В пятницу вечером и частью субботы (по нашему, российскому, времени) на серверы квартирующей в США компании Dyn была проведена серия атак, повлекшая затруднения доступа к нескольким десяткам самых посещаемых ресурсов Сети. Атака не была ни крупнейшей, ни особенно хитрой технически. Но было у неё свойство, которое напугало многих специалистов. Дело в том, что есть данные, позволяющие утверждать: проведена она была не с помощью компьютеров, точнее, не компьютеров в классическом смысле. За ней стояли «умные» вещи.
Dyn — компания, зарабатывающая DNS-менеджментом таких могучих доткомов, как Amazon, Twitter, PayPal, Netflix, Reddit, SoundCloud, GitHub, а также ряда крупных СМИ (The New York Times и пр.) и некоторых больших сервис-провайдеров (Visa, Verizon и др.). Попросту, она служит их распределённым DNS-сервером: когда сетянину нужен, например, IP-адрес twitter.com, это Dyn принимает запрос и выдаёт наиболее подходящий в данный момент IP-адрес. Понятно ведь, что ресурсам размера Twitter не обойтись одним сервером, у них всё многократно продублировано, да и сама Dyn устроена похожим образом (у неё дюжина дата-центров по стране, прозрачно распределяющих нагрузку). И в общем большую часть времени всё работает нормально, пока не случается кризис вроде пятничного.
А в пятницу утром на её серверы стали миллиардами поступать вроде бы обычные запросы. Какой-нибудь узел спрашивал: а не подскажете ли вы мне адрес сайта 123.twitter.com? И тут же другой: а не подскажете 876.twitter.com? И так далее, и так далее, со случайным набором символов в начале строки. Запросы бессмысленные, однако, именно из-за случайной добавки к адресу отфильтровать их не получалось, приходилось обрабатывать. Первая атака была проведена в начале рабочего дня и продлилась два часа. Вторая — днём и устранение её заняло почти весь день. И была ещё третья, вечером. Трудности с доступом к упомянутым выше ресурсам (и десяткам, которые я не назвал) ощущались не только в Штатах: я лично ковырял тогда своё железо на предмет неизвестной ошибки — и только узнав об атаке, понял, почему не резолвились некоторые адреса. Возможно, заметили и вы?
Непосредственных, прямых последствий у этой, в общем-то классической, DDoS не было — не считая, конечно, затруднений с доступом. А вот косвенные ещё предстоит посчитать. Потому что когда несколько часов отсутствует нормальный доступ к ресурсам вроде PayPal, это неизбежно кому-то вредит. Так что инициировано официальное расследование на самом высоком уровне и уже даже кивают в нашу сторону. Честно говоря, красная паранойя начинает уже утомлять, но в данном случае она не важна. Важны здесь два обстоятельства чисто технического свойства.
Во-первых, остались улики, подтверждающие, что значительная часть DDoS-трафика лилась с «умных» вещей, через бот-сети Mirai и Bashlight. Эти два червя заражают неполноценные цифровые системы вроде IP-камер, цифровых рекордеров, спутниковых ресиверов, точек беспроводного доступа и тому подобного — проникая через дефолтовые рутовые аккаунты, либо незакрытые уязвимости. И процесс идёт настолько успешно, что в каждый момент времени в Сети присутствуют сотни тысяч инфицированных устройств. Заражённое Mirai или Bashlight устройство достаточно перезагрузить, чтобы заразу вылечить, но уже через несколько минут оно будет заражено повторно, ибо инфицированных узлов слишком много и они сканируют интернет в поисках новых жертв.
Помогла бы перепрошивка, но перепрошивать такие вещи — сами знаете, задача непростая. Чаще всего свежих прошивок для них не существует, а если и имеются, то пользователям, на которых такое железо ориентировано, задача не по зубам. Заражённые же устройства включаются в бот-сеть и начинают, по команде из центра, к примеру, лить паразитные запросы на ту же Dyn.
Во-вторых, это не первая атака такого рода и даже вряд ли проведённая в полную силу. С месяц назад Брюс Шнайер рассказал, что неизвестные лица ведут, так сказать, крупномасштабную разведку боем: выявляют прочность критических узлов интернет-инфраструктуры, особым образом их атакуя. Организуется короткая DDoS-атака некоторой интенсивности и оценивается, как она повлияла на работоспособность жертвы. Если вывести из строя атакуемый ресурс не удалось, спустя некоторое время атаку повторяют — начиная с интенсивности большей, чем в прошлый раз. И так до тех пор, пока не будет выявлен порог сопротивляемости.
Стоят за этой активностью скорее всего государственные структуры — и Шнайер тоже считает вероятными виновниками нас и Китай. В его понимании, такие «проверочные атаки» подобны провокациям времён Холодной войны, когда «случайным» заходом самолёта на чужую территорию вскрывались узлы обороны противника. И даже удар по Dyn — это ещё не война, а всего лишь очередная провокация. Настоящее нападение будет мощным и масштабным, затронет сразу множество ключевых объектов.
Какие цели оно может преследовать? Возможно (тут Шнайера продолжают уже другие эксперты), дестабилизацию обстановки в день президентских выборов в США. Беспрецедентная по размаху кибердиверсия, в результате которой окажутся разом недоступны крупнейшие социальные сети, платёжные системы (и, возможно, банки), средства массовой информации, способна деморализовать общественность и если не повлиять направленно на результат, то по крайней мере помешать нормальному течению выборов. Достойная цель.
Соединяя всё это, получаем мрачную картину. Есть силы, которым выгодны удары по ключевым объектам инфраструктуры Сети. Есть ресурсы, с помощью которых такие удары могут быть настолько сильными, что противостоять им невозможно физически. Наконец, есть печальный парадокс «умных» вещей: не патчить нельзя, но патчить невозможно! И ситуация с «дырявыми» «умными» вещами становится только тяжелей: их уже миллионы, а будет намного больше.
Поэтому рассматривайте нападение на Dyn как предвестника бури. Когда-то мы боялись загрузочных вирусов, прятавшихся на дискете. Потом больше всего — заразных макросов в офисных документах. Теперь вступаем в новую эпоху, когда глупые «умные» вещи, направляемые умелой рукой, будут раз за разом ставить на колени весь интернет в угоду политическим силам.
P.S. В статье использованы графические работы Thierry Ehrmann, Downdetector.