звичайного режиму роботи.