Атаки на операторов связи — миф или реальность

Алексей Лукацкий

Жизнь полна неожиданностей

До недавнего времени никому не удавалось убедить операторов связи в том, что хакеры опасны и для них. Однако жизнь расставила все по своим местам. В Великобритании зафиксирован первый случай хакерской атаки, завершившейся для ISP банкротством и уходом из бизнеса.

CloudNine Communications, один из старейших британских Интернет-провайдеров, был атакован злоумышленниками в конце января. Против него были реализованы уже ставшие классикой распределенные атаки типа “отказ в обслуживании” (DDoS), в ходе которых поток данных, перегружающий оборудование провайдера, исходит сразу из сотен и даже тысяч узлов Интернета.

CloudNine, компания с шестилетним стажем, была вынуждена завершить свой бизнес и продать базу данных о клиентах конкуренту — фирме Zetnet. Один из основателей CloudNine Эмерик Мизти назвал атаку против них грамотной акцией, на подготовку которой ушел не один месяц.

В течение длительного времени злоумышленники собирали информацию о ключевых серверах и их пропускной способности. В решающий момент был нанесен удар, от которого CloudNine так и не оправилась. “Мы не знаем, почему наша компания стала предметом интереса хакеров и кто стоит за этим. Кто будет следующим? Это нападение не только на нас, но и на наших клиентов”, — сказал Эмерик Мизти.

Незадолго до атаки на CloudNine был зафиксирован ряд атак и на других провайдеров. Например, в конце января пострадали портал британского представительства итальянского ISP Tiscali и британский ISP Donhost. Первый не мог работать в течение нескольких дней, а функционирование второго было нарушено на несколько часов. Как заявил Стефан Хьют из Tiscali, “это не просто игра, приводящая к выходу одного сервера из строя. Атаки затрагивают доходы портала, так как пользователи не могут получить к нему доступ. Это очень сильный удар по бизнесу”.

Хотя и CloudNine и Tiscali обратились в полицию за помощью в расследовании данных инцидентов, эксперты считают это дело бесперспективным. Обнаружить злоумышленников, которые задействовали сотни узлов и подготовили плацдарм задолго до своей атаки, практически невозможно.

С Tiscali связан и еще один эпизод. 14 февраля этого года был зафиксирован интересный прецедент. Один из клиентов провайдера Free and Liberty Surf, купленного Tiscali, рассылал большие объемы спэма и забил мусором почтовые ящики клиентов Tiscali, в результате ни отправлять, ни получать почту стало невозможно. Многие клиенты обратились в службу технической поддержки Tiscali, за чем и последовало обнаружение спэмера.

Администраторам Tiscali пришлось в течение нескольких дней удалять мусор из почтовых ящиков своих клиентов, что привело к временной остановке работы провайдера и нанесению ему ущерба. В приговоре суда сказано, что спэмер должен выплатить Tiscali $1000 в качестве компенсации за время, потраченное на удаление сообщений из ящиков пользователей.

Но не всегда атакованному провайдеру возмещаются убытки, иногда он сам вынужден делать это по отношению к своим клиентам. Например, в августе 2001 г. после эпидемии Code Red американскому провайдеру Qwest DSL пришлось выложить кругленькую сумму за то, что вследствие выхода из строя оборудования Qwest DSL его клиенты лишились нормального доступа в Интернет.

Вследствие DDoS-атак в феврале текущего года была нарушена нормальная работа многих провайдеров, в том числе SniffOut, TheDotComplete, The DogmaGroup, Firenet и др. Надо сказать, что атаки начались задолго до 2002 г. Например, 7 и 14 декабря 1996 г. Web-сервер американского Интернет-провайдера Web Communications LLC был выведен из строя на 9 и 40 ч соответственно. Эта атака, получившая название SYN Flood, нарушила деятельность более 2200 корпоративных клиентов компании. Как заявил ее президент Крис Шефлер, “мы, вероятно, недооценили серьезность вопросов защиты.

Не следовало полагать, что такое с нами никогда не случится”. За несколько месяцев до этого, в сентябре, аналогичной атаке подвергался другой американский провайдер — Panix. В результате работа его серверов, оснащенных ОС SunOS, была парализована на 12 ч.

В апреле 2000 г. DoS-атака на несколько часов прервала работу крупного американского провайдера AboveNet. В августе был атакован крупнейший провайдер Ирландии — Eircom. В 2001 г. от рук хакеров-антиглобалистов пострадал итальянский провайдер Italia OnLine.

Не проходит месяца, чтобы не была зафиксирована атака на операторов связи в той или иной стране мира. В некоторых случаях хакеров все же находят. Так было в 2000 г., когда гонконгский хакер совершил нападение на местного провайдера Cable & Wireless HKT, за что и получил шесть месяцев тюрьмы.

А что же в СНГ и России? По данным “России-Онлайн”, в течение двух суток, начиная с 9 часов утра 28 декабря 2000 г., самый известный Интернет-провайдер Армении “Арминко” подвергся распределенной атаке, в которой участвовало более 50 машин из разных стран.

Кто организовал эту атаку и в какой стране находился хакер — установить не удалось. Хотя атаке подвергся в основном “Арминко”, перегруженной оказалась вся магистраль, соединяющая Армению со Всемирной паутиной. 30 декабря благодаря сотрудничеству “Арминко” и другого провайдера — “АрменТел” — связь была полностью восстановлена. Несмотря на это, компьютерная атака продолжалась, но с меньшей интенсивностью.

Защищайтесь, сударь!

Как же защититься от подобного рода напастей? Первое, что приходит на ум, — применить списки контроля доступа маршрутизаторов или использовать межсетевые экраны. Именно так и делает абсолютное большинство провайдеров. Но эффективен ли этот метод? Лишь отчасти.

Вот что сказал управляющий директор уже упомянутой компании Donhost Даниэль Конлон: “У нас были установлены межсетевые экраны и задействованы списки контроля доступа на маршрутизаторах, но даже в этом случае с распределенными атаками очень трудно справиться”. Какие еще методы существуют? Самый простой — постоянно отслеживать все новые способы DoS-атак и особенно их распределенных модификаций, чтобы своевременно противопоставлять им соответствующие защитные механизмы.

Помимо межсетевых экранов и списков контроля доступа можно применять сканеры безопасности и системы обнаружения атак. Они подробно описаны в литературе. Существующие системы обнаружения атак уже лишены одного из главных недостатков — низкой скорости работы.

Сегодня есть решения, которым по плечу 100 Мбит/с и даже выше — например, модуль CiscoSecure Catalyst 6000 IDS Module. Эта плата, вставляемая в шасси коммутаторов Catalyst серии 6000 и расширяющая его возможности обнаружения атак, имеет общую производительность около 200 Мбит/с.

Если говорить о программных решениях, то следует назвать самую первую систему обнаружения атак, поддерживающую гигабитный трафик, — RealSecure Gigabit Sentry компании Internet Security Systems. Существует и “суррогатное” решение, заключающееся в распределении гигабитного трафика среди нескольких систем обнаружения атак. Устройство, решающее такую задачу, выпускает компания TopLayer Networks.

В заключение хочу упомянуть еще об одной защитной мере, которая реализуется уже не техническими, а организационными мерами. Я имею в виду страхование информационных рисков. Такую форму защиты предлагает с 1998 г. одна из крупнейших страховых компаний Германии концерн Gerling всем фирмам, занятым в сфере Интернет-услуг.

“Многие Интернет-провайдеры даже не подозревают, какого угрожающего их финансовому благополучию уровня могут достигнуть требования о возмещении ущерба со стороны их клиентов, например, в случае кратковременного перерыва в сеансе связи с Интернетом”, — сказал представитель концерна.

Кстати, вышеописанный пример с Qwest DSL подтверждает этот факт. Gerling предлагает решение, которое должно защищать операторов связи от неправомочных требований о возмещении ущерба и обеспечивать освобождение от ответственности в случае правомочных исков, когда размер возмещения ущерба может подорвать существование фирмы-ответчика.

С автором можно связаться по адресу: luka@infosec.ru.