История зловредности: суета вокруг DDoS-а.

Previous Entry Поделиться Next Entry
21 ноября, 2016
e_kaspersky
Что интересно: термин "DDoS" прочно вошел в обиходный лексикон. Во всяком случае, новостные порталы уже давно перестали расшифровывать эти четыре буквы широкой публике. Всем уже понятно: если "DDoS" – то кому-то сейчас плохо, что-то важное не работает, сотрудники скучают, а телефоны техподдержки пострадавшей организации требуют водяного охлаждения по причине массовых звонков недовольных клиентов. Причём в подавляющем большинстве случаев за подобной атакой стоит чей-то злой (а часто ещё и корыстный) умысел.

DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится "всё и всегда онлайн", число старых-добрых компьютеров теперь в разы меньше разных прочих "умных" устройств, подключённых к сети.  Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков.  А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.

ddos-1

Что будет дальше?

Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.

Вот моя очень субъективная "горячая восьмёрка" распределённых вредоносных атак, вошедших в историю. От каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они "чисто DDoS" в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании, присутствует в каждой.

1. Червь Морриса (1988)

ddos-2
Роберт Таппан Моррис, автор исторического червя

Автор червя, аспирант Роберт Моррис, запустил своё зловредное изделие чисто в исследовательских целях. Однако в код программы закралась ошибка, в результате которой червяк не мог определить "чистые" и уже заражённые системы. Вместо разовой атаки удалённых компьютеров вредонос перезаписывал себя на одни и те же системы снова и снова. И потом ещё и ещё. И так по кругу. В результате сеть хватил кондрат, всё упало и остановилось. Все 60 тысяч узлов сети. Заражённая сеть Арпанет, прообраз мировой паутины, заддосила сама себя.

Сам Моррис явился с повинной, покаялся и был приговорен к 400 часам исправительных работ и штрафу в 10 тысяч долларов.

2. Melissa (1999)

ddos-3
Дэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почты

Просто почтовый червь в документах MS Office. Если пользователь открывал файл, то вирус рассылал себя по электронной почте 50 получателям из адресной книги жертвы.

Причем тут DDoS, вы спросите?

Вот эти-то 50 емейлов от каждой жертвы и вызвали совершенно грандиозную эпидемию, нараставшую как снежный ком. Распределенная атака бахнула по всему миру! Правда, получилось нападение не на какой-то конкретный ресурс, а на всю глобальную систему электронной почты. Червь сумел значительно увеличить почтовый трафик и заставил многие компании (включая Microsoft) просто отключать свои почтовые сервера.

Сей вирусописатель также был успешно пойман и осужден.

3. DDoS атака на Amazon, eBay, Yahoo, CNN и так далее (2000)

Этот DDoS образца 2000-го года до сих пор немного поражает несоответствием гигантского ущерба относительно скромному наказанию.

История такая: 15-летний хакер по кличке MafiaBoy завалил чуть ли не все главные порталы в Интернете, включая крупнейший поисковик Yahoo (Гугл тогда был среди начинающих). Ущерб от его действий составил около 1.2 млрд. долларов. Сделал он это из простых и понятных в то время соображений – из желания продемонстрировать кибермиру, что он самый крутой. Никаких пошлых денег - чистое и безоблачное подростковое эго, помноженное на общую дырявость Интернета. В силу возраста хакера канадское правосудие назначило наказание: 8 месяцев лишения свободы в исправительном учреждении для несовершеннолетних.

4. Code Red (2001)

В те уже далекие времена киберпреступности как таковой ещё не было. Малвара ещё не зарабатывала криминальные деньги. Она в те времена тупо вредоносила.

Ярким представителем эпохи был червь Code Red, нападавший на веб-серверы Microsoft IIS. Он прославился фразой "Hacked by Chinese" (то есть "взломан китайцами"), а также тем, что на некоторое время вывел из строя сайт Президента США.

Червь умел делать три вещи:

а) заменять полезное содержимое страниц следующей сакраментальной фразой:

ddos-4

б) Распространять себя на новые веб-серверы.

в) Устраивать DDoS-атаку на предустановленный набор веб-адресов, включая тот самый сайт Белого дома, который ему удалось вполне успешно завалить в заранее указанное время, прошитое в коде червя.

Предполагается, что он поразил больше миллиона (!!!) веб-серверов по всему миру, что составляло существенную часть Интернета. Жил только в памяти жертв, файлов не создавал. Кто написал Code Red и с какой целью он (она, они) выпустил(-а/-и) его вредоносить так и осталось загадкой.

Важно заметить: дыру в веб-сервере, которую эксплуатировал этот червяк, Microsoft пропатчил за месяц до эпидемии. В общем, граждане, не забывайте обновлять свои бортовые системы вовремя.

5. SQL Slammer (2003)

Маленький, но ОЧЕНЬ зловредный кусочек кода всего в 376 байт (не кило-, не мега- и не гига-, а просто байт) сумел в январе 2003 г. за 15 минут заразить сотни тысяч серверов по всему миру, увеличить на четверть глобальный трафик, а заодно оставить Южную Корею без Интернета и мобильной связи (!) на несколько часов, заддосив её всю целиком. Причём дыра в Microsoft SQL Server 2000, которую он использовал, была к моменту пандемии полгода как пропатчена. Но, как показывает практика, выпущенный патч отнюдь не равен патчу установленному. Дырявых систем оказалось в большом изобилии и  компьютерный мир тряхнуло очень основательно. У нас тем субботним утром эпидемию встретил лицом к лицу в одиночку дежурный Гостев, проработавший к тому моменту в компании один месяц. Принял, так сказать, боевое крещение - на всю жизнь запомнил!

ddos-5
Скачок трафика выглядел приблизительно так

Кроме всего прочего, эпидемия червяка нарушила работу 13 тысяч банкоматов Bank of America, и, судя по всему, он активно (хоть и косвенно) способствовал тому, что в августе того же 2003-го года 50 млн. человек в Северной Америке остались без электричества.

6. Эстония (2007)

В 2007-м году правительство Эстонии решило перенести из центра Таллина Бронзового солдата – мемориал советскому воину и захоронение советских солдат, погибших в боях за освобождение республики от нацистов. Местное русскоязычное сообщество возражало против переноса, и когда он состоялся, то конфликт перерос в жёстокие столкновения с полицией и массовыми задержаниями.

Параллельно случился исторический DDoS. Это не был крупнейший DDoS в истории, но впервые криминальные спамерские ботнеты угрожали национальной безопасности государства: эстонский сегмент Интернета упал фактически полностью. Банки, Интернет-провайдеры, газеты, правительственные сайты – на какое-то время остановилось всё. Ходят слухи, что за атакой стояли российские власти, но у нас подтверждения этому нет. Что мы точно знаем - что в атаке участвовали криминальные ботнеты и даже отдельные пользователи из голого энтузиазма.

Главный урок атаки на Эстонию состоит в том, что киберпреступность стала угрозой национального и международного масштаба. И что цифровой дом, который мы построили, - сделан из говна и палок довольно уязвимый.

7. DDoS юга России (2007)

Гораздо менее глобально известная, но важная история. Жарким летом 2007-го года Краснодарский край, Адыгея, а заодно и Астрахань остались без нормально работающего Интернета. Он то был, то его не было, причём в рабочее время его чаще не было. От DDoS-а целиком упал крупнейший региональный провайдер. Естественно, паника, инженеры бегают кругами, дымятся роутеры и мозги, ругань, клиенты, в том числе самые высокопоставленные и важные, начинают спрашивать, когда, собственно, Интернет дадут, правоохранительные органы задумываются, кого надо арестовывать и за что.

Атаки шли волнами больше месяца, и их мощность доходила до умопомрачительных по тем временам 10 Гбит/с. Атака была необычной, в ней использовались не только и не столько ботнеты, но и файлообменные пиринговые сети, что и в мировой практике на тот момент практически не встречалось - только в рамках исследовательских проектов. Злодеи установлены не были.

Для России этот DDoS стал поворотным и знаковым. Упал Интернет большого сегмента, и, хоть ты тресни, ничего сделать не получалось довольно долго. До этой истории угроза DDoS особо никого не интересовала, а после она стала остроактуальной и важной проблемой. Появились технологии, телекомы начали активно внедрять всякие специализированные железки. Мы, кстати, тоже по стопам этой атаки включились - разработали свое решение.

8. Политический DDoS в России (2011-2012)

С декабря 2011г. по март 2012г. в России случился большой политический сезон - выборы в Госдуму, выборы Президента, уличные демонстрации, а заодно по рунету прокатилась перестрелка DDoS-м. Ддосили оппозиционные сайты, ддосили проправительственные ресурсы, ЖЖ то лежал, то возвращался к жизни. Интересного во всей этой кутерьме были две вещи:

а) Впервые киберпреступные методы настолько широко, откровенно и массово применялись для достижения политических целей.

б) Для нас многие атаки стали сюрпризом. Мы боремся с малварой и видим множество ботнетов, но многие ДДоСы той поры мы вообще не засекли. И это было очень странно. В общем, то был важный урок для нас.

Что будущее нам готовит?

На 2011-м DDoS не закончился, а, скорее, наоборот. За последние десятилетия выросла целая криминальная отрасль DDoS-атак, полностью коммерческая. Мотивация простая – деньги, "преступление как услуга", заваливание или торможение ресурсов на заказ. И хактивисты тоже активно используют DDoS, да и всякие кибервоенные по всему миру, наверняка, такие инструменты в арсенале имеют.

Сегодня трудно представить эпидемию типа Slammer-а (три раза плюю через плечо, потому что в мире, где миллиарды "умных" и дырявых устройств подключены к интернету и обмениваются данными, возможно всякое).  Но злодеи тоже не дремлют, и недавний ДДоС на "Интернете вещей"  – хорошее подтверждение. Наша зависимость от Интернета и "умных" устройств растёт, а вместе с зависимостью растёт и потенциальный ущерб от любых аварий и отключений, включая рукотворные.

В  общем, пока что мир так и застыл - немного в тёмном прошлом, немного в опасном будущем. А между ними – тревожное настоящее. Поводы для осторожного оптимизма есть, но, боюсь, что мы ещё увидим немало неприятных атак.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «ddos»


почему-то забылась недавняя атака на рос банки после которой касперыч стал рекламить свою новую ось
совпадение?
не думаю

первые посты про ось от Касперского появились после кибер-атаки на атомную станцию в иранском Бушере

Интересно, нужно еще много на тему ИТ.
Спасибо.

Где больше всего вирусописателей?
В Китае или в РФ?

<<<ЖЖ то лежал, то возвращался к жизни

Так это было из-за DDoS-атаки? Мне помнится вы писали, что ЖЖ никто не DDoS-л.

Эстония.. Помню это дело. Принимал так сказать непосредственное участие по мере возможности. Тупо ping ... /t со своей машины.

так их фашистов...

а вы случаем не из антифа? или это селигерские организовывали?

А что, в школах сейчас каникулы что ли?

Не - недавно закончились, во всяком случае у первоклашек

Как в фильме"Голова профессора Доуэля"работает и ладно согласно расписанию и мнению зрителей костящих по чем свет стоит разнообразие всплывающих окон.На крайняк и винду можно перезагрузить если на смс жалко денег.Два часа посидел,мозги компу проветрил.)))

?

Log in

No account? Create an account