Кибервойна в Эстонии и на Ближнем Востоке

Помог ли член вашей семьи начать кибератаку, которая поставила на колени целую нацию? Нет, серьезно, не смейся. В апреле 2007 года коммуникация в прибалтийском государстве Эстонии была затруднена из-за скоординированной атаки, которая опиралась на компьютеры миллионов невинных пользователей по всему миру, таких же, как вы и ваши родственники. Забастовка была замечательной, чтобы продемонстрировать, как кибервойна перешла от идеи к реальности. И все началось с движений одного солдата.

Бронзовый солдат — это двухметровая статуя, которая раньше стояла на маленькой площади в Таллинне, столице Эстонии, над местом захоронения советских солдат, погибших во Второй мировой войне. Памятник уже давно разделил население страны, и местные эстонцы считают его символом советской (и ранее национал-социалистической) оккупации, а также многочисленным меньшинством (примерно 25% от общего числа) русских иммигрантов, которые считают его символом победы Советского Союза над нацисты и русские претензии к Эстонии. Когда вновь назначенное правительство страны Ансип объявило о планах по перемещению статуи и остается под избирательным мандатом 2007 года, этот шаг вызвал наихудшие беспорядки, которые страна когда-либо испытывала — и поразительную кибератаку со стороны России.

27 апреля, когда два дня волнений потрясли страну и посольство Эстонии в Москве было в осаде, массированная атака типа «отказ в обслуживании» (DDoS) захватила большую часть эстонской интернет-инфраструктуры и почти остановила онлайн-активность поддаваться. Целями были не военные сайты, а гражданские сайты таких организаций, как банки, газеты, интернет-провайдеры (ISP) и даже домашние пользователи. Большая часть ажиотажа исходила от хакеров, использующих адреса интернет-провайдеров в России, но самым разрушительным элементом атаки был ботнет, который заставил миллионы ранее зараженных вирусом компьютеров по всему миру разрушить эстонскую инфраструктуру.

Анатомия кибератаки

Ботнет симулировал эстонские сетевые маршрутизаторы, чтобы они продолжали посылать бесполезные пакеты информации, быстро наводняя инфраструктуру, используемую для обработки всего онлайн-бизнеса в стране. Атака была сосредоточена в основном на небольших веб-сайтах, которые было легко отключить, но они были чрезвычайно эффективными. Веб-сайты банка перестали быть доступными и парализовали большую часть финансовой деятельности Эстонии. На сайты прессы также нападали, чтобы отключить источники новостей. Интернет-провайдеры были перегружены и заблокировали доступ к Интернету для значительной части населения.

В то время как эстонское правительство ожидало ответной реакции онлайн на свое решение перенести статую, оно было совершенно не готово к масштабам кибератаки. Министр обороны Эстонии объявил нападение «ситуацией с национальной безопасностью» и добавил, что «это сопоставимо с закрытием ваших портов на море». (1)

Когда выяснилось, что пострадала большая часть инфраструктуры онлайн-бизнеса страны, Группа реагирования на компьютерные инциденты в Эстонии (CERT-EE) обратилась за помощью к специалистам по ИТ-безопасности по всему миру, а также к специальной группе по цифровым технологиям. Спасательные службы были объединены, в том числе люди из моей собственной компании Beyond Security. Нам потребовалось несколько дней, чтобы разобраться с угрозой и приступить к созданию контрмер. В основном это включало применение методов фильтрации BCP 38 для входа в сеть на задействованных маршрутизаторах, чтобы предотвратить фальсификацию адресов источников в Интернете. Атака быстро прекратилась, когда мы начали принимать контрмеры. В дни, когда нужно было отразить атаку, страна, вероятно, потеряла миллиарды евро в производительности и простоях.

Кибервойна на Ближнем Востоке

Эстонский инцидент войдет в историю как первый значительный (и, надеюсь, самый крупный) пример широко распространенной кибервойны. Однако на Земле есть место, где кибервойна стала частью повседневного онлайн-ландшафта — и все еще продолжается.

На Ближнем Востоке арабо-израильский конфликт имеет значительный сетевой элемент, который насчитывает тысячи атак и контратак в год. Такая ситуация возникла после срыва мирных переговоров в регионе, а в 1999 и 2000 годах произошла стихийная, широко распространенная кибервойна между арабскими и израильскими хакерами. Вовлечены арабские сочувствующие из многих стран. За последние шесть лет группа марокканских хакеров испортила израильские сайты, а недавно иракская хакерская сеть проникла на военную радиостанцию ​​Израиля.

В отличие от подобного блицкригу забастовки в Эстонии, эта затяжная война предназначена не для того, чтобы парализовать критические враждебные функции, а скорее для ослабления морального духа, сокращения ресурсов и подрыва экономики. Цели в Интернете, как правило, не приносят пользы: небольшие транзакционные, информативные и даже самодельные веб-сайты, безопасность которых может быть легко поставлена ​​под угрозу. Взятие на себя и порча этих сайтов — средство запугивания оппозиции. Такое ощущение, что они здесь, где еще они могут быть? — и приводит к значительным данным, прибыли и потере доверия для владельца сайта.

Кибервойна распространяется

Если бы примеры Эстонии и Ближнего Востока были нашим единственным опытом кибервойн, было бы заманчиво проследить их до местных факторов и, следовательно, не беспокоить более широкое сообщество безопасности. К сожалению, эти случаи являются просто частью гораздо большей тенденции разрушать цифровые коммуникационные платформы. Например, в январе этого года два из четырех интернет-провайдеров в Кыргызстане были отключены в результате серьезного DDoS-удара, авторы которого неизвестны. (2) Хотя детали отрывочны, говорят, что атака деактивировала до 80% всего интернет-трафика между бывшим Советским Союзом и Западом.

Похоже, что забастовка произошла из российских сетей, которые, как полагают, в прошлом были связаны с преступной деятельностью, и, вероятно, единственное, что предотвратило серьезный сбой в этом деле, было то, что онлайн-сервисы в Кыргызстане в отличие от плохих в Эстонии самые лучшие. Это было, очевидно, не первое подобное нападение в стране. (3) Утверждается, что на президентских выборах 2005 года имелась политически мотивированная DDoS, приписываемая кыргызскому журналисту, который симпатизировал оппозиционной партии.

В последние годы Китай также вел кибервойну, хотя и в меньшей степени. Считается, что внутренние хакеры проникли в ноутбук министра обороны, чувствительные сети Франции, компьютеры США и федерального правительства, сети Новой Зеландии, а также в компьютерные системы полиции, обороны, выборов и центрального банка Тайваня.

Аналогичным образом, в 2003 году на официальном веб-сайте Британской лейбористской партии были взломаны кибер-вредители, где была опубликована фотография президента США Джорджа Буша, несущего свою собаку, с наложением на босса Тони Блэра, тогдашнего премьер-министра Великобритании (4) Инцидент привлек внимание к слабому подходу к обеспечению безопасности, применяемому государственными сайтами, хотя в данном конкретном случае сообщалось, что хакеры использовали тот факт, что оборудование для наблюдения, используемое компанией, предоставляющей хостинг веб-сайтов, не работало должным образом. А в 2001 году борцы за права животных начали взламывать, протестуя против торговли мехами, и портить сайт люксового бренда Chanel с изображениями убитых животных. (5)

Дело в защиту

Что все эти инциденты означают для политиков во всем мире? Опыт как в Эстонии, так и на Ближнем Востоке ясно показывает, что кибервойна — это реальность, а первая, в частности, показывает ее разрушительный потенциал. Честно говоря, Эстония была в некотором смысле идеальной целью для кибер-удара. Страна, которая вышла из-под суверенитета России в начале 1990-х годов и имела небольшую коммуникационную инфраструктуру, смогла опередить события в западноевропейских странах и построить экономику, которая прочно основывалась на онлайн-сервисах, таких как банковское дело, торговля и электронное правительство. В то же время небольшой размер страны — одной из самых малонаселенных стран в Европейском союзе — означал, что большинство ее веб-сайтов были такими же маленькими и легко перегружались в случае нападения. И последнее, но не менее важное: ничего подобного не было зафиксировано во время инцидента в Эстонии.

Можно с уверенностью сказать, что другие нации уже не так легко понять. Во всяком случае, то, что произошло в Эстонии, показало остальному миру, что кибер-оружие может быть очень эффективным и поэтому должно рассматриваться в качестве приоритета в военном и оборонном планировании.

Что может сделать кибервойну тактикой выбора для воюющего государства? Есть как минимум пять веских причин. Во-первых, это «чистый». Это может отключить всю экономику целевой страны без ущерба для базовой инфраструктуры.

Во-вторых, это почти безболезненная форма вмешательства для атакующего: атака может быть начата нажатием кнопки без необходимости выделять одного солдата.

Третья причина — экономика. Ботнет из 21 000 машин можно приобрести всего за несколько тысяч долларов, что составляет небольшую долю стоимости традиционного оружия, и тем не менее повреждения и неисправности, которые стоят сотни раз, могут легко возникнуть. (6)

Четвертая причина заключается в том, что национальным администрациям особенно сложно отслеживать и защищать свои границы в Интернете. DDoS-атаку можно предотвратить, просто установив улучшенные брандмауэры на веб-сайте (например,). Однако в настоящее время ни одна страна не может сказать своим интернет-провайдерам, телекоммуникационным компаниям и другим онлайн-компаниям сделать это. Это оставляет страну в значительной степени открытой для кибер-ударов.

Последняя, ​​но отнюдь не последняя причина — это правдоподобное отрицание. Ни одна из кибернетических атак, замеченных до сих пор, не связала забастовку с правительственным агентством, и фактически это было бы почти невозможно. Например, в случае китайских хакерских атак, власти предоставили защиту, которая гласит: «На нашей земле, вероятно, есть миллиард хакеров, и если бы мы были, мы были бы глупы делать это с китайского IP-адреса. . & # 39;

Подобная логика может означать отпущение грехов для российского правительства в случае Эстонии: если так дешево и легко получить ботнет для DDoS-атаки, почему русские должны заниматься собственным взломом? Для запуска интернет-провайдеров? И хотя источник DDoS четко указывает на то, что русская сторона в атаке кыргызов, мотивы участия России остаются размытыми. Это говорит о том, что это происходит из-за собственной действующей партии Кыргызстана, занимающейся наемными киберпреступниками из России.

Тактика защиты

При всех этих преимуществах военная мощь, достойная всяческих похвал, вряд ли все же игнорирует потенциал кибервойн. Фактически, после инцидента в Эстонии кибервойны усиливаются, и мы просто не осознаем этого, поскольку возросли возможности защиты спарринг-стран. Еще один важный урок из Эстонии — это возможность защитить себя от кибератак. Единого универсального решения, серебряной пули не существует, но можно принять ряд мер для решения проблемы DDoS, с которой сталкивается Эстония, и типа хакерских атак, которые все еще происходят на Ближнем Востоке. ,

Существует четыре типа защиты от DDoS-ударов:

o Блокирование SYN-флудов, вызванных, например, когда злоумышленник фальсифицирует адрес отправителя клиентского компьютера, так что сервер, который получает от него сообщение о подключении, зависает при попытке подтвердить получение.

o Внедрение методов фильтрации BCP 38 для защиты от поддельных информационных пакетов, таких как те, которые успешно используются в Эстонии.

o Zombie Zappers — это бесплатные инструменты с открытым исходным кодом, которые инструктируют устройство (или «зомби»), которое затопляет систему, чтобы остановить его.

o Веб-сайты с низкой пропускной способностью, которые предотвращают примитивные DDoS-атаки, поскольку у них недостаточно ресурсов для распространения потока.

Сейчас на Ближнем Востоке происходят подобные хакерские атаки

три основных типа защиты:

o Поиск известных уязвимостей в системе.

o Поиск пробелов в веб-приложениях.

o Тестирование всей сети для выявления самого слабого звена и подключения потенциальных точек входа.

Сценарий конца света?

Все это полезная тактика обороны, но как насчет стратегических действий? Прежде всего, эстонский опыт показал, что важно, чтобы местный CERT имел преимущество в случае нападения, чтобы обеспечить скорейшее нормализацию ситуации.

Власти также могут, насколько это возможно, проверять национальную инфраструктуру на предмет уязвимости DoS и DDoS, и, наконец, национальная CERT может выполнять поиск во всех сетях, за которые они отвечают, — то, с чем бельгийская CERT уже начала работу. Учитывая открытость Интернета и различные проблемы и интересы тех, кто участвует, эти меры, естественно, обеспечивают лишь частичную защиту. Однако есть надежда, что их будет достаточно, чтобы предотвратить еще один инцидент в Эстонии. Или они?

К сожалению, есть еще один тип кибервойны, который мы не видели и который может быть во много раз более разрушительным, чем то, что произошло в Эстонии. Вместо того, чтобы пытаться взломать веб-сайты только для того, чтобы изуродовать их — трудоемкое усилие с относительно небольшой окупаемостью — эта тактика будет включать размещение «бомб замедленного действия» в уязвимых веб-системах. Они могут оставаться бездействующими до тех пор, пока не будут вызваны определенным временем и датой или событием, таким как определенный заголовок в национальной новостной ленте. Затем они активируют и закрывают свой хост-сайт, используя либо внутреннюю DoS, либо какой-либо другой механизм.

Взрывы кода могут быть такими длинными, что вредоносное агентство может взломать и заразить большинство или все основные веб-сайты страны. В современном связанном мире речь идет уже не только о причинении неудобств. Подумайте о количестве основных услуг, от телефонных сетей до систем здравоохранения, которые теперь основаны на интернет-платформах. Одновременное уничтожение всего этого может оказать поистине подавляющее влияние на оборонительные возможности страны без необходимости нападать на одного солдата в бой.

Средства для создания такой атаки, безусловно, есть. Так сделайте средства, чтобы победить это. То, что произошло в Эстонии и на Ближнем Востоке, показывает, что теперь мы должны рассматривать кибервойну как очень реальную угрозу. Что может произойти, если мы не остерегаемся этого, на самом деле не вопрос.

ссылки

1. Марк Лэндлер и Джон Маркофф: «После осады данных появляются цифровые страхи

в Эстонии New York Times, 29 мая 2007 г.

2. Дэнни Брэдбери: «Туман кибервойны». Хранитель, 5 февраля 2009 г.

3. Там же.

4. & # 39; Рабочий сайт взломан & # 39;. BBC News, 16 июня 2003 г.

5. «Мех летит». Записано 23 января 2001 г.

6. Спенсер Келли: «Покупка ботнета». BBC

Мировые новости, 12 марта 2009 г.

Кибервойна в Эстонии и на Ближнем Востоке

Кибервойна в Эстонии и на Ближнем Востоке

Добавить комментарий