Дата публикации: 03.11.2020
Чему научило сферу IT-безопасности
обрушение более 175 000 доменов
в 2016 году
Районы США, подвергшиеся кибератаке Mirai-Dyn в октябре 2016 года, в результате которой в работе интернета произошёл значительный сбой, продолжительностью в несколько часов. Изображение Wikimedia Commons.
21 октября 2016 года миллионы домашних устройств Интернета Вещей были заражены вредоносным ПО Mirai и получили инструкции отправлять запросы данных на популярный в США DNS-сервер Dyn, среди прочего выполняющий роль интернет-коммутатора. Эта волна запросов обрушила более 175 000 доменов, включая Twitter, PayPal и других веб-гигантов, затронув десятки миллионов пользователей.
Атака происходила в несколько этапов. Безобразие началось в 7 утра по местному времени, и несмотря на то, что уже к половине десятого нападение было отбито, в 11:52 было зафиксировано продолжение вредоносного штурма: время ланча, пользователи стали жаловаться на сложности доступа к сетевым ресурсам, и специалисты Dyn остались без перекуса. Но до полного решения проблемы оставалась ещё одно, третье покушение, которое началось уже ближе к вечеру, после 16 часов. И через два часа упорной работы, в 18:11, Dyn отчитался об успешном и бесповоротном устранении проблемы.
Но. Стала ли Всемирная паутина более защищённой четыре года спустя?
На конференции по интернет-измерениям (Internet Measurement Conference) команда CyLab из Университета Карнеги-Меллона представляет новое исследование, направленное на поиск ответа на этот вопрос.
И ведущий его автор Акса Кашаф, доктор философии, студент факультета электротехники и вычислительной техники приходит к неутешительным выводам: «Похоже, что уроки, извлечённые из атаки Dyn в 2016 году, были учтены лишь горстью веб-сайтов, подвергшихся прямому урону».
Успешность атаки Mirai-Dyn в 2016 году обусловлена, как это называют Кашаф и её команда, критическими зависимостями: домены, затронутые покушением, полагались исключительно на сторонний DNS-сервер Dyn. Другими словами, они критически зависели от него, так что после его падения их обрушение было вполне закономерным.
Чтобы оценить изменчивость положения дел, было проанализировано 100 000 самых популярных веб-сайтов по рейтингу Alexa Internet, дочерней компании Amazon по анализу веб-трафика. Были изучены зависимости этих веб-сайтов в 2016 году, а затем сравнили их с зависимостями в 2020 году.
«Поскольку атака Dyn имела такое огромное влияние, можно было полагать, что в результате веб-сайты адаптируются», – говорит Кашаф.
Но оказывается, что в целом критическая зависимость от поставщиков DNS фактически увеличилась! Рост составил примерно на пять процентов за четыре года. Однако, отмечают исследователи, наиболее популярные веб-ресурсы адаптировались с учётом этой угрожающей особенности.
«Мы объясняем это тем, что наиболее популярные веб-сайты больше заботятся о доступности, чем менее известные», – заключает она.
Внимание команды также привлекли обстоятельства с зависимостями двух других операций, связанных с доставкой контента пользователям в сети. Они незаметны, поскольку выполняются, что называется, в мгновение ока при открытии страницы: это сети доставки контента, которые предоставляют информацию и размещают её на полотне сайта (например, видео потоковой передачи) и подтверждающая безопасность соединения проверка сертификата от центра сертификации.
Исследователи обнаружили аналогичные результаты: незначительные изменения критических зависимостей по сравнению с тем злополучным октябрём. И так же наблюдается уменьшение зависимости у наиболее популярных сайтов.
Но это ещё только очевидные вещи. Итоги говорят, что проблема критических зависимостей характерна не только для веб-сайтов. Два предварительных тематических исследования в двух других секторах – больницах и компаниях по производству умных домов – обнаружили цепочки зависимости этих секторов от незащищённости сторонних производителей. А это также означит уязвимость для атак типа Mirai-Dyn, пусть даже косвенную, но уже для самой организации, а не её интернет-представительства.
«Одна очевидная рекомендация для веб-сайтов заключается в том, что они должны повысить устойчивость и избыточность при использовании сторонних сервисов, – советует Кашаф. – И поставщики услуг должны поддерживать и поощрять эту избыточность. Точка отказа у вас не должна быть единственной».
Двигаясь на опережение, исследователи предполагают создать инструмент анализа и проверки структуры зависимостей веб-сайтов для более лёгкого и успешного веб-администрирования. И, кстати, было бы разумным давать вашим администраторам больше свободы: в их возможности принимать обоснованные решения при выборе новых поставщиков услуг кроется первый рубеж защиты от подобных атаке на Dyn неприятностей – невероятно простых в своей логике, но от того не менее вредоносных и лишь более досадных.
АРМК, по материалам Tech Xplore