История зловредности: суета вокруг DDoS-а.

Что интересно: термин «DDoS» прочно вошел в обиходный лексикон. Во всяком случае, новостные порталы уже давно перестали расшифровывать эти четыре буквы широкой публике. Всем уже понятно: если «DDoS» – то кому-то сейчас плохо, что-то важное не работает, сотрудники скучают, а телефоны техподдержки пострадавшей организации требуют водяного охлаждения по причине массовых звонков недовольных клиентов. Причём в подавляющем большинстве случаев за подобной атакой стоит чей-то злой (а часто ещё и корыстный) умысел.

DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится «всё и всегда онлайн», число старых-добрых компьютеров теперь в разы меньше разных прочих «умных» устройств, подключённых к сети.  Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков.  А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.

Что будет дальше?

Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.

Вот моя очень субъективная «горячая восьмерка» распределённых вредоносных атак, вошедших в историю. От  каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они «чисто DDoS-атаки» в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании присутствует в каждой.

1. Червь Морриса (1988)

Роберт Таппан Моррис, автор исторического червя

Автор червя, аспирант Роберт Моррис, запустил своё зловредное изделие чисто в исследовательских целях. Однако в код программы закралась ошибка, в результате которой червяк не мог определить «чистые» и уже заражённые системы. Вместо разовой атаки удалённых компьютеров вредонос перезаписывал себя на одни и те же системы снова и снова. И потом ещё и ещё. И так по кругу. В результате сеть хватил кондрат, всё упало и остановилось. Все 60 тысяч узлов сети. Заражённая сеть Арпанет, прообраз мировой паутины, заддосила сама себя.

Сам Моррис явился с повинной, покаялся и был приговорен к 400 часам работ и штрафу в 10 тысяч долларов.

2. Melissa (1999)

Дэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почты

Просто почтовый червь в документах MS Office. Если пользователь открывал файл, то вирус рассылал себя по электронной почте 50 получателям из адресной книги жертвы.

Причем тут DDoS, вы спросите?

Вот эти-то 50 емейлов от каждой жертвы и вызвали совершенно грандиозную эпидемию, нараставшую как снежный ком. Распределенная атака бахнула по всему миру! Правда, получилось нападение не на какой-то конкретный ресурс, а на всю глобальную систему электронной почты. Червь сумел значительно увеличить почтовый трафик и заставил многие компании (включая Microsoft) просто отключать свои почтовые сервера.

Сей вирусописатель также был успешно пойман и осужден.

3. DDoS атака на Amazon, eBay, Yahoo, CNN и так далее (2000)

Этот DDoS образца 2000-го года до сих пор немного поражает несоответствием гигантского ущерба относительно скромному наказанию.

История такая: 15-летний хакер по кличке MafiaBoy завалил чуть ли не все главные порталы в Интернете, включая крупнейший поисковик Yahoo (Гугл тогда был среди начинающих). Ущерб от его действий составил около 1.2 млрд. долларов. Сделал он это из простых и понятных в то время соображений – из желания продемонстрировать кибермиру, что он самый крутой. Никаких пошлых денег — чистое и безоблачное подростковое эго, помноженное на общую дырявость Интернета. В силу возраста хакера канадское правосудие назначило наказание: 8 месяцев лишения свободы в исправительном учреждении для несовершеннолетних.

4. Code Red (2001)

В те уже далекие времена киберпреступности как таковой ещё не было. Малвара ещё не зарабатывала криминальные деньги. Она в те времена тупо вредоносила.

Ярким представителем эпохи был червь Code Red, нападавший на веб-серверы Microsoft IIS. Он прославился фразой «Hacked by Chinese» (то есть «взломан китайцами»), а также тем, что на некоторое время вывел из строя сайт Президента США.

Червь умел делать три вещи:

а) заменять полезное содержимое страниц следующей сакраментальной фразой:

б) Распространять себя на новые веб-серверы.

в) Устраивать DDoS-атаку на предустановленный набор веб-адресов, включая тот самый сайт Белого дома, который ему удалось вполне успешно завалить в заранее указанное время, прошитое в коде червя.

Предполагается, что он поразил больше миллиона (!!!) веб-серверов по всему миру, что составляло существенную часть Интернета. Жил только в памяти жертв, файлов не создавал. Кто написал Code Red и с какой целью он (она, они) выпустил(-а/-и) его вредоносить так и осталось загадкой.

Важно заметить: дыру в веб-сервере, которую эксплуатировал этот червяк, Microsoft пропатчил за месяц до эпидемии. В общем, граждане, не забывайте обновлять свои бортовые системы вовремя.

5. SQL Slammer (2003)

Маленький, но ОЧЕНЬ зловредный кусочек кода всего в 376 байт (не кило-, не мега- и не гига-, а просто байт) сумел в январе 2003 г. за 15 минут заразить сотни тысяч серверов по всему миру, увеличить на четверть глобальный трафик, а заодно оставить Южную Корею без Интернета и мобильной связи (!) на несколько часов, заддосив её всю целиком. Причём дыра в Microsoft SQL Server 2000, которую он использовал, была к моменту пандемии полгода как пропатчена. Но, как показывает практика, выпущенный патч отнюдь не равен патчу установленному. Дырявых систем оказалось в большом изобилии и  компьютерный мир тряхнуло очень основательно. У нас тем субботним утром эпидемию встретил лицом к лицу в одиночку дежурный Гостев, проработавший к тому моменту в компании один месяц. Принял, так сказать, боевое крещение — на всю жизнь запомнил!

Скачок трафика выглядел приблизительно так

Кроме всего прочего, эпидемия червяка нарушила работу 13 тысяч банкоматов Bank of America, и, судя по всему, он активно (хоть и косвенно) способствовал тому, что в августе того же 2003-го года 50 млн. человек в Северной Америке остались без электричества.

6. Эстония (2007)

В 2007-м году правительство Эстонии решило перенести из центра Таллина Бронзового солдата – мемориал советскому воину и захоронение советских солдат, погибших в боях за освобождение республики от нацистов. Местное русскоязычное сообщество возражало против переноса, и когда он состоялся, то конфликт перерос в жёстокие столкновения с полицией и массовыми задержаниями.

Параллельно случился исторический DDoS. Это не был крупнейший DDoS в истории, но впервые криминальные спамерские ботнеты угрожали национальной безопасности государства: эстонский сегмент Интернета упал фактически полностью. Банки, Интернет-провайдеры, газеты, правительственные сайты – на какое-то время остановилось всё. Ходят слухи, что за атакой стояли российские власти, но у нас подтверждения этому нет. Что мы точно знаем — что в атаке участвовали криминальные ботнеты и даже отдельные пользователи из голого энтузиазма.

Главный урок атаки на Эстонию состоит в том, что киберпреступность стала угрозой национального и международного масштаба. И что цифровой дом, который мы построили, — сделан из говна и палок довольно уязвимый.

7. DDoS юга России (2007)

Гораздо менее глобально известная, но важная история. Жарким летом 2007-го года Краснодарский край, Адыгея, а заодно и Астрахань остались без нормально работающего Интернета. Он то был, то его не было, причём в рабочее время его чаще не было. От DDoS-а целиком упал крупнейший региональный провайдер. Естественно, паника, инженеры бегают кругами, дымятся роутеры и мозги, ругань, клиенты, в том числе самые высокопоставленные и важные, начинают спрашивать, когда, собственно, Интернет дадут, правоохранительные органы задумываются, кого надо арестовывать и за что.

Атаки шли волнами больше месяца, и их мощность доходила до умопомрачительных по тем временам 10 Гбит/с. Атака была необычной, в ней использовались не только и не столько ботнеты, но и файлообменные пиринговые сети, что и в мировой практике на тот момент практически не встречалось — только в рамках исследовательских проектов. Злодеи установлены не были.

Для России этот DDoS стал поворотным и знаковым. Упал Интернет большого сегмента, и, хоть ты тресни, ничего сделать не получалось довольно долго. До этой истории угроза DDoS особо никого не интересовала, а после она стала остроактуальной и важной проблемой. Появились технологии, телекомы начали активно внедрять всякие специализированные железки. Мы, кстати, тоже по стопам этой атаки включились — разработали свое решение.

8. Политический DDoS в России (2011-2012)

С декабря 2011г. по март 2012г. в России случился большой политический сезон — выборы в Госдуму, выборы Президента, уличные демонстрации, а заодно по рунету прокатилась перестрелка DDOS-м. Ддосили оппозиционные сайты, ддосили проправительственные ресурсы, ЖЖ то лежал, то возвращался к жизни. Интересного во всей этой кутерьме были две вещи:

а) Впервые киберпреступные методы настолько широко, откровенно и массово применялись для достижения политических целей.

б) Для нас многие атаки стали сюрпризом. Мы боремся с малварой и видим множество ботнетов, но многие ДДоСы той поры мы вообще не засекли. И это было очень странно. В общем, то был важный урок для нас.

Что будущее нам готовит?

На 2011-м DDoS не закончился, а, скорее, наоборот. За последние десятилетия выросла целая криминальная отрасль DDoS-атак, полностью коммерческая. Мотивация простая – деньги, «преступление как услуга», заваливание или торможение ресурсов на заказ. И хактивисты тоже активно используют DDoS, да и всякие кибервоенные по всему миру, наверняка, такие инструменты в арсенале имеют.

Сегодня трудно представить эпидемию типа Slammer-а (три раза плюю через плечо, потому что в мире, где миллиарды «умных» и дырявых устройств подключены к интернету и обмениваются данными, возможно всякое).  Но злодеи тоже не дремлют, и недавний ДДоС на «Интернете вещей»  – хорошее подтверждение. Наша зависимость от Интернета и «умных» устройств растёт, а вместе с зависимостью растёт и потенциальный ущерб от любых аварий и отключений, включая рукотворные.

В  общем, пока что мир так и застыл, немного в тёмном прошлом, немного в опасном будущем. А между ними – тревожное настоящее. Поводы для осторожного оптимизма есть, но, боюсь, что мы ещё увидим немало разрушительных атак.