22 июля 2015

Про «оживший» протокол и старый хлам

Бизнес

На прошлой неделе Threatpost поведал наводящую на размышления историю о внезапном «воскрешении» древнего и давно устаревшего сетевого протокола, метко названного RIPv1. Вся ситуация напоминает средневековую легенду о возвращении с того света всяких вымышленных вампиров/зомби/нежити – чего-то мёртвого, вдруг снова восставшего и наводящего ужас на живых. На самом деле протокол RIPv1 использовали для запуска мощной DDoS-атаки, что, как предупреждают исследователи, может обернуться в ближайшее время намного более серьёзной проблемой.

RIPv1 – это сокращение от Routing Information Protocol, который помогает малым сетям обмениваться маршрутной информацией. Существует он аж с 1988 года, но с 1996 года числится в списке «устаревших», то есть он дряхлый, уязвимый и больше не используется… по большому счёту.

К сожалению, до сих пор ещё хватает устройств, откликающихся на запросы RIPv1, и преступники используют их для запуска своих атак.

По данным Akamai, 16 мая была обнаружена атака с пиковым значением в 12,9 Гбит/c. Исследователи говорят, что 53 693 устройства среагировали на запросы RIPv1 при проведённом сканировании. Большинство этих устройств ответили своим уникальным путём, что сделало их «обычными источниками отражения DDoS без дополнительного усиления».

Всего 500 уникальных источников были выявлены в этой DDoS-атаке. Ни один из них не использовал авторизацию, что сделало их лёгкой добычей. Как только злоумышленники найдут больше источников, атака, соответственно, станет мощнее.

«Отражённые атаки происходят, когда злоумышленник подделывает IP-адреса жертвы, для того чтобы установить системы жертвы в качестве источника запросов, отправляемых огромному количеству машин. Получатели этих запросов выдают в ответ лавину запросов к сети жертвы, в конечном счёте, выводя её из строя. Эти типы DDoS-атак отличаются от атак усиления, во время которых общедоступные DNS-серверы используются для заваливания жертв DNS-запросами», — пишет Майкл Мимозо в Threatpost.

Большинство устройств, стоящих за атакой 16 мая, находятся в Российской Федерации, Китае, Германии, Италии и Испании. «Львиная доля этих источников, по-видимому, представляют собой устаревшее оборудование, которое работает в домашних или небольших офисных сетях на протяжении многих лет,» – отмечается в отчёте Akamai.

Итак, давайте разберём ключевые пункты. Во-первых, антикварный протокол. Во-вторых, «стада» устройств, всё ещё работающих с этим протоколом. В-третьих, по меньшей мере, часть их даже не защищены паролями. Вот вам идеальный инструмент, злоумышленники. Не благодарите.

wide

Устаревшие и опасные

В действительности нет ничего нового в проблеме старого программного и аппаратного обеспечения, которое изжило срок своей надёжности. «Не трогайте, пока работает» и «Старый и проверенный» — очень распространённые парадигмы как среди рядовых пользователей, так и на предприятиях. Особенно у последних.

Примеры сами напрашиваются. Windows XP по-прежнему очень широко использовалась, когда Microsoft отказалась от её поддержки в прошлом году. А на тот момент XP стукнуло 13 лет. И ошибки в XP находили на протяжении всего этого времени.

Много устаревших на десятки лет технологий до сих пор используются в интернете. И множество давно устаревших устройств работают в онлайне. Мы не можем обойтись без некоторых из этих технологий, но полностью устаревшее и успешно заменяемое программное обеспечение и оборудование иногда сами по себе граничат с киберугрозами.

Забытый хлам

Это особенно верно в случае маршрутизаторов и прочих видов оборудования из серии «настроил и забыл». После их установки в сети люди склонны игнорировать их, пока что-то не начнёт идти не так, и даже тогда маршрутизаторы не оказываются первыми в списке подозреваемых.

В частном случае RIPv1, само наличие устройства, до сих пор работающего с этим протоколом, является подарком для хакеров и организаторов DDoS. А держать эти маршрутизаторы незащищенными паролем – это настоящий провал в сфере безопасности. Протокол сам по себе стар и уязвим, «вещь, которая не должна дожить» до наших времен. Так зачем допускать его злоупотребление, нанося вред другим людям и предприятиям?

В идеальном мире компании совершали бы регулярные ревизии своего киберинвентаря, заменяя то, что на самом деле устарело и стало ненадёжным в плане безопасности, даже если оборудование всё ещё работает. В действительности же такое происходит реже, чем хотелось бы.

Но, опять же, избавление от старого хлама оздоровляет среду во всех возможных смыслах. Как и правильный выбор паролей.