Компании Qrator Labs и Wallarm, специализирующиеся на противодействии DDoS-атакам и на защите веб-приложений, совместно представили отчеты об актуальных киберугрозах.
Как заявил Александр Лямин, директор и основатель Qrator Labs, в 2014 году злоумышленники проявили феноменальную активность. Среднее суточное число распределенных атак, направленных на отказ в обслуживании, зафиксированных на периметре сети Qrator (ее узлы подключены к каналам крупных магистральных провайдеров), выросло за год с 18 до 26. И фактически через каждые сутки на сети наблюдались атаки мощностью более 100 Гбит/с. В Qrator Labs подчеркивают, что речь идет о суператаках, которые теперь стали обыденностью и угрожают даже владельцам ЦОД.
Например, средний московский ЦОД генерирует трафик порядка 60 Гбит/с, а значит, киберпреступники способны полностью заблокировать его работу. Причем для этого им не потребуются дорогостоящие технические средства и ресурсы. Хакеры в совершенстве освоили Amplification Method — способ многократного усиления атак путем использования брешей в конфигурации серверов DNS, NTP, SSDP, SNMP и др. Научившись массово подделывать IP-адреса отсылаемых пакетов, они заставляют тысячи чужих серверов атаковать жертву. В частности, уязвимые NTP-серверы позволяют нарастить мощность атаки в 1,3 тыс. раз.
По словам Лямина, всплеск подобных атак, зафиксированный в 2014 году, серьезно обеспокоил телекоммуникационные компании, и принятые ими срочные меры вскоре дали позитивный результат — в текущем году отмечен некоторый спад DDoS-нападений высокой мощности. Тем не менее, по прогнозам Qrator Labs, общее число распределенных атак растет, и в 2015 году оно увеличится на 20%. Такие атаки фактически стали средством конкурентной борьбы и в коммерческой деятельности, и в политике.
В прошлом году была замечена еще одна опасная тенденция — злоумышленники стали нападать непосредственно на сетевую инфраструктуру операторов связи. Представители Qrator Labs напоминают о недавней атаке на инфраструктуру шведского телекоммуникационного провайдера TeliaSonera. Хакерам удалось на несколько часов приостановить обслуживание 1,2 млн абонентов этой компании, несмотря на то что она сама является поставщиком услуг защиты от атак DDoS. В Qrator Labs полагают, что подобные инциденты могут стать настоящим бедствием в ближайшей перспективе.
Компания Wallarm, в свою очередь, рассказала об усилении опасности для веб-проектов и интернет-приложений. Как заявил ее генеральный директор и основатель Иван Новиков, 2014 год запомнился появлением нескольких «резонансных» уязвимостей, затронувших безопасность буквально всего Интернета: Heartbleed, ShellShock и Poodle.
Дыра Heartbleed была обнаружена в повсеместно используемой библиотеке OpenSSL. Эта уязвимость поставила под удар миллионы серверов и устройств. По словам Новикова, некоторое время после ее обнаружения в Интернете наблюдался «настоящий террор». Получив возможность читать данные из памяти на удаленных серверах, злоумышленники неоднократно взламывали интернет-ресурсы, похищая оттуда сведения об учетных записях, платежах и другую конфиденциальную информацию. Хотя уязвимость Heartbleed уже выявлена, инциденты с ее участием все еще происходят в Рунете, главным образом из-за сложности обновления некоторых устройств.
Вторая, даже более опасная брешь — ShellShock — была найдена в командной оболочке Bash, широко используемой в Linux- и Unix-системах. Она позволяет злоумышленникам удаленно задавать переменные среды внутри интерпретатора Bash и запускать в системе зловредный код.
Что касается Poodle, то она представляет собой еще одну уязвимость в протоколе SSL, на котором построено большинство современных систем безопасной передачи данных через Интернет.
Уже в начале 2015 года стало известно еще о двух очень опасных уязвимостях: Ghost и Freak. Первая не так страшна, как ShellShock, но в некоторых случаях тоже позволяет киберпреступникам выполнять произвольный код на Linux-серверах. Вторая же пополнила список угроз для каналов SSL.
Эксперты Wallarm убеждены, что в текущем году число киберугроз возрастет. Новиков прогнозирует рост числа атак на облачные сервисы, расширение практики преступного использования ShellShock и Heartbleed в сетевом оборудовании, а также появление новых уязвимостей, связанных с SSL и базами данных NoSQL.