Вяря - кибероружие или не верю?


0 0

Начал читать первую главу краткой истории русских хакеров и меня в первой истории слишком сильно смутили детали. Главный герой истории – бывший специалист компании Qrator (до сегодняшнего дня я о такой не слышал), которая специализируется на защите от DDoS. Герой сбегает в Финляндию, потому что боится спецслужб и потом начинается его история, вроде бы как он рассказал ее сам журналисту и автору книги. 

В общем он был хорошим специалистом в компании и в один день его начальство направляет помочь супер-дяде от правительства России, сказать свое мнение по поводу какого-то приложения. Он приезжает в Болгарию с супер-дядей и там специалист из Израиля презентовал коробочку, которая умеет атаковать на DDoS на разной скорости, вроде бы до 10 Гб/с. Ммммм. 

Никаких подробностей, как происходит атака.Известно, что для коробочки проведена отдельная сеть в 10 гигабит. Зачем она нужна? Может проще купить облако в Амазоне и просто запустить атаку на нужную жертву с помощью любого скрипта, который будет тупо загружать сайт без остановки, а у амазона уж мощности хватит на 10 Гб/с. 

Если атака идет с одного IP (а это же одна коробочка с лимитированным количеством интерфейсов), то такой траффик блокируется на ура банальной блокировкой IP, что такие системы как Prolexic делают на автомате. 

DDoS – это распределенная атака и никаких подробностей того, как коробочка достигает распределения. Может там только софт, который реально управляет компьютерами зомби по всему миру, которые реально производят атаку? Вот это уже реально опасно и реально может уложить что угодно, потому что когда армия машин атакует, то это уже распределенный DoS и от него защитится уже сложнее. Но нет, вроде бы как говорят, что атаку можно увеличив, добавив вторую коробку. 

В общем, судя по книге тут же произошла демонстрация и атака на правительственный сайт Украины, который лег. Кстати, эти события происходили в феврале 2015-го года. 

Супер-дядя спросил, а можно атаковать сайт, который находится под защитой, я так понимаю, интересовала защита, которая обеспечивается такими компаниями, как Qrator. Израильский специалист сказал, что можно, нужно просто знать реальный IP. Я так понимаю, специалист Qrator (и герой главы) приехал туда именно для того, чтобы оценить продукт и почему-то в этот момент не начал задавать кучу вопросов? 

Возвращаемся на абзац назад – в качестве доказательств того, что коробочка работает, израильский специалист атаковал сайт Украины. Интересно какой, неужели он в 2015-м году не был под защитой от DDoS атак? 

Меня в этой истории реально смущает три вещи: 

1. Героя главы привозят в Болгарию, чтобы оценить продукт, но в результате описывается магическая коробочка, которая не лучше аккаунта на Амазоне, а никаких намеков нет на то, как работала распределенная атака. А у меня бы возникли такие вопросы – как работает коробочка, ведь именно для этого пригласили героя главы. 

Судя по тому, что для атаки на защищенные от DDoS сайты нужно знать реальный IP, значит коробочка все же атакует с одного адреса и я допускаю, что ограничена даже сетевыми возможностями текущего подключений и если я прав, то ей грош цена и это кидалово, для распознавания которого как раз и пригласили героя. 

Один адрес и даже целые сети блокируется такими компаниями как Prolexic на ура. А вот реально распределенную атаку с тысячи IP адресов остановить невозможно, если атакующие пакеты разнообразны, не фильтруются по определенному признаку и не отличаются от легитимного траффика. 

Герой говорит, что коробочка использует разные техники, поэтому ее атаки сложно отфильтровать. Да, DDoS атака должна использовать разные методы, но само слово DDoS подразумевает распределенную атаку, а не с одного IP. Если с одного адреса резко возрастает количество траффика, то такие компании, как Prolexic блокирую его на ура, даже если с этого IP идут разные пакеты, не похожие на атаку. Резкий взлет траффика с одного адреса - явный признак атаки, а судя по книге именно это и продемонстрировали - за коротки промежуток времени уложили правительственный сайт Украины и сайт Слона (вроде какой-то такой сайт есть). 

Атака силой трафика - самое дешевое решени и не знаю, чем оно могло заинтересовать Ростех, разве что только в качестве банального трафикогенератора для тестирования своих сайтов на устойчивость. Но если так, то пусть Ростех обращается ко мне, я им за день соберу такое решение, просто пересобрав JMeter под своим брендом

2. Второй очень серьезный вопрос - неужели специалист Qrator не знает, что узнавать реальный IP бесполезно, по крайней мере для сайтов, которые защищены компаниями Prolexic. Я не знаю, как защищает своих клиентов Qrator, а в Prolexic доменные имена настраивают так, чтобы они смотрели на сеть Prolexic, который фильтрует атаки и чистый траффик направляет на сайт клиентов. То есть когда вы набираете в браузере www.site.com запрос идет на сервер prolexic, там проверяется на легитимность и если все нормально, то перенаправляется на реальный сервер. 

При этом обязательным условием защиты является то, что сетевые экраны сайтов клиентов принимают траффик ТОЛЬКО с IP адресов Prolexic. Даже если вы узнаете реальный IP адрес клиента, вы не сможете на него ничего отправить, потому что Firewall отфутболит все не думая. Неужели специалист Qrator не знал об этом? Это как-то опустили в книге? В коробочке были какие-то методы обхода любого Firewall (нереально, но допустим)? Если так, то это очень серьезная деталь, которую нужно было указать. 

3. Зачем нужна коробочка? DDoS - это программная атака и для ее реализации нужна программа. Если мне показывают коробочку, то там наверно уникальное железо, которое что-то реализовывает апаратно. Я до сих пор не слышал о подобных магических коробках, которые решали бы вопрос #1 и #2, поэтому для меня оформление продукта для атаки DDoS в виде коробки выглядит как понты. 

Очень интересная, но очень странная история. Наш герой задавал эти вопросы? 

Я понимаю, что наш герой мог не вдаваться в подробности, чтобы его рассказ не был слишком сложным. Журналист мог не вдаваться в такие подробности, когда писал книгу со слов героя, чтобы книга не была слишком сложной для читателя. Но для меня все выглядит как в кино, когда хакер взломал что-то за одну минуту, а мне хочется крикнуть - КАК?

Я не говорю, что автор что-то написал не так или герой липовый. Допускаю, что история реальная и все так и было, но все же у меня она вызвала серьезные вопросы, которые ставят все под сомнение. 

На следующей странице автор книги говорит, что встречался с начальником героя и тот оказался веселым человеком и сказал, что герой действительно был в командировке по просьбе Минкомсвязи, но речь шла не о системе DoS атак, а о трафикогенираторе. И вот в это я верю. Простая коробочка с одним интерфейсом способна нагенерировать кучу трафика и не более. Она легко и на автомате блокируется по IP и не представляет никакой угрозы, поэтому никаким кибероружием являться не может. Да, если поставить такой трафикогениратор на хороший канал, то он сможет уложить средний сайт, мой блог точно ляжет моментально. Но то же самое можно легко сделать даже с помощью JMeter на хорошем канале без каких-либо коробочек. 

Начальник также вроде сказал, что мог быть залп по Слону (я так понимаю какой-то сайт), но только в тестовых целях, а не как оружие. 

Я с помощью Jmeter тестировал сайты, которые разрабатывал и никаким кибероружием это не является, потому что это всего лишь программа для тестирования нагрузки с одного адреса. Я из этой программы много раз запускал залпы по сайтам Sony и несколько раз они даже падали. Я использовал кибероружие? Нет, вполне открытую программу от Apache. Просто я тестировал сайты, которые сам же разрабатывал и таким образом проверял, на сколько хорошо мой сайт может выдержать высокий трафик. Если Ростеху нужно хорошее решение для такого тестирования, то вполне логично было попросить консультации человека из компании, которая защищается от угроз. 

В итоге главный герой по словам автора отказался работать над кибероружием и попросил политического убежища в Финляндии. Правда из книги я так и не понял, кто его так сильно заставлял работать над этим оружием, что нужно было аж иммигрировать. Опять же, автор не создал чувства опасности или герой не смог рассказать автору всю напряженность обстановки, которая бы вынудила к такому бегству из страны. 

Читаю дальше, пока книга интересная и в любом случае читается отлично, хотя сложилось впечатление, что герой просто из пальца высосал историю для иммиграционной службы Финляндии ради получения убежища. Возможно я не прав, но ощущение именно такое.

P.S. Блин, когда мы уже наберем 200 лайков под следующим видео? Я тогда расскажу, как я общался с управлением К:


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

Паника, что-то случилось!!! Ничего не найдено в комментариях. Срочно нужно что-то добавить, чтобы это место не оставалось пустым.

Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне