В ноябре 2015 года исследовательское агентство 42Future по заказу Qrator Labs провело опрос двадцати крупных онлайн-ритейлеров на тему DDoS-атак. В опросе приняли участие менеджеры компаний среднего и высшего звена, хорошо осведомлённые по теме.
В данном обзоре представлены тренды, касающиеся киберугроз в индустрии онлайн-ритейла, которые были выявлены специалистами Wallarm и Qrator Labs.
- Результаты опроса 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года
1.1. Сталкивались ли с DDoS-атаками за последний год?
Четверть опрошенных представителей крупных онлайн-ритейлеров сообщили, что подвергались DDoS-атакам за последний год.
По результатам опроса, 40% респондентов допускают, что их атаковали, но их компания атаку не ощутила. В частности, так может происходить, потому что компания использует внешние средства противодействия DDoS-атакам, которые работают эффективно. То есть, на бизнесе факт атаки никак не сказывается, она проходит незамеченной.
“Мы в Qrator Labs стремимся к тому, чтобы наши клиенты даже не замечали, когда их атакуют. Зачастую об атаках на свои ресурсы они узнают только из квартальных или годовых отчётов нашего сервиса. Именно так, на наш взгляд, и должны работать эффективные средства противодействия DDoS-атакам. У наших клиентов не должна болеть голова по данному поводу, их внимание и ресурсы должны быть направлены на основной бизнес”, — говорит Александр Лямин, основатель и глава Qrator Labs.
Помимо этого, клиенты Qrator Labs отмечают значительное сокращение числа атак после того, как начинают пользоваться услугами компании. В частности, об этом сообщают семь из десяти лидеров онлайн-ритейла РФ (по версии журнала Forbes), которые являются клиентами Qrator Labs.
“Киберпреступники понимают что усилия, необходимые для атак на сайты крупных онлайн-ритейлеров, пользующихся нашей услугой фильтрации трафика, будут не оправданными, и не тратят на это ресурсы”, — объясняет Александр Лямин.
1.2. Мотивы атакующих
По мнению опрошенных представителей крупных онлайн-ритейлеров, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса. Об этом сообщило 65% респондентов. Почти все они использовали формулировку “очень серьёзна” или “серьёзна” при ответе на вопрос о существенности данной киберугрозы.
Те компании, которые ранее подвергались DDoS-атакам и не использовали в тот момент средства противодействия, говорят о существенных финансовых потерях для бизнеса, которые они понесли в результате нападения.
У всех опрошенных есть мнение о причинах организации атак. Подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию. 20% опрошенных также отмечают, что атаки могут быть инициированы с целью причинить убытки по разным причинам, в том числе по личным мотивам (месть, неприязнь и так далее).
“Даже непродолжительная DDoS-атака с невысокой скоростью может причинить серьёзные убытки бизнесу, если она инициирована в точно выбранный момент, к примеру, в период проведения активной рекламной кампании. “Уронить” сайт конкурента в это время означает вызвать негатив по отношению к нему со стороны многочисленных клиентов, как существующих, так и потенциальных. Итог — впустую потраченные деньги на рекламу, потеря лояльности и ущерб для репутации. Всё это будет работать в минус ещё долгое время после атаки”, — считает Александр Лямин.
1.3. Средства противодействия
Все без исключения респонденты сообщили, что их компании используют средства постоянной защиты от DDoS. У 90% опрошенных — это решения от внешних поставщиков.
Остальные используют собственное решение.
Редкие компании полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных уточнили, что специальные средства предоставляет партнёр — системный интегратор, с которым компания сотрудничает по ряду вопросов, связанных с ИТ. Половина опрошенных компаний (50%) использует программные средства противодействия DDoS, и 35% — аппаратные. Остальные 15% опрошенных не уточнили, какого рода решения используются для данных целей. При этом 95% заявляют, что удовлетворены выбранными решениями и уровнем защиты, которую они обеспечивают.
“Мы сотрудничаем с несколькими десятками крупных поставщиков ИТ-услуг, которые предоставляют технологии Qrator своим клиентам. Недавно мы выбрали самых продуктивных партнёров 2015 года. Ими стали компании КРОК, Group IB и DataLine. Специалисты выбирают облачное решение фильтрации трафика Qrator, потому что считают именно такой способ противодействия DDoS-самым эффективным”, — говорит Александр Лямин.
- DDoS в сегменте малых и средних компаний онлайн-ритейла РФ
По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам. При этом данный инструмент нечестной конкурентной борьбы активно применяется в этой среде в силу своей эффективности и доступности. В связи с этим, во время сезонов пиковых продаж, в Qrator Labs наблюдается наплыв новых клиентов данной категории, которые подключаются к сервису фильтрации трафика Qrator как правило уже будучи под атакой.
Поведение таких компаний чаще всего складывается по следующему алгоритму:
— атака началась
— компании требуется время, чтобы понять это (рассматриваются варианты типа падения сети провайдера, ошибок на сайте и т.д.)
— паника и поиск вариантов самостоятельного решения проблемы
— поиск внешних поставщиков средств противодействия DDoS-атакам
Некоторые компании небольшого размера, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.
- Тренды, замеченные Qrator Labs в 2015 году
2.1. Регулярность атак
Крупные онлайн-ритейлеры, по наблюдениям Qrator Labs, относительно редко подвергались DDoS-атакам — -в среднем не более десятка раз за текущий год. Однако рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.
Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут и без нападений в результате наплыва покупателей. По данным Qrator Labs, объёмы “живого” трафика в среднем вырастают в такие дни в два раза.
Нечистоплотные конкуренты организуют атаки в это время в надежде, что удастся пробить брешь в защите на фоне естественного роста трафика. По наблюдениям Qrator Labs, в результате таких нападений в период распродаж или активной рекламной кампании объёмы трафика могут увеличиваться в четыре и более раз.
Наибольший риск подвергнуться DDoS-атаке наблюдается у крупных онлайн-ритейлеров, отличающихся агрессивным маркетинговым поведением (ценовая конкуренция, массированная реклама, многочисленные акции и т.д.).
“Black Friday и без атак — это по-настоящему “чёрная” пятница для ИТ-специалистов. В период рождественских распродаж атакующие не снижают напора и после главного дня года для онлайн-ритейла, когда клиентам предлагаются максимальные скидки”, — говорит Александр Лямин.
2.2. Атаки уровня L7 и способы борьбы
Онлайн-ритейлеры наиболее подвержены риску стать жертвой DDoS-атаки типа L7 (Application Layer). Это атаки на веб-приложения сайтов, которым приходится обрабатывать запросы как от реальных клиентов, так и фейковые от ботов.
Volumeric-атаку легко заметить и просто отразить, если иметь достаточное количество ресурсов и специальное оборудование. Киберпреступники направляют фейковые запросы при атаках L7 на такие приложения, где не требуется авторизация, и которые отвечают за сложные расчёты (склад, логистика, скидочные программы, рекомендуемые товары). Большинство жертв предполагает, что данную проблему можно решить “в лоб”, отсекая запросы с подозрительных IP-адресов. Но отличить реальных пользователей от ботов не так просто. Это требует анализа по сложным алгоритмам, разработкой которых Qrator Labs занимается уже около десяти лет.
На крупнейшей конференции Highload++ по веб-разработке Qrator Labs провёл конкурс среди лучших специалистов в этой области. Задачей было отфильтровать реальные запросы от фейковых.
Участникам предлагалось изучить лог реальной атаки на новостной сайт. В выборке было 1443 запроса от ботов, работающих по трем разным сценариям и логике (456 запроса по сценарию 1, 626 — по второму сценарию, 361 — по третьему). А также 10403 запросов от реальных пользователей. Лучшие разработчики два дня занимались решением задачи, и трем из них удалось приблизиться к правильному результату. Но ни один из них не сумел выявить все фейковые запросы. Более того, 3634 реальных пользователя были заблокированы. Задача при отражении атак L7 не только выявить фейковые запросы, но не отфильтровать реальных клиентов. Неаккуратная фильтрация приведёт к потерям для бизнеса.
“Атаки типа L7 — это серьезная проблема, которой Qrator Labs занимается уже десять лет. Её не решить без применения сложных математических алгоритмов. Именно поэтому в команде моей компании работают профессиональные математики”, — говорит Александр Лямин.
- Безопасность ресурсов онлайн-коммерции
Компания Wallarm разрабатывает решения для защиты нагруженных веб-ресурсов от сложных хакерских атак. Ее услугами пользуются крупнейшие интернет-ритейлеры Рунета.
Статистика говорит о том, что злоумышленники пытаются взломать интернет-магазины по следующим основным мотивам:
- Мошенничество с целью получения товаров.
- Кража всей пользовательской базы.
- Доступ к отдельным учетным записям.
- Нарушение работоспособности магазина.
- Шантаж.
Прямая материальная выгода от получения бесплатных товаров или товаров по цене ниже рыночной была главной мотивацией для злоумышленников в этом году. Большинство из них — непрофессионалы. С проблемой столкнулись 9 из 10 клиентов компании — крупнейших магазинов интернет-торговли. На черном рынке востребованы отдельные аккаунты с положительным внутренним балансом (чаще всего бонусными баллами программ лояльности), из-за чего брутфорс-атаки стали трендом этого года. Это атаки, в которых применяются специальные инструменты для перебора паролей.
Второй по популярности целью для взлома интернет-ритейлеров по-прежнему является кража пользовательской базы. Злоумышленники могут действовать как по конкретному заказу конкурентов, так и абсолютно независимо, зная, что база пользователей — чрезвычайно ликвидный товар, которые всегда можно продать по хорошей цене.
Стремление навредить и вывести ресурсы из строя — частый сценарий в случае неудавшейся DDoS-атаки. Злоумышленники организуют атаки, используя уязвимости самого приложения, а также устраивают таргетированные атаки на конкретных сотрудников компании.
Брутфорс-атаки — тренд 2015 года
Массовые переборы паролей к учетным записям пользователей в 2015 стали проблемой практически для всех крупных интернет-ритейлеров с программами лояльности. Для перебора также используются многочисленные базы, включающие себя пары емейл-пароль, от других взломанных ресурсов — как те, которые есть в публичном доступе, так и приватные. Техника оказалось невероятно эффективной, ведь 30% пользователей применяют один и тот же пароль на всех сервисах, которые они используют. Уязвимости в механизме применения скидочных кодов также играют на руку злоумышленников. Из-за недостаточной энтропии значения кода, эти коды можно подобрать. Чаще всего для приобретения материальной выгоды злоумышленники используют функционал различных бонусных и скидочных кодов. Далее бонусные баллы используются для приобретения товаров со скидкой (иногда 100%). Полученные таким образом товары далее перепродаются по рыночной стоимости. Как следствие компании терпят как прямые убытки и косвенные убытки из-за увеличивающегося объема трафика, заявок в службу поддержки и т.д.
Инициативы отдельных групп со временем стали организованным рынком, на котором одни люди продают базы пользователей, другие разрабатывают и продают лицензию на скрипты и программы для перебора, третьи предоставляют прокси-серверы для обхода защитных механизмов, четвертые продают уже взломанные аккаунты за 10-20% от их баланса.
Злоумышленники использую те части сайта, где реализовать защиту CAPTCHA довольно затруднительно, в том числе API для мобильных приложений.
Главная уязвимость 2015 года
Масштабная инфраструктура, меняющиеся команды разработчиков, сложный и разношерстный технологический стек приводят к тому, что практически у каждого интернет-ритейлереа есть уязвимости на сетевом периметре. На основе практики аудитов безопасности, компания Wallarm считает, что восемь из десяти интернет-ритейлеров взламываются не через основной сайт, а через вспомогательные ресурсы — “админки” и т.д. Компании уделяют внимание тестированию и проверкам безопасности основных ресурсов, забывая про второстепенные, где есть те же самые данные.
Черным днем для большого количества онлайн-магазинов (прежде всего небольших и средних) стала критическая уязвимость в движке Magento, который используется в 200 000 ресурсов по всему миру, он также популярен в России. С помощью так называемой “shoplift bug” уязвимости, позволяющей удаленное выполнение кода (RCE) можно было получить полный доступ к любому из них.
Разделение атак по типам
Один из интернет-ритейлеров — самый атакуемый ресурс, который стоит под защитой Wallarm’а.
Распределение атак по типа уязвимостей:
- SQLi-инъекции: 37.3%
- XSS: 28.5%
- Другие серверные уязвимости (RCE, XXE, Path Traversal) 16.1%
- Перебор паролей/кодов: 15.3%
- Прочие: 2,8%
Как и в 2014 году, на долю атак SQL-инъекций приходится больше всего вредоносных запросов. Такой тренд обусловлен наличием в открытом доступе множества инструментов для автоматизированного тестирования веб-приложений на этот тип уязвимости. Кроме того, риск уязвимости крайне высок: успешная эксплуатация сразу же открывает перед злоумышленником возможность получения полного доступа к базе данных, включая персональную информацию о клиентах, их счетах и прочие важные данные.
Второе место занимают атаки, направленные на клиентские уязвимости, так называемый межсайтовый скриптинг или “XSS”. Успешная эксплуатация дает возможность получения несанкционированного доступа к конкретной учетной записи пользователя-жертвы или группы. Эти уязвимости гораздо больше распространены в веб-приложениях и считаются разработчиками менее критичными, так как требуют взаимодействия с браузером атакуемого пользователя. Тем не менее, ущерб от успешных атак может быть очень велик, например, в случаях, когда компрометации подвергается не рядовой пользователь магазина, а администратор или менеджер.
На втором и третьем месте с практически одинаковыми показателями частоты идут атаки на перебор паролей и кодов, вместе с атаками на прочие серверные уязвимости, за исключением SQL-инъекций. В последнюю группу объединили различные попытки компрометации сервера, включая чтение файлов, атаки на XML парсеры, выполнение команд и другие. Успешная атака на этот класс обладает самым высоким риском среди прочих, однако распространенность инструментов для поиска уязвимостей на такая широкая, как в случае SQL-инъекций.
О Qrator Labs
Qrator Labs (лабораторный кластер компании HLL) основан в 2009 году. Компания предоставляет услуги противодействия DDoS-атакам и является признанным экспертом в этой области. В 2010 году компания запустила сеть фильтрации трафика Qrator, как технологическую основу коммерческого сервиса для защиты сайтов от подобных угроз. Первыми клиентами Qrator Labs стали web-сервисы, испытывающие высокие нагрузки, – портал Хабрахабр и рекламная сеть Блогун. На сегодняшний день сервисом пользуются ведущие СМИ (газета «Ведомости», радиостанция «Эхо Москвы», газета «Известия», телеканалы «Дождь», ТНТ-Телесеть), банки (банк «Тинькофф Кредитные Системы», Связной Банк, ЮниКредит Банк, Сбербанк Украина), сайты электронной коммерции (Lamoda, Юлмарт, Enter, Эльдорадо, Groupon, Biglion).
О Wallarm
Компания Wallarm разрабатывает продукты, совмещающие в себе функции защиты веб-приложений от хакерских атак и поиска уязвимостей. Решение широко востребовано компаниями, имеющими высоконагруженные веб-приложения и работающими на рынках электронной коммерции и онлайн-платежей, SaaS/PaaS, Big Data, электронных СМИ и персональных коммуникаций.
Компания работает в сфере защиты данных с 2009 г., осуществляя аудит информационной безопасности для ряда крупных интернет-компаний в России, США и Европе. В 2013 году Wallarm получила инвестиции от венчурного фонда Runa Capital. А в 2014 году в качестве директора по развитию к команде присоединился Степан Ильин, ранее главный редактор и издатель журнала «Хакер».
