Интернет-операторы становятся мишенью для хакеров
ФСБ рассчитала, что затраты операторов связи на выполнение требований по хранению данных для выполнения «закона Яровой» могут повлечь рост тарифов до 10% по всей стране, писал Reuters. Ранее операторы оценивалисвои расходы в десятки миллиардов рублей, это привело бы к существенно большему росту цен. Что должны учесть операторы, чтобы оптимизировать затраты?
Суть закона
С 1 июля вступили в силу положения поправки к законодательству, известные как «закон Яровой», подробно они описаны в Постановлении Правительства РФ №445 от 12 апреля 2018 года. На данный момент лишь операторы, оказывающие услуги телефонной и радиосвязи, обязаны обеспечивать хранение голосовой информации и текстовых сообщений пользователей в течение шести месяцев в полном объеме. Но это только первая часть нашумевшего «пакета».
С 1 октября 2018 года интернет-операторы должны будут хранить весь трафик (как входящий, так и исходящий) в технических средствах накопления информации. Им нужно иметь хранилища объемом, достаточным для записи интернет-трафика, обработанного за последние 30 суток перед днем сдачи системы в эксплуатацию.
Проще говоря, если оператор сдает в эксплуатацию хранилище 31 августа и с 1 по 30 августа у него «набегало» по 1 терабайту пользовательского трафика ежедневно, то хранилище должно быть емкостью не меньше 30 терабайт. Если хранилище со временем будет заполняться быстрее и старые данные будут доступны не в течение 30 дней, а за меньший срок — это уже не проблема оператора. При этом в Постановлении №445 заложено ежегодное увеличение хранилища на фиксированные 15% в течение первых пяти лет.
Необходимый объем системы накопления операторы будут рассчитывать примерно следующим образом: возьмут трафик за предыдущий месяц, прошлый год, учтут периодичность, различные спортивные, маркетинговые события или их отсутствие и рассчитают, какая емкость им потребуется. И вот здесь начинается простор для манипуляций со стороны как операторов, так и со стороны злоумышленников.
Рычаги манипуляции
Возможности занижения обязательных объемов хранилища очевидны: меньше трафика — меньше затрат. Потенциально сделать это несложно: скажем, в августе активность пользователей снижается из-за периода отпусков, а если еще уменьшить скорость канала для клиентов, то можно дополнительно «порезать» им трафик. Конечно, YouTube будет работать в более низком качестве, все будет подтормаживать, зато формально показатели будут занижены, а пользователи за месяц могут и не сориентироваться. Скорее всего этот трюк будет пресечен, например, за счет того, что ФСБ и Роскомнадзор запросят данные за предыдущие месяцы и годы, надзорные органы не примут узел в эксплуатацию, получив жалобы на манипуляцию с трафиком.
Разнообразнее способы увеличения ежемесячного трафика по сравнению с нормальным. Они могут быть выгодны как нечистым на руку конкурентам, так и злоумышленникам.
С конкурентами просто: увеличение затрат на систему хранения заставит оператора либо повышать стоимость услуг для своих абонентов, либо экономить на темпах развития сети. Как это реализовать?
Индустрия уже неоднократно наблюдала многочисленные DDoS-атаки на банки с целью вымогательства. Злоумышленники начинают атаковать сервисы банка, а затем пишут его руководству с анонимных адресов, что готовы остановить атаку в обмен на определенную сумму. Теперь операторы связи подвержены той же опасности: «перечислите сумму в биткоинах на указанный адрес, в противном случае мы начнем на вас атаку, которая, даже если не уничтожит вашу сеть, добавит трафик атаки к расчету объема системы накопления данных за расчетный месяц».
Что это означает для оператора? Допустим, пропускная способность канала оператора связи — 40 Гбит/с, а средний объем передаваемого трафика составляет около 20 Гбит/с. Если еще 20 Гбит/с добавить DDoS-атакой (это доступно даже школьнику), стоимость хранилища вырастает в два раза. Делать это могут как произвольные злоумышленники (осуществляя ковровую бомбардировку операторов связи и вымогая деньги за их прекращение), так и нечистоплотные конкуренты операторов.
В результате «закон Яровой» порождает новую цель для хакеров — ранее операторы «домашнего» уровня целью вымогательства никогда не были, поскольку в их распоряжении не так много средств и они не на слуху у общественности.
Платить злоумышленникам ни в коем случае не следует. В случае реализации этого риска оператор может связаться с регулятором и обоснованно запросить перенос даты сдачи хранилища в эксплуатацию.
Хранитель произвольных чисел
Хранение паразитного трафика — еще один пункт в федеральном законе, вызывающий вопросы. В соответствии с нормативными документами трафик нужно хранить весь. Ни оператор, никто другой не наделены возможностью определять часть трафика как нелегитимную и разрешать уничтожать ее.
В результате при DDoS-атаках не только увеличивается объем систем хранения, необходимых оператору, но и часть их содержимого составляет бессмысленный трафик DDoS-атак.
Предположим, что в это хранилище попали сообщения, содержащие необходимую для ФСБ информацию о той или иной персоне. Хотя 70% трафика в интернете зашифровано, но допустим, что это было сообщение электронной почты, которая зачастую передается в открытом виде. Данные хранятся в течение 30 дней. Организовав атаку методом, описанным в предыдущей главе, можно вдвое ускорить заполнение хранилища и снизить срок нахождения компрометирующей записи в системе до 15 суток. Для простоты мы не учитываем, что находящиеся в хранилище данные будут ротироваться по определенному принципу.
Вдвое — это еще осторожная оценка, можно снизить время хранения информации, ради которой затевался «закон Яровой», еще сильнее. Например, у оператора с шириной канала 40 Гбит/с его использование будет носить ярко выраженный периодический характер: днем скорость передачи всех данных будет доходить до 30 Гбит/с, но ночью будет использоваться в 20-30 раз меньшая ширина канала. А вот паразитный трафик в это время можно увеличивать и выбирать всю разницу между доступной шириной канала и реальным ее использованием. В результате сообщения злоумышленников быстрее будут стерты, так как исчерпается запас хранилища.
При этом в подавляющем большинстве случаев хранение трафика атаки (в особенности без дешифровки) на протяжении существенного времени никакой практической пользы не несет: трафик этот «мусорный» и обычно не содержит данных, способных помочь в расследовании. В тех редких случаях, когда в трафике действительно можно обнаружить информацию, помогающую раскрыть личность злоумышленника, достаточно использовать метаданные трафика и технику под названием «сэмплирование». Последняя подразумевает хранение только небольших элементов данных, получаемых, например, 10 раз в минуту.
Напомним при этом, что рекордная скорость DDoS-атак на сегодня составляет 1,7 терабит/сек, то есть оператору записывать в таком случае придется более 200 гигабайт в секунду.
Справедливости ради отмечу, что для расследования DDoS-атак от «пакета Яровой» может в действительности быть и небольшая польза. В частности, в случае атак с поддельных IP-адресов можно будет с высокой точностью установить, откуда пришла атака. Причем если мусорные пакеты посылали устройства из российского сегмента интернета, то источник атаки можно будет установить по крайней мере с точностью до провайдера. Большого смысла в этом все еще нет, но в отдельных случаях при определенном везении некую полезную информацию можно будет извлечь.
За чей счет пакет?
Самый популярный вопрос: во сколько это обойдется операторам? Не так давно компания МТС заявила, что потратит на выполнение требований «закона Яровой» порядка 60 млрд рублей за пять лет, а чуть ранее «Вымпелком» оценил свои расходы примерно в 45 млрд рублей.
Разница в подсчетах может учитывать такие факторы, как разный подход к обеспечению избыточности, отказоустойчивости и доступности данных. Ценовой коридор для таких решений очень широк. Вполне возможно, что в отношении тех операторов, которые просчитаются с вложениями, в течение следующих 3-5 лет будут применены санкции, если находящиеся в хранилище данные действительно будут востребованы компетентными органами, но окажутся недоступны или утрачены.
Но даже существенные вложения не гарантируют выполнения закона: несколько месяцев назад «Ростелеком» заявил о нехватке на рынке сертифицированного оборудования для выполнения «закона Яровой» для компании такого масштаба. Это создает существенные затруднения в выполнении требований правил. Сертификация здесь традиционно представляет собой перераспределение зон ответственности (то есть за работу хранилища будет отвечать не оператор связи, а производитель), процесс этот не бесплатный и не может быть выполнен мгновенно.
Получается, что ведущие операторы, вероятно, столкнутся с нехваткой оборудования на первых порах. А операторы малого и среднего уровня не могут позволить себе «железобетонно» надежное решение по финансовым причинам. Учитывая, как легко влиять на параметры необходимых объемов хранилищ, неизбежно регулятору и операторам придется искать компромиссы и приносить жертвы с обеих сторон для работы «закона Яровой».
Артем Гавриченков
По материалам: “Forbes”