Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила тренды в сфере сетевой безопасности в 2019 году.

Рост рынка IoT означает, что злоумышленники при желании могут эксплуатировать уязвимые устройства, создавая значительную пропускную полосу атаки — как это произошло в середине года, когда протокол WSDD был задействован для нанесения видимого ущерба. Протокол Apple ARMS, который был задействован для получения коэффициента амплификации порядка 35,5, также был виден в атаках на сеть фильтрации Qrator Labs.

В течение 2019 года были выявлены новые амплификаторы (PCAP), а также на практике был зафиксирован уже давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд).

Техника атаки типа Amplification («усиление») заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Атаки, задействующие вектор амплификации SYN-ACK, стали одной из наиболее серьезных сетевых угроз, тогда как до 2019 года оставались лишь теорией. Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 часов.

Довольно интересным является и то, что наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.

В 2019 году был выявлен новый класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи. Многие компании хотят автоматически контролировать поток исходящего трафика, это позволяет им существенно снизить расходы. С этой целью устанавливаются различные устройства, использующие специфичные тактики для работы с протоколом BGP, которые могут работать, только если вокруг них корректно настроены фильтры, предотвращающие утечку маршрутов. К сожалению, существует мало специалистов, умеющих правильно настраивать фильтры, в связи с чем оптимизаторы постоянно «прорываются» и маршруты утекают в неизвестном направлении.

Представитель Positive Technologies отмечает: «Сегодня преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них — реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках, в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример — Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. В настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies».

Несмотря на то что производители мобильных устройств стараются поддерживать как можно больше версий современных приложений, в 2019 году стало заметно, что многие из них всё же перестают обновляться на старых устройствах. В большей степени это касается самого популярного браузера в мире — Chrome. На данный момент существуют целые парки устройств, на которых работают старые версии браузера, а новые — становятся не доступны.

Эти старые версии браузеров содержат в себе уязвимости, которые могут привести к утечке персональных данных и финансовой информации.

С другой стороны, на многих устройствах Chrome продолжает активно обновляться, за счет чего компания Google предположительно проводит A/B тестирование браузера на пользователях.

Все привыкли считать, что, когда выходит новая версия браузера, все компьютеры автоматически до нее обновляются. Однако это не совсем так. Google одновременно выпускает две минорные версии браузера Chrome (затрагивающие менее значительные улучшения и доработки) и часть пользовательских устройств обновляет до одной, половину — до другой. Вероятнее всего, это делается для тестирования новой версии протокола QUIC, который уже поддерживается в Google Chrome. QUIC (Quick UDP Internet Connections) — новый экспериментальный интернет-протокол, разработанный Google для замены старого стека протоколов WWW. Уязвимость QUIC состоит в том, что его непродуманное внедрение в интернет-сервисах может ослабить их защиту от DDoS-атак. Популярные у злоумышленников наборы инструментария для организации DDoS-атак обладают встроенной поддержкой UDP, что может представлять большую угрозу для QUIC, чем для традиционных WWW-протоколов, основанных на TCP.

Ситуация с тестированием Chrome показывает, как Google разрабатывает сетевые протоколы нового поколения. Подобным образом выявляется, в какой из версий Chrome лучше отзывчивость, где лучше работают различные сетевые параметры, у кого из пользователей страница открывается быстрее. Для пользователей такая ситуация существенна с той точки зрения, что у двух отдельно взятых людей сайты могут начать открываться немного по-разному. Также это показатель того, как быстро Google (или другие компании, например, Telegram) может развернуть новый протокол, например, для обхода блокировок, на всех устройствах мира.