Кибервар в Эстонии и на Ближнем Востоке

Помог ли член вашей семьи начать кибер-атаку, которая привела целую нацию на колени? Нет, серьезно, не смейтесь. В апреле 2007 года связь в Балтийском государстве Эстонии была искалечена благодаря скоординированной атаке, которая опиралась на компьютеры миллионов невинных пользователей по всему миру, как и вы, и ваши родственники. Забастовка была заметна, полностью продемонстрировав, как кибер-война перешла от идеи к реальности. И все началось с движений одного солдата.

Бронзовый солдат — это двухметровая статуя, которая раньше стояла на небольшой площади в Таллинне, столице Эстонии, над местом захоронения советских солдат, погибших во Второй Мировой войне война. Мемориал давно разделил население страны, а местные эстонцы рассматривали его как символ советской (и бывшей нацистской) оккупации и большого меньшинства (около 25% от общего числа) этнических русских иммигрантов, считая это эмблемой советского победа над нацистами и российские претензии в отношении Эстонии. Когда новое правительство страны Ансип инициировало планы по перемещению статуи и останков в рамках избирательного мандата 2007 года, этот шаг вызвал худшие беспорядки, которые страна когда-либо наблюдала, — и поразительная кибератака из России.

27 апреля , так как два дня беспорядков потрясли страну, и посольство Эстонии в Москве оказалось в осаде, массовое нападение на отказ от службы (DDoS) подавляло большую часть интернет-инфраструктуры Эстонии, что приводило к почти полной остановке онлайн-активности. Целями были не военные сайты, а гражданские сайты, принадлежащие таким организациям, как банки, газеты, провайдеры интернет-услуг (ISP) и даже домашние пользователи. Большая часть натиска исходила от хакеров, использующих адреса ISP в России, но самым разрушительным элементом в этой атаке был ботнет, который кооптировал миллионы ранее зараженных вирусом компьютеров по всему миру, чтобы уничтожить эстонскую инфраструктуру.

Анатомия Cyber ​​Attack

Ботнет одурачил эстонские сетевые маршрутизаторы, постоянно пересылая бесполезные пакеты информации друг другу, быстро наводняя инфраструктуру, используемую для ведения всего онлайн-бизнеса в стране. Атака была сосредоточена главным образом на небольших сайтах, которые легко выбить, но тем не менее были разрушительно эффективными. Банковские веб-сайты стали недоступными, парализуя большую часть финансовой деятельности Эстонии. Сайты прессы также подверглись нападению, пытаясь отключить источники новостей. И интернет-провайдеры были перегружены, что привело к потере доступа к интернету для значительных слоев населения.

Хотя правительство Эстонии ожидало, что будет интерактивный ответ на его решение о перемещении статуи, он был совершенно не подготовлен к масштабам кибератаки , Министр обороны Эстонии сделал запись, чтобы объявить нападение «ситуацией в области национальной безопасности», добавив, что «это можно эффективно сравнить с тем, когда ваши порты закрыты для моря». (1)

Как только стало ясно, что большая часть была затронута инфраструктура бизнес-бизнеса, команда компьютерной аварийной помощи для Эстонии (CERT-EE) выступила с призывом помочь специалистам по ИТ-безопасности во всем мире, и была собрана специальная команда спасения в цифровой форме, в которую вошли люди из моей собственной фирмы «Beyond Security» , Нам потребовалось несколько дней, чтобы разобраться с угрозой и начать настройку защиты на фронте, что в основном связано с внедрением технологий фильтрации входящей сети BCP 38 на всех затронутых маршрутизаторах, чтобы предотвратить спуфинг интернет-трафика. Атака быстро ослабела, когда мы начали принимать защитные меры. Но в те дни, которые потребовались для борьбы с атакой, вполне вероятно, что страна потеряла миллиарды евро в условиях сокращения производительности и простоев бизнеса.

Кибер-война на Ближнем Востоке

Эстонский инцидент войдет в историю как первый крупный (и, надеюсь, самый большой когда-либо) пример полномасштабной кибервойны. Однако на Земле есть одно место, где кибер-война стала частью повседневного онлайн-пейзажа — и она все еще продолжается.

На Ближнем Востоке арабо-израильский конфликт имеет значительный элемент онлайн, тысячи атак и контратак в год. Это была ситуация после краха мирных переговоров в регионе и предшествовала спонтанная широкомасштабная киберальная война между арабскими и израильскими хакерами в 1999 и 2000 годах. В этом отношении участвуют арабские сторонники со стороны многих стран. Группа марокканских хакеров в течение последних шести лет разрушала израильские веб-сайты, и недавно военная радиостанция Израиля была проникнута иракским хакером.

В отличие от забастовки, подобной блицкригу в Эстонии, эта затяжная война не предназначена парализовать критические функции врага, но больше, чтобы поднять моральный дух, истощить ресурсы и затруднить экономику. Цели — это, как правило, низко висящие фрукты в интернет-терминах: небольшие транзакционные, информационные и даже домотканые веб-сайты, чья безопасность может быть легко скомпрометирована. Взятие и защита этих сайтов — это способ запугать оппозицию — создать ощущение «если они здесь, где еще они могут быть?» — и приводит к значительной потере данных, прибыли и доверия для владельцев сайтов.

Cyber ​​War Spreads

Если примеры из Эстонии и Ближнего Востока были нашим единственным опытом кибервойны, тогда это может быть соблазн привести их к местным факторам и, следовательно, не относится к более широкому сообществу безопасности. Однако, к сожалению, эти случаи являются лишь частью гораздо большей тенденции к сбою на цифровых коммуникационных платформах. Например, в январе этого года два из четырех интернет-провайдеров Кыргызстана были выбиты крупным ударом DDoS, авторы которого остаются неизвестными. (2) Хотя детали являются отрывочными, считается, что атака отключена на 80% всего интернет-трафика между бывшей республикой Советского Союза и Западом

. Похоже, что забастовка возникла из российских сетей, которые, как считается, имели связь с преступной деятельностью в прошлом, и, вероятно, единственное, что препятствовало повсеместному разрушению в этом случае, — это факт что онлайн-службы Кыргызстана, в отличие от Эстонии, в лучшем случае бедны. По-видимому, это была не первая такая атака в стране. (3) Утверждается, что на президентских выборах в стране в 2005 году был политически мотивированный DDoS, якобы приписанный киргизскому журналисту, сочувствующему оппозиционной партии.

Китай также занимался кибервойной в последние годы, хотя и в меньших масштабах. Считается, что хакеры изнутри страны проникли на ноутбук министра обороны США, чувствительные французские сети, компьютеры США и Германии, сети Новой Зеландии и компьютерные системы полиции Тайваня, обороны, выборов и центрального банка.

В аналогичном моды, в 2003 году кибер-вредителей взломали на официальный веб-сайт лейбористской партии Великобритании и опубликовали фотографию президента США Джорджа Буша с его собакой — с главой Тони Блэра, премьер-министра Великобритании в то время, наложенного на нее. 4) Инцидент привлек внимание к слабому подходу правительственных сайтов к безопасности, хотя в этом конкретном случае сообщалось, что хакеры использовали тот факт, что оборудование для мониторинга, используемое хостинговой компанией сайта, не работает должным образом. И еще в 2001 году активисты по защите прав животных прибегали к взлому в качестве способа протеста против торговли мехом, отбрасывая сайт роскошного бренда Chanel с изображениями убитых животных. (5)

Дело об обороне

Что все эти инциденты означают для политиков во всем мире? Опыт Эстонии и Ближнего Востока ясно показывает, что кибервойна является реальностью, а первая, в частности, демонстрирует ее разрушительный потенциал. Справедливости ради, Эстония была в какой-то мере идеальной мишенью для кибер-забастовки. Выйдя из российского суверенитета в начале 1990-х годов с небольшой инфраструктурой коммуникаций, страна смогла перескочить развитие западноевропейских стран и создать экономику, основанную на онлайн-сервисах, таких как банковское дело, торговля и электронное правительство. В то же время небольшой размер страны — это один из наименее населенных в Европейском Союзе — означает, что большинство его веб-сайтов были также незначительными и могли быть легко перегружены в случае нападения. И последнее, но не менее важное: во время эстонского инцидента ничего подобного не было ранее.

Можно с уверенностью сказать, что другие народы теперь не будут так легко пойманы. Фактически, что бы то ни было, то, что произошло в Эстонии, продемонстрирует остальному миру, что кибер-оружие может быть очень эффективным, и поэтому его следует считать приоритетом для военного и военного планирования.

Что может сделать кибервойну тактикой выбора для воюющего государства? Существует по крайней мере пять веских причин. Во-первых, это «чистый». Он может выбить целую экономику целевой страны, не повредив ни одну из основных инфраструктур.

Во-вторых, это почти полностью безболезненная форма взаимодействия для агрессора: атака может быть запущена нажатием кнопки без необходимо совершить одного солдата.

Третья причина — экономическая эффективность. Ботнет на 21 000 машин можно приобрести за «несколько тысяч долларов», что составляет часть стоимости обычного оружия, и все же может привести к повреждению и сбоям, которые могут стоить сотни раз. (6)

Четвертый что национальным администрациям особенно сложно осуществлять полицейские операции и защищать свои онлайн-границы. Атака DDoS может быть предотвращена просто путем установки лучших брандмауэров вокруг веб-сайта (например), но ни одна из наций в настоящее время не имеет права сообщать своим интернет-провайдерам, телекоммуникационным компаниям и другим онлайн-компаниям, что они должны это делать, что оставляет ее открытой к кибер-ударам.

Последней, но ни в коем случае наименьшей причиной, является правдоподобная отрицательность. Ни в одном из нападений кибервойны, которые были замечены до сих пор, можно было связать забастовку с правительственной властью, и на самом деле было бы практически невозможно сделать это. Например, в случае китайских хакерских атак власти предоставили защиту, которая означает: «На нашей земле, вероятно, есть миллиард хакеров, и если бы это были мы, нам было бы глупо делать это с китайского IP-адрес ».

Подобная логика потенциально обеспечивает отпущение российской администрации в случае Эстонии: если это так дешево и легко получить бот-сеть для установки DDoS-атаки, почему бы россиянам потрудиться, чтобы взломать атаки с их собственные интернет-провайдеры? И в кыргызской атаке, хотя источник DDoS явно указывает на русскую руку, мотивы участия России остаются туманными, что приводит к предположению, что это могло быть вызвано собственной действующей стороной Кыргызстана, действующей с привлеченными киберпреступниками из России

Тактика для защиты

. При всех этих преимуществах маловероятно, чтобы какая-либо военная мощь, стоящая на ее соле, все еще игнорировала потенциал кибервойны. Фактически, со времени инцидента в Эстонии даже возможно, что частота кибервойны увеличилась, и мы просто не осознаем этого, потому что оборонительные возможности спарринговых стран увеличились. В конце концов, еще один важный урок из Эстонии заключается в том, что можно установить защиту от кибератак. Единого решения нет, нет серебряной пули, но можно предпринять ряд мер для решения проблем DDoS, с которыми сталкивается Эстония, и видов хакерских атак, которые все еще происходят на Ближнем Востоке.

За предотвращение забастовок DDoS , существует четыре вида защиты:

o Блокирование наводнений SYN, которые возникают, когда злоумышленник (например) обманывает обратный адрес клиентской машины, так что сервер, получающий сообщение о соединении от него, остается висящим, когда он пытается подтвердить получение.

o Внедрение технологий фильтрации входящей сети BCP 38 для защиты от поддельных информационных пакетов, успешно применяемых в Эстонии.

o Zombie Zappers, которые являются бесплатными инструментами с открытым исходным кодом, которые могут указывать устройству (или «зомби»), которое наводняет систему, чтобы прекратить это делать.

o Веб-сайты с низкой пропускной способностью, которые предотвращают примитивные атаки DDoS, просто не имея достаточной емкости для распространения потока.

Для хакерских атак, таких как те, которые наблюдаются на Ближнем Востоке, между тем есть

три основных вида защиты:

o Сканирование известных уязвимостей в системе.

o Проверка наличия отверстий для веб-приложений.

o Тестирование всей сети, чтобы обнаружить самое слабое звено и подключить любые потенциальные точки входа.

Сценарий Судного Дня?

Все вышеперечисленное является полезной защитной тактикой, но как насчет стратегических действий? В первую очередь, опыт Эстонии показал, что для местного CERT важно иметь приоритет в случае нападения, чтобы обеспечить как можно скорее возвращение к нормальной жизни.

Власти также могут можно проверить национальные инфраструктуры для слабых сторон DoS и DDoS, и, наконец, национальные CERT могут сканировать все сети, за которые они несут ответственность, — то, что уже начал бельгийский CERT. Учитывая открытость Интернета и различные проблемы и интересы тех, кто работает на нем, эти меры, конечно, будут обеспечивать лишь частичную защиту. Но есть надежда, что их будет достаточно, чтобы предотвратить другой инцидент в Эстонии. Или они?

. К сожалению, есть еще один вид забастовки кибервойны, который нам еще предстоит увидеть и который может быть в несколько раз более разрушительным, чем то, что произошло в Эстонии. Вместо того, чтобы пытаться взломать веб-сайты, чтобы их уничтожить — трудоемкие усилия с относительно небольшой окупаемостью, эта тактика предполагает размещение «бомб замедленного действия» в соответствующих веб-системах. Они могут быть настроены на то, чтобы оставаться бездействующими до тех пор, пока они не будут вызваны конкретным временем и датой или конкретным событием, таким как данный заголовок в национальном ленте новостей. Затем они активировали и закрывали свой веб-сайт своего хозяина, используя либо внутреннюю DoS, либо какой-либо другой механизм.

Кодовые бомбы могут оставаться бездействующими достаточно долго, чтобы злонамеренное агентство могло взломать и заразить большинство или все основные веб-сайты страны. И в сегодняшнем сетевом мире это уже не просто вызывает неудобства. Подумайте о количестве основных услуг, от телефонных сетей до систем здравоохранения, которые теперь зависят от интернет-платформ. Уничтожение всего этого в одно время могло бы оказать огромное влияние на оборонительные возможности страны, не требуя, чтобы агрессор отправил одного бойца в бой.

Способы создания такой атаки определенно существуют. Так что делайте средства, чтобы победить его. То, что произошло в Эстонии и на Ближнем Востоке, показывает, что сейчас нам нужно рассматривать кибер-войну как очень реальную угрозу. Что может случиться, если мы не сможем предотвратить это, на самом деле не стоит думать.

Ссылки

1. Марк Ландлер и Джон Маркофф: «Цифровые страхи появляются после осады данных

в Эстонии ». Нью-Йорк Таймс, 29 мая 2007 года.

2. Дэнни Брэдбери: «Туман кибервойны». The Guardian, 5 февраля 2009 года.

3. Там же.

4. «Трудовой сайт взломан». BBC News, 16 июня 2003 года.

5. «Мех летает». Проводной, 23 января 2001 года.

6. Спенсер Келли: «Покупка ботнета». BBC

Всемирные новости, 12 марта 2009 года.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *