Просматривая списки недавно заблокированных адресов на моём веб-сайте, подумал я, что можно было бы написать об этом статью, раз работы навалилось столько, что не удаётся закончить уже два романа.
Недавно произошло вроде бы непримечательное событие, которое мало кто заметил, и которое врядли заинтересовало кого-либо, кроме специалистов в области информационных технологий, а скорее даже кроме специалистов по безопасности. Была арестована банда, создавшая хостинговую компанию и предоставлявшую её услуги торговцам наркотиками, распространителям вирусов-шифровальщиков и другим преступникам. Вроде бы ничего особенного, просто преступность нашла ещё одну область деятельности. Но это не всё.
Также недавно я был нанят для написания ряда программ для укрепления безопасности. На одном из первых совещаний с новым клиентом мы обсуждали возможность сменить доменного регистратора и создали липовую учётную запись у одного из всемирно известных: GoDaddy. Познакомившись с их ценами и изучив административный интерфейс, мы разошлись, а буквально через пару дней на ресурсы клиента началась массированная хакерская атака. Примечательным является то, что в ней участвовали серверы, размещённые в хостинговой инфраструктуре самой компании GoDaddy. Моё ПО выявило атаку и заблокировало её источники, но дело не в этом, а в том, как преступникам, разместившим свои виртуальные машины на хостинге, стал известен блок IP адресов моего клиента, хотя до их пользования административным интерфейсом именно с серверов GoDaddy их не атаковали.
Объяснение донельзя простое и неутешительное: как говорил доктор Хаус, все врут. Большинство хостинговых сервисов, облаков, как их модно называть, созданы и поддерживаются вовсе не идеалистами-альтруистами, жаждущими облагодетельствовать человечество, а организованной преступностью. Пример подала одна известная личность, нажившая на этом одно из крупнейших состояний на планете, а дальше пошло, поехало, как только его безнаказанность стала известна всем остальным и послужила примером. Доказательств полно: достаточно просмотреть журналы доступа практически к любому IP-адресу, на котором крутится какой-нибудь сервис, преимущественно веб.
В Интернет легко уйти от ответственности, но невозможно спрятаться. Все несанкционированные и злонамеренные действия оставляют следы. Только в низкокачественных приключенческих произведениях их можно подчистить после совершения атаки. В реальности это неимоверно сложно и возможно только при условии наличия своего человека внутри организации. Наследили и пользователи GoDaddy: журналы их попыток доступа остались, и мы обработали их с целью выявления подходов и тенденций и блокировки источников. Что же мы обнаружили? Да то же самое, что я обнаруживаю в таких ситуациях уже почти четверть века: атака была глобально скоординированная. Она велась со множества хостинговых сервисов, расположенных по всей планете. Среди них такие малоизвестные сервисы, как OVH, DataCamp, Driftnet, Namecheap, NetEase и другой мелкой шушары, но были среди них и Amazon AWS, и Microsoft Azure, и Google User Content, и многие другие знаменитости. Что, они тоже подмяты под себя преступниками?
Выявить преступный умысел владельцев хостинга несложно. Достаточно обратиться в их службу предотвращения несанкционированных действий и понаблюдать за реакцией. Скорее всего вы получите один из трёх возможных ответов: никакого или ответ в духе, что ваше обращение необоснованное; или что они разобрались и приняли меры. Первые два варианта, систематически повторяющиеся в ответ на большинство или все обращения, означают, что сервис прикрывает своих подписчиков. Делать это он может по двум причинам: финансовой, исходя из вполне разумного рассчёта, что потерять платящих клиентов просто, а жалобы посторонних на их доход не влияют; и преступной, обусловленной осведомлённостью или участием в этой деятельности. Так они становятся соучастниками.
Реакция трёх крупнейших игроков на рынке облачных услуг неоднозначна. Один из них быстро и положительно реагирует на обращения по поводу рассылок по электронной почте, но совершенно игнорирует обращения по поводу хакерских атак с расположенных у него клиентских виртуальных машин. Другой отфутболивает по всем обращениям, как по необоснованным. Третий просто отмалчивается. Вывод неутешительный: они в доле и защищают своих клиентов-преступников. Что же говорить об игроках поменьше? Полнейшим цинизмом являются ответы от некоторых из них, в которых они требуют регистрации в их службе поддержки и соблюдения ряда требований для обработки жалоб. Это всё равно, как если бы обворованный на базаре гражданин был обязан получить одобрение от пахана или барона на заявление в полицию.
Есть ещё несколько признаков, среди которых следует выделить экстра-территориальность. Когда в юрисдикции жертвы сервис имеет представительство, но атаки идут с его же представительства где-нибудь на другой стороне земного шара, умысел очевиден: попытка избежать преследования. Обращаться локально было бы наиболее выгодно из-за особенностей технического устройства Интернет, но нет, они шлют пакеты через всю планету. Интернациональное преследование за несанкционированный доступ, как я уже писал, практически невозможно. Между горсткой стран существуют договорённости об этом, но найти такую, в которой преследовать не станут, просто, как дважды два. Также невозможно навскидку выявить какой-либо национальный перекос в этих преступных сообществах. В равной степени атаки идут из США, Китая, Великобритании, Японии, Голландии, России, и десятков других стран. Эти сети поистине интернациональные, образующие пресловутую паутину, окутывающую всю планету.
Благодаря журналам доступа, также очевидными становятся преступные связи между хостинговыми сервисами. Они, конечно же, пытаются скрывать их, но это невозможно. Когда атака ведётся сразу с нескольких сервисов, пусть даже расположенных в разных странах, взаимосвязь между ними всё равно очевидна. Их можно сразу арестовывать, и на допросах кое-кто из руководства и сотрудников обязательно расколятся и сдадут всю сеть, но никому нет дела, вернее есть дела поважнее и повкуснее.
Следует ли обращаться в службы предотвращения несанкционированной деятельности хостинг-компаний в ответ на хакерские атаки? Для себя я давно сделал вывод: нет, это бессмысленно или даже скорее вредно. Клиенты платят, а пострадавшие нет. Клиенты повышают курс акций, а наши жалобы его обваливают. Мы с нашими обращениями пользы этим компаниям не приносим, а вред очевиден: стоит прижать хакеров, и денежки тю-тю. Игнорировать нас просто, а если не игнорировать, то клиенты тут же уйдут к другому, более сговорчивому и менее скрупулёзному поставщику облачных услуг. Заодно, обращаясь туда, вы передаёте преступникам ценную информацию: адрес электронной почты, связанный с атакованным IP-адресом, своё имя, если подписываетесь подлинным, и другую. Это даёт им новые возможности или так-называемые векторы атак: социальный инжиниринг и прочие, которые могут быть обращены лично на вас или на других сотрудников. Этого делать не стоит. Ни в коем случае не следует обращаться в мелкие, малоизвестные организации, даже если они публикуют свой abuse@что-угодно адрес электронной почты. Скорее всего они в сговоре, и обращение послужит им на руку. Даже время и даже сам факт вашего обращения может предоставить ценную информацию злоумышленникам, поэтому если вы настаиваете на этом, то хотя бы пишите с анонимного почтового ящика, не подписывайтесь подлинным именем и не предоставляйте вообще никакой достоверной информации о себе и организации.
Правильных подходов два: реакционный, то есть блокировка целых подсетей, к которым принадлежат атакующие виртуальные машины, и предупредительный, то есть выявление всех блоков адресов, назначенных хостинговой компании. Вот почему это как правило является самым правильным и безболезненным подходом: в абсолютном большинстве случаев жертвы атаки абсолютно не заинтересованы в доступе с виртуальных серверов. Такой доступ практически всегда программный и осуществляется не для того, чтобы воспользоваться товарами или услугами жертвы, а для достижения легальных или нелегальных задач владельцев виртуальных машин: сбора информации, взлома, похищения информации и программного кода, привнесения злонамеренных изменений. Говоря простым человеческим языком, большинство жертв несанкционированного доступа заинтересованы только в доступе частных лиц, потенциальных потребителей, с их личных устройств, но никак не в доступе с серверов на хостинге. Поэтому можно вообще заранее принять меры по их блокировке, или, как ни крамольно это звучит, по блокировке целых стран. Я вообще обычно рекомендую обратный подход организациям, оказывающим локализованные услуги: разрешать доступ только из ограниченных регионов. Узнать, что IP-адрес принадлежит хостингу, несложно. Существуют услуги, предоставляющие такую информацию, причём совершенно бесплатно. То же самое можно сделать и географически.
Бывают и исключения. Одному из своих клиентов я помог избавиться от назойливого сканирования портов и попыток скачивать с их веб-страниц несуществующих файлов, что создавало высокую нагрузку на их инфраструктуру. Этой якобы законной деятельностью занималась компания, поизиционирующая себя, как исследователей в области безопасности Интернет. Пригрозив им уголовным преследованием, я убедил их прекратить. Это редкий случай, и прибег я к нему, лишь потому что компания эта известная в своей области деятельности и имеет хорошую репутацию, что является довольно редким случаем.
Внимательный читатель спросит: а как быть, если мне нужно принимать почту с Outlook или Gmail и других подобных сервисов, ведь виртуальные машины Azure, Google Cloud или AWS зачастую сидят на тех же сетях или даже адресах, что и их почтовые сервера? Да, друг мой, и это тоже является признаком злого умысла: они стараются сделать блокировку невозможной или по крайней мере затруднительной, ведь иначе на их хостинг не придут и не принесут денежки. Но для этого, конечно же, существует выборочная блокировка по портам: можно заблокировать одни, но позволить другие. Труднее, когда атакуют ваши почтовые серверы, но и тут можно придумать решение.
Философский вывод из всего вышеизложенного неутешительный: по какой-то непонятной причине широкая общественность безгранично доверяет облачным сервисам. Стадное чувство? Скорее всего, это проявляется именно оно. Сколько бы раз я ни задавал на совещаниях простой и очевидный вопрос: “Уверены ли вы, что вам не повредит передача ваших баз данных и программного кода облачному сервису?”, на меня каждый раз смотрели большими глазами и переглядывались, как будто я сказал какую-то глупость. А потом мы читаем в новостях о том, что у очередной организации украли сто гигабайт личных данных или других документов. Некоторым связь неочевидна, так что остаётся только надеяться, что рано или поздно её начнут замечать.
Крупнейшие игроки в отрасли предприняли некоторые шаги по обеспечению безопасности своих виртуальных машин. Microsoft позволяет полностью шифровать инфраструктуру или отдельные её компоненты. Возможно, что-то подобное предлагают Google, Amazon, IBM и Oracle. Но подавляющее большинство мелких игроков работают со столь же мелкими клиентами, которые не от хорошей жизни пользуются рассыпухой из программного кода на PHP, Python или Perl и базами данных MySQL или PostgreSQL, в которых ничего подобного нет, и, передавая свои системы на обслуживание хостинговым сервисам, они оказываются, как на ладони, под пристальным взглядом преступников всех мастей. Кто-то наивно предполагает, что те не обнюхают каждый байт, не скопируют пароли и ключи шифрования, не сольют личную информацию? С чего бы, когда с их серверов идёт непрекращающаяся атака на весь мир?
Как я неоднократно писал, человечество ведёт себя крайне беспечно и сосредоточено на второстепенном, игнорируя важное и главное. Вот простой пример этому. Лелею ли я надежду, что что-то изменится? Честно признаюсь, нет.