Масштабная DDoS-атака на сервера североамериканского провайдера Dyn 21 октября развязала специалистам руки. Они получили шанс прилюдно озвучить проблемы, описать глобальные уязвимости современного Интернета и без обиняков заявить, кто виноват в будущих бедах. А их не миновать, увы.
Интернет сломался
Суть технологии DNS предельно проста – вы вводите в браузере легко запоминающийся адрес сайта, например, yablyk.com, а автоматика подставляет вместо него цифровой IP-адрес. Какой адрес какому имени соответствует, можно узнать из специализированных баз данных. Сайтов нынче во всемирной паутине не счесть – для управления сложными механизмами DNS выделяются специальные службы, в числе которых была и злополучная американская компания-провайдер Dyn. Ушлые хакеры вместо того, чтобы ломать поштучно аккаунты пользователей в Netflix, Twitter, PayPal, Spotify или Amazon Web Services, взяли и устроили качественную, мощную DDoS-атаку на Dyn. Сервера «легли» – миллионы пользователей остались без доступа к любимым, а для кого и жизненно важным сайтам и сервисам.
Почему в Dyn не контратаковали, не предприняли мер? Когда Интернет был маленьким и болезненным детищем военщины США, перед учеными и инженерами стояла задача создать сеть, которая выдержит удар извне. Атомный или крылатыми ракетами по узлам связи – неважно, главное сохранять связь даже при утрате части узлов, включая и центральный. На каждом участке сети по умолчанию находились доблестные офицеры, которые действовали сообща, в единых интересах. Полстолетия назад никому и в голову не пришло защитить Интернет от атаки изнутри, поэтому в XXI веке мы все чаще пожинаем плоды тех решений.
Механизмы блокировки, изоляции отдельных узлов и даже целых сегментов существуют, однако по умолчанию Интернет – проходной двор. Кто угодно, откуда угодно и с какой угодно целью может подключиться и начать готовить атаку. Ни проверки на благонадежности, ни тем более цензуры в глобальном отношении нет – это отпугнет пользователей, которые являются ценной клиентурой коммерческих структур. Лишь более-менее строгие инициативы отдельных держав и самосознание, ответственность рядовых граждан. Они и сломали Интернет – своим бездействием, наивной пассивностью.
Армия тупых гаджетов
Беглый анализ DDoS-атаки на Dyn показал небывалое количество бойцов в армаде вторжения – запросы сыпались с десятков миллионов адресов. Случай не беспрецедентный, так как буквально за месяц до этого схожему нападению подвергся сайт французской компании OVH. Сопоставив происшествия с иными инцидентами, эксперты уверенно назвали виновника – ботнет Mirai. Зверь знакомый, но в своем роде выдающийся, так как предпочитает заражать не компьютеры пользователей, а более уязвимые «умные устройства».
Веб-камера для контроля над кроваткой младенца, чайник, «мудрая лампочка», док-станция с голосовым управлением, холодильник и т.д. Все эти устройства в 2016 году отличают два качества: они сконструированы очень, очень просто ради дешевизны и утилитарности, плюс в своем большинстве управляются со смартфона. Для чего по умолчанию имеют подключение к Интернету или хотя бы к локальной Wi-Fi-сети. Как отмечает Ричард Симс (Richard Sims) из Technology Partnership, они могут скачивать обновления и выполнять команды, но чтобы установить элементарный файерволл, им попросту не хватит памяти.
Эти гаджеты в корне отличаются, скажем, от промышленных роботов или бортовых компьютеров автомобилей. Они недорогие, ориентированны на широкую аудиторию, практически всегда используют самые простые, распространенные протоколы и стандарты, чтобы тысячи разработчиков могли без труда написать под них свое приложение или виджет. Открытый исходный код и символические требования к производительности, ресурсной базе – кроме как выполнять команды извне и базовые функции, все «смарт-продукты» более ничего не умеют. Послушные, неказистые рабы в руках опытного кукловода-ботнета.
Кто, кроме заядлого гика, будет углубляться в настройки дверного звонка или аквариумной подсветки? Компании-производители стараются, чтобы их изделия работали «из коробки», с высокой степенью автономности, что импонирует большому числу потенциальных покупателей. Им и в голову не придет проанализировать трафик кофеварки, чтобы отыскать там следы присутствия Mirai. Ботнет, который атаковал сервера Dyn, базировался на мощностях огромной армии безликих гаджетов, загодя и тайком собранных в ударный кулак.
ПО ТЕМЕ: Как беспроводные технологии изменят облик мира в течение следующих 10 лет?
Кто виноват и что же делать
Что произошло и будет происходить, понятно, однако как можно обвинять пылесос в участи в DDoS-атаке? В смысле, что с этого толку? Первопричина преступления в том, что авторы Mirai грамотно отреагировали на тенденцию – компоненты «умного дома» зачастую используются с заводскими установками, почти никто не утруждает себя глубокой настройкой. Взлом сводится к сканированию эфира и подборке логинов-паролей из числа стандартных комбинаций, это легко сделать в фоновом режиме. Первая подобная атака, числом более 100 000 устройств, была зафиксирована еще в 2014-ом, а с тех пор количество «поумневших» предметов интерьера выросло в разы. Скоро счет пойдет на триллионы – вот и благодатная почва для взращивания ботнетов колоссальной мощности.
Учитывая скудное аппаратное и программное обеспечение компактных, узкоспециализированных потребительских устройств, разрабатывать для них мощные антивирусы или брандмауэры бессмысленно. А научить пользователей относится к вопросам безопасности со стороны «умного кондиционера» также тщательно, как при использовании смартфона и банковского ПО – еще сложнее. Однако наиболее трудно будет убедить производителей снизить темпы развития эко-системы Интернета вещей, уменьшить скорость насыщения окружающего пространства чересчур интеллектуальными, а на практике такими уязвимыми устройствами.
Можно запустить десятки кампаний и просветительских шоу, которые будут раз за разом поднимать вопросы безопасности – пока у некоторых пользователей не разовьется фобия, вплоть до боязни электровеника. Можно ввести законодательные ограничения на распространение этих устройств – чтобы светофор вместо своей работы не начал майнить биткоины или подбирать код к сейфу Минобороны. А еще можно попробовать IT-гигантам выработать общие правила, кодекс безопасности в Интернете вещей и внедрить защиту от подобного вульгарного перехвата управления на системном уровне. Стимул предпринять хоть что-то крайне велик – пятничная атака на Dyn оставила без Интернета миллионы американцев и европейцев, а следующая может причинить еще больше бед. Алгоритмы ботнета Mirai и ему подобных, увы, уже давненько лежат в открытом доступе – Интернет ждут непростые времена.
Смотрите также: