История зловредности: суета вокруг DDoS-а.

Что интересно: термин “DDoS” прочно вошел в обиходный лексикон. Во всяком случае, новостные порталы уже давно перестали расшифровывать эти четыре буквы широкой публике. Всем уже понятно: если “DDoS” – то кому-то сейчас плохо, что-то важное не работает, сотрудники скучают, а телефоны техподдержки пострадавшей организации требуют водяного охлаждения по причине массовых звонков недовольных клиентов. Причём в подавляющем большинстве случаев за подобной атакой стоит чей-то злой (а часто ещё и корыстный) умысел.

DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится “всё и всегда онлайн”, число старых-добрых компьютеров теперь в разы меньше разных прочих “умных” устройств, подключённых к сети.  Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков.  А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.

ddos-1

Что будет дальше?

Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.

Вот моя очень субъективная “горячая восьмерка” распределённых вредоносных атак, вошедших в историю. От  каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они “чисто DDoS-атаки” в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании присутствует в каждой.

1. Червь Морриса (1988)

Роберт Таппан Моррис, автор исторического червяРоберт Таппан Моррис, автор исторического червя

Автор червя, аспирант Роберт Моррис, запустил своё зловредное изделие чисто в исследовательских целях. Однако в код программы закралась ошибка, в результате которой червяк не мог определить “чистые” и уже заражённые системы. Вместо разовой атаки удалённых компьютеров вредонос перезаписывал себя на одни и те же системы снова и снова. И потом ещё и ещё. И так по кругу. В результате сеть хватил кондрат, всё упало и остановилось. Все 60 тысяч узлов сети. Заражённая сеть Арпанет, прообраз мировой паутины, заддосила сама себя.

Сам Моррис явился с повинной, покаялся и был приговорен к 400 часам работ и штрафу в 10 тысяч долларов.

2. Melissa (1999)

Дэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почтыДэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почты

Просто почтовый червь в документах MS Office. Если пользователь открывал файл, то вирус рассылал себя по электронной почте 50 получателям из адресной книги жертвы.

Причем тут DDoS, вы спросите?

Вот эти-то 50 емейлов от каждой жертвы и вызвали совершенно грандиозную эпидемию, нараставшую как снежный ком. Распределенная атака бахнула по всему миру! Правда, получилось нападение не на какой-то конкретный ресурс, а на всю глобальную систему электронной почты. Червь сумел значительно увеличить почтовый трафик и заставил многие компании (включая Microsoft) просто отключать свои почтовые сервера.

Сей вирусописатель также был успешно пойман и осужден.

3. DDoS атака на Amazon, eBay, Yahoo, CNN и так далее (2000)

Этот DDoS образца 2000-го года до сих пор немного поражает несоответствием гигантского ущерба относительно скромному наказанию.

История такая: 15-летний хакер по кличке MafiaBoy завалил чуть ли не все главные порталы в Интернете, включая крупнейший поисковик Yahoo (Гугл тогда был среди начинающих). Ущерб от его действий составил около 1.2 млрд. долларов. Сделал он это из простых и понятных в то время соображений – из желания продемонстрировать кибермиру, что он самый крутой. Никаких пошлых денег – чистое и безоблачное подростковое эго, помноженное на общую дырявость Интернета. В силу возраста хакера канадское правосудие назначило наказание: 8 месяцев лишения свободы в исправительном учреждении для несовершеннолетних.

4. Code Red (2001)

В те уже далекие времена киберпреступности как таковой ещё не было. Малвара ещё не зарабатывала криминальные деньги. Она в те времена тупо вредоносила.

Ярким представителем эпохи был червь Code Red, нападавший на веб-серверы Microsoft IIS. Он прославился фразой “Hacked by Chinese” (то есть “взломан китайцами”), а также тем, что на некоторое время вывел из строя сайт Президента США.

Червь умел делать три вещи:

а) заменять полезное содержимое страниц следующей сакраментальной фразой:

ddos-4

б) Распространять себя на новые веб-серверы.

в) Устраивать DDoS-атаку на предустановленный набор веб-адресов, включая тот самый сайт Белого дома, который ему удалось вполне успешно завалить в заранее указанное время, прошитое в коде червя.

Предполагается, что он поразил больше миллиона (!!!) веб-серверов по всему миру, что составляло существенную часть Интернета. Жил только в памяти жертв, файлов не создавал. Кто написал Code Red и с какой целью он (она, они) выпустил(-а/-и) его вредоносить так и осталось загадкой.

Важно заметить: дыру в веб-сервере, которую эксплуатировал этот червяк, Microsoft пропатчил за месяц до эпидемии. В общем, граждане, не забывайте обновлять свои бортовые системы вовремя.

5. SQL Slammer (2003)

Маленький, но ОЧЕНЬ зловредный кусочек кода всего в 376 байт (не кило-, не мега- и не гига-, а просто байт) сумел в январе 2003 г. за 15 минут заразить сотни тысяч серверов по всему миру, увеличить на четверть глобальный трафик, а заодно оставить Южную Корею без Интернета и мобильной связи (!) на несколько часов, заддосив её всю целиком. Причём дыра в Microsoft SQL Server 2000, которую он использовал, была к моменту пандемии полгода как пропатчена. Но, как показывает практика, выпущенный патч отнюдь не равен патчу установленному. Дырявых систем оказалось в большом изобилии и  компьютерный мир тряхнуло очень основательно. У нас тем субботним утром эпидемию встретил лицом к лицу в одиночку дежурный Гостев, проработавший к тому моменту в компании один месяц. Принял, так сказать, боевое крещение – на всю жизнь запомнил!

Скачок трафика выглядел приблизительно такСкачок трафика выглядел приблизительно так

Кроме всего прочего, эпидемия червяка нарушила работу 13 тысяч банкоматов Bank of America, и, судя по всему, он активно (хоть и косвенно) способствовал тому, что в августе того же 2003-го года 50 млн. человек в Северной Америке остались без электричества.

6. Эстония (2007)

В 2007-м году правительство Эстонии решило перенести из центра Таллина Бронзового солдата – мемориал советскому воину и захоронение советских солдат, погибших в боях за освобождение республики от нацистов. Местное русскоязычное сообщество возражало против переноса, и когда он состоялся, то конфликт перерос в жёстокие столкновения с полицией и массовыми задержаниями.

Параллельно случился исторический DDoS. Это не был крупнейший DDoS в истории, но впервые криминальные спамерские ботнеты угрожали национальной безопасности государства: эстонский сегмент Интернета упал фактически полностью. Банки, Интернет-провайдеры, газеты, правительственные сайты – на какое-то время остановилось всё. Ходят слухи, что за атакой стояли российские власти, но у нас подтверждения этому нет. Что мы точно знаем – что в атаке участвовали криминальные ботнеты и даже отдельные пользователи из голого энтузиазма.

Главный урок атаки на Эстонию состоит в том, что киберпреступность стала угрозой национального и международного масштаба. И что цифровой дом, который мы построили, – сделан из говна и палок довольно уязвимый.

7. DDoS юга России (2007)

Гораздо менее глобально известная, но важная история. Жарким летом 2007-го года Краснодарский край, Адыгея, а заодно и Астрахань остались без нормально работающего Интернета. Он то был, то его не было, причём в рабочее время его чаще не было. От DDoS-а целиком упал крупнейший региональный провайдер. Естественно, паника, инженеры бегают кругами, дымятся роутеры и мозги, ругань, клиенты, в том числе самые высокопоставленные и важные, начинают спрашивать, когда, собственно, Интернет дадут, правоохранительные органы задумываются, кого надо арестовывать и за что.

Атаки шли волнами больше месяца, и их мощность доходила до умопомрачительных по тем временам 10 Гбит/с. Атака была необычной, в ней использовались не только и не столько ботнеты, но и файлообменные пиринговые сети, что и в мировой практике на тот момент практически не встречалось – только в рамках исследовательских проектов. Злодеи установлены не были.

Для России этот DDoS стал поворотным и знаковым. Упал Интернет большого сегмента, и, хоть ты тресни, ничего сделать не получалось довольно долго. До этой истории угроза DDoS особо никого не интересовала, а после она стала остроактуальной и важной проблемой. Появились технологии, телекомы начали активно внедрять всякие специализированные железки. Мы, кстати, тоже по стопам этой атаки включились – разработали свое решение.

8. Политический DDoS в России (2011-2012)

С декабря 2011г. по март 2012г. в России случился большой политический сезон – выборы в Госдуму, выборы Президента, уличные демонстрации, а заодно по рунету прокатилась перестрелка DDOS-м. Ддосили оппозиционные сайты, ддосили проправительственные ресурсы, ЖЖ то лежал, то возвращался к жизни. Интересного во всей этой кутерьме были две вещи:

а) Впервые киберпреступные методы настолько широко, откровенно и массово применялись для достижения политических целей.

б) Для нас многие атаки стали сюрпризом. Мы боремся с малварой и видим множество ботнетов, но многие ДДоСы той поры мы вообще не засекли. И это было очень странно. В общем, то был важный урок для нас.

Что будущее нам готовит?

На 2011-м DDoS не закончился, а, скорее, наоборот. За последние десятилетия выросла целая криминальная отрасль DDoS-атак, полностью коммерческая. Мотивация простая – деньги, “преступление как услуга”, заваливание или торможение ресурсов на заказ. И хактивисты тоже активно используют DDoS, да и всякие кибервоенные по всему миру, наверняка, такие инструменты в арсенале имеют.

Сегодня трудно представить эпидемию типа Slammer-а (три раза плюю через плечо, потому что в мире, где миллиарды “умных” и дырявых устройств подключены к интернету и обмениваются данными, возможно всякое).  Но злодеи тоже не дремлют, и недавний ДДоС на “Интернете вещей”  – хорошее подтверждение. Наша зависимость от Интернета и “умных” устройств растёт, а вместе с зависимостью растёт и потенциальный ущерб от любых аварий и отключений, включая рукотворные.

В  общем, пока что мир так и застыл, немного в тёмном прошлом, немного в опасном будущем. А между ними – тревожное настоящее. Поводы для осторожного оптимизма есть, но, боюсь, что мы ещё увидим немало разрушительных атак.

Прочитать комментарии 1
Комментарии 1 Оставить заметку

    Николай

    Евгений!
    Спасибо за “Историю…” Поучительно и интересно.
    С уважением,
    Николай

Оставить заметку