Компании Qrator Labs и Wallarm опубликовал отчет на основе данных первого полугодия 2014 г. по результатам исследования угроз, которым подверглись интернет-ресурсы Рунета. В первой половине 2014 г. компания Qrator Labs нейтрализовала 2715 DDoS-атак. В аналогичном периоде 2013 г. эта цифра составила 4375. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, сократилось со 151 в первом полугодии 2013 г. до 38 в 2014 г. Также уменьшилось и среднее количество DDoS в день – c 23,9 до 14,8 соответственно.
Кроме того, наметился общий тренд по снижению атак класса DNS/NTP Amplification, которые ранее составляли более половины всех атак. Максимальный размер ботнета, задействованного в атаке, вырос со 136644 до 420489 машин. С начала 2014 г. наметился тренд к “укрупнению” атак, то есть их стало меньше, но скорости существенно выросли, что стало представлять серьезную проблему для небольших операторов связи и хостинг-компаний. Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 г. до 90 дней в 2014 г., а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,83% до 99,87%.
Выявленные в первой половине 2014 г. тенденции продолжат свое развитие во втором полугодии. Так, набравший популярность метод атак класса DNS Amplification был полностью вытеснен его “братом близнецом” NTP Amplification. Разница между ними в том, что в атаку вовлекается в первом случае DNS-сервер, который рассылает “мусорные” запросы. Во втором – сервер синхронизации времени.
“В связи с обострением ситуации в Украине мы наблюдали новую волну атак, причем амплитуда этих атак была настолько широкой, что опасности подвергались не только отдельные web-приложения, но целые дата-центры. Мы видели, что в случае политических предпосылок для проведения атаки, атакующая сторона проводила полный анализ топологии дата-центра и атаковала все подключенные к дата-центру каналы связи от сторонних провайдеров (uplink)”, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs.
Глава Qrator Labs также считает, что будет происходить откат к методам менее профессиональным – атакам с помощью ботнетов. Пример такого рода наблюдался в указанном отчетном периоде. Ботнет из почти пяти миллионов голов была задействована для проведения целого ряда атак на сайты российских СМИ. Также в связи с тем, что с DNS Amplification и NTP Amplification научились успешно бороться, атаки будут происходить на более глубоких уровнях, которые пока не покрыты экспертизой и для которых не разработаны комплексные подходы к защите. Речь идет об инфраструктурном уровне и стеке сетевых протоколов.
Продукты Wallarm, предотвращающие хакерские атаки, ежедневно обнаруживают в среднем 850 зловредных запросов на одного веб-приложение, которые могут создать угрозу взлома. При этом во втором квартале 2014 г. среднее число атак на одного клиента увеличилось в 2.5 раза по сравнению с первым кварталом текущего года. Для одной атаки в среднем используются запросы с двух-трех IP-адресов. Среди основных причин взлома сайтов по-прежнему остаются: старое ПО и незащищенные тестовые приложения “по соседству”, заражение вирусом компьютеров, принадлежащих сотрудникам компаний, попавшие в открытый доступ учетные записи, ошибки администрирования (например, оставленные пароли по умолчанию) и слабая парольная политика.
Взломанные ресурсы активно использовались злоумышленниками для совершения DDoS и других атак, а также заражения пользователей вирусами. В некоторых случаях владельцы ресурса сталкивались с саботажем. Известный финансовый брокер столкнулся с шантажистом, который сначала устроил DDoS-атаку на веб-приложение и позже сумел осуществить его взлом, требуя с владельцев $100000 в BitCoin’ах за предотвращение атаки. В результате хакерской атаки на сайт “Российской газеты”, ее сайт был значительное время недоступен для посещения.
Главным событием в сфере информационной безопасности в первом полугодии текущего года стало, по мнению Ивана Новикова, генерального директора Wallarm, обнаружение уязвимости HeartBleed. Эта уязвимость была найдена в библиотеке OpenSSL, повсеместно используемой для шифрования данных. Она позволяет злоумышленникам получать доступ к любым зашифрованным данным, включая пароли к учетным записям пользователей или, например, номера кредитных карт в открытом виде. “Во втором полугодии 2014 г. мы скорее всего столкнемся с увеличившимся количеством атак на ресурсы, написанные на платформе Ruby On Rails и различных фреймворках Java, в том числе Struts 2”, – говорит о прогнозах Иван Новиков. (Qrator Labs/NovostIT)
