Массовое отключение интернета на Восточном побережье попало в заголовки газет в пятницу, 21 октября. Сбой был вызван атакой распределенного отказа в обслуживании (DDoS) на DNS-компанию, расположенную в Нью-Гемпшире. Примерно в 7 часов утра по восточному времени кибератака была направлена ​​на компанию Dyn, занимающуюся интернет-инфраструктурой. Обычный трафик к основным серверам компании блокировался вредоносными запросами с десятков миллионов IP-адресов.

Компания смогла восстановить обслуживание через 2 часа после первой атаки. Второе нападение произошло в полдень, а третье сразу после 16:00. Dyn удалось справиться со вторым и третьим раундами атак, устранив любые дальнейшие сбои в обслуживании. Серия атак была описана Дином как «изощренная и сложная.

Зачем нацеливаться на службу DNS?

Служба доменных имен (DNS) работает как адресный справочник, очень похожий на телефонную книгу в Интернете. Он разрешает имя адреса (например, www.google.com) с фактическим расположением файлов сайта.

Когда серверы Dyn подверглись атаке, пострадали и нижестоящие сервисы, включая Amazon Web Services, Reddit, PayPal и Twitter. Атакуя на уровне DNS, хакеры смогли усилить эффект своей атаки, охватив тысячи веб-сайтов по всему Восточному побережью и повлияв на сервисы по всему миру.

Анализ атаки

В течение дня, когда стало доступно больше информации, появились признаки того, что атака была типом распределенного отказа в обслуживании (DDoS), в котором используются зараженные вредоносным ПО устройства IoT. Выяснилось, что атака на Dyn была осуществлена ​​вредоносным ботнетом Интернета вещей (IoT) под управлением вредоносного кода Mirai. По иронии судьбы, а может быть, и знаменательно, Dyn опубликовал статью об опасностях атак на основе IoT всего за день до DDoS-атаки.

Дин — не единственная известная жертва ботнета Mirai. В ходе более ранней атаки также был атакован популярный и авторитетный блог Кребс о безопасности. Сеть доставки Кребса, Akamai, отключила защиту его блога, потому что им быстро стало слишком дорого продолжать сдерживать атаку.

Устройства DDoS и IoT: идеальное сочетание?

Устройства IoT являются привлекательным вектором для DDoS-атак, потому что:

  1. Они размножаются с поразительной скоростью. По некоторым оценкам, к 2020 году в мире будет использоваться 21 миллиард IoT-устройств.
  2. Большинство устройств IoT имеют слабые функции безопасности. Кроме того, конечные пользователи и организации слабо относятся к безопасности своих IoT-устройств. Например, некоторые исследователи, изучавшие уязвимости устройств IoT, смогли использовать беспроводное соединение для загрузки вредоносного ПО на Fitbit менее чем за 10 секунд.

О чем нам говорит кибератака на Dyn

Кибератака на Dyn служит мрачным напоминанием о том, насколько уязвим интернет и насколько полны решимости некоторые злоумышленники его уничтожить. Как указывала Dyn накануне собственной атаки, DNS-сервисы не застрахованы от вредоносных атак. Поскольку DNS является основной частью инфраструктуры Интернета, атака на одного провайдера DNS может привести к массовым сбоям в работе, которые охватят весь мир.

Незамеченный вектор атаки

В прошлом службы DNS игнорировались как возможный вектор атаки. Однако атака на Dyn может указывать на тревожную тенденцию, когда злоумышленники переходят от нацеливания на конечные приложения и веб-сайты к сосредоточению внимания на вышестоящих службах, таких как DNS.

Провайдеры интернет-инфраструктуры были предупреждены, и им необходимо будет обеспечить максимальную безопасность в будущем. Кроме того, организации должны активизироваться и взять на себя ответственность за собственную безопасность. Им необходимо заблаговременно снижать риск простоя, вызванный скомпрометированной службой DNS.

Что ждет ИТ-безопасность в будущем?

В январе 2014 года Proofpoint, ведущий поставщик решений безопасности как услуги, обнаружил одну из первых подтвержденных кибератак IoT. В результате атаки было сгенерировано более 750 000 вредоносных сообщений электронной почты с более чем 100 000 обычных устройств IoT, таких как телевизоры, подключенные мультимедийные центры, как минимум один холодильник и маршрутизаторы для домашних сетей.

К концу октября 2016 года, всего 2 года спустя, произошло несколько громких кибератак с использованием IoT-устройств, в том числе разрушительная атака на Dyn. Ясно, что безопасность IoT станет более важной проблемой в ближайшие несколько лет.

Уязвимости IoT будут представлять серьезную угрозу

В своем Основном прогнозе безопасности на 2016 год компания Garter заявила, что более половины всех производителей устройств Интернета вещей не смогут противостоять угрозам, возникающим из-за слабых методов аутентификации. В настоящее время производители предпочитают удобство использования и доступность безопасности. Но увеличение числа дорогостоящих и разрушительных атак может заставить предприятия пересмотреть свой подход к безопасности IoT.

Для борьбы с растущей угрозой DDoS и других видов кибератак, использующих уязвимости конечных точек и инфраструктуры IoT, организациям придется применять структурный подход.

Устройства IoT должны разрабатываться с учетом требований безопасности. На этапе разработки компании должны оценить риски аутентификации и установить требования для обеспечения идентификации. Кроме того, разработчики должны использовать метрики для отслеживания проблем безопасности на протяжении всего жизненного цикла устройства IoT.

Несмотря на то, что IoT сулит захватывающий дух прогресс практически во всех сферах бизнеса и жизни, не следует недооценивать серьезный характер угрозы, создаваемой присущими ему уязвимостями в сочетании с решимостью злоумышленников. Чтобы обещания IoT были реализованы, экспертам и организациям по безопасности необходимо будет сосредоточиться на проблеме IoT, DDoS и киберпреступности, чтобы найти интеллектуальные и жизнеспособные решения.