Жертвы закона. Интернет-операторы становятся мишенью для хакеров

ФСБ рассчитала, что затраты операторов связи на выполнение требований по хранению данных для выполнения «закона Яровой» могут повлечь рост тарифов до 10% по всей стране, писал Reuters. Ранее операторы оценивали свои расходы в десятки миллиардов рублей — это привело бы к существенно большему росту цен. Что должны учесть операторы, чтобы оптимизировать затраты?

Суть закона

С 1 июля вступили в силу положения поправки к законодательству, известные как «закон Яровой», подробно они описаны в Постановлением Правительства РФ №445 от 12 апреля 2018 года. На данный момент лишь операторы, оказывающие услуги телефонной и радиосвязи, обязаны обеспечивать хранение голосовой информации и текстовых сообщений пользователей: в течение шести месяцев в полном объеме. Но это только первая часть нашумевшего «пакета».

С 1 октября 2018 года интернет-операторы должны будут хранить весь трафик — как входящий, так и исходящий, в технических средствах накопления информации. Им нужно иметь хранилища объемом, достаточным для записи интернет-трафика, обработанного в течение 30 суток вплоть до дня сдачи системы в эксплуатацию.

Проще говоря, если оператор сдает в эксплуатацию хранилище 31 августа и с 1 по 30 августа у него «набегало» по 1 терабайт пользовательского трафика ежедневно, хранилище должно быть емкостью не меньше 30 терабайт. Если хранилище со временем будет заполняться быстрее, и старые данные будут доступны не в течение 30 дней, а за меньший срок — это уже не проблема оператора. При этом в Постановлении №445 заложено ежегодное увеличение хранилища на фиксированные 15% в течении первых пяти лет.

Необходимый объем системы накопления операторы будут рассчитывать примерно следующим образом: возьмут трафик за предыдущий месяц, прошлый год, учтут периодичность, различные спортивные, маркетинговые события или их отсутствие и рассчитают, какая емкость им потребуется. И вот здесь начинается простор для манипуляций со стороны как операторов, так и со стороны злоумышленников.

Рычаги манипуляции

Возможности занижения обязательных объемов хранилища очевидны: меньше трафика — меньше затрат. Потенциально сделать это несложно: скажем, в августе активность пользователей снижается из-за периода отпусков, а если еще уменьшить скорость канала для клиентов, то можно дополнительно «порезать» им трафик. Конечно, Youtube будет работать в более низком качестве, все будет подтормаживать, зато формально показатели будут занижены, а пользователи за месяц могут и не сориентироваться. Скорее всего этот трюк будет пресечен, например, за счет того, что ФСБ и Роскомнадзор запросят данные за предыдущие месяцы и годы или надзорные органы не примут узел в эксплуатацию, получив жалобы на манипуляцию с трафиком.

Разнообразнее способы увеличения ежемесячного трафика по сравнению с нормальным. Они могут быть выгодны, так нечистым на руку конкурентам, так и злоумышленникам.

С конкурентами просто: увеличение затрат на систему хранения заставит оператора либо повышать стоимость услуг для своих абонентов, либо экономить на темпах развития сети. Как это реализовать?

Индустрия уже неоднократно наблюдала многочисленные DDoS-атаки на банки с целью вымогательства. Злоумышленники начинают атаковать сервисы банка, а затем пишут его руководству с анонимных адресов, что готовы остановить атаку в обмен на определенную сумму. Теперь операторы связи подвержены той же опасности: «перечислите сумму в биткоинах на указанный адрес, в противном случае мы начнем на вас атаку, которая, даже если не уничтожит вашу сеть, добавит трафик атаки к расчету объема системы накопления данных за расчетный месяц».

Что это означает для оператора? Допустим, пропускная способность канала оператора связи — 40 Гбит/сек, а средний объем передаваемого трафика составляет около 20 Гбит/сек. Если еще 20 Гбит/сек добавить DDoS-атакой (это доступно даже школьнику), стоимость хранилища вырастает в два раза. Делать это могут как произвольные злоумышленники (осуществляя ковровую бомбардировку операторов связи и вымогая деньги за их прекращение), так и нечистоплотные конкуренты операторов.

В результате «закон Яровой» порождает новую цель для хакеров — ранее операторы «домашнего» уровня целью вымогательства никогда не были, поскольку в их распоряжении не так много средств и они не на слуху у общественности.

Платить злоумышленникам ни в коем случае не следует. В случае реализации этого риска оператор может связаться с регулятором и обоснованно запросить перенос даты сдачи хранилища в эксплуатацию.

Хранитель произвольных чисел

Хранение паразитного трафика — еще один пункт в федеральном законе, вызывающий вопросы. В соответствии с нормативными документами, трафик нужно хранить весь. Ни оператор, никто другой не наделены возможностью определять часть трафика как нелегитимную и разрешать уничтожать ее.

В результате, при DDoS-атаках не только увеличивается объем систем хранения, необходимых оператору, но и часть их содержимого составляет бессмысленный трафик DDoS-атак.

Предположим, что в это хранилище, попали сообщения, содержащие необходимую для ФСБ информацию о той или иной персоне. Хотя 70% трафика в Интернете зашифровано, но допустим, что это было сообщение электронной почты, которая зачастую передается в открытом виде. Данные хранятся данные в течение 30 дней. Организовав атаку методом, описанным в предыдущей главе, можно вдвое ускорить заполнение хранилища и снизить срок нахождения компрометирующей записи в системе до 15 суток. Для простоты мы не учитываем, что находящиеся в хранилище данные будут ротироваться по определенному принципу.

Вдвое — это еще осторожная оценка, можно снизить время хранения информации, ради которой затевался «закон Яровой» еще сильнее. Например, у оператора с шириной канала 40 гигабит/секунду, его использование будет носить ярко выраженный периодический характер: днем скорость передачи всех данных будет доходить до 30 гигабит/секунду, но ночью будет использоваться в 20-30 раз меньшая ширина канала. А вот паразитный трафик в это время можно увеличивать и выбирать всю разницу между доступной шириной канала и реальным ее использованием. В результате сообщения злоумышленников быстрее будут стерты, так как исчерпается запас хранилища. А оператор «бонусом» получит обязательство нарастить объем хранилища в разы.

При этом в подавляющем большинстве случаев хранение трафика атаки (в особенности, без дешифровки) на протяжении существенного времени никакой практической пользы не несет: трафик этот «мусорный» и обычно не содержит данных, способных помочь в расследовании. В тех редких случаях, когда в трафике действительно можно обнаружить информацию, помогающую раскрыть личность злоумышленника, достаточно использовать метаданные трафика и технику под названием «сэмплирование». Последняя подразумевает хранение только небольших элементов данных, получаемых, например, 10 раз в минуту.

Напомним при этом, что рекордная скорость DDoS-атак на сегодня составляет 1,7 терабит/сек, то есть оператору записывать в таком случае придется более 200 гигабайт в секунду.

Справедливости ради, отмечу, что для расследования DDoS-атак от «пакета Яровой» может в действительности быть и небольшая польза. В частности, в случае атак с поддельных IP-адресов можно будет с высокой точностью установить, откуда пришла атака. Причем, если мусорные пакеты посылали устройства из российского сегмента Интернета, то источник атаки можно будет установить, по крайней мере, с точностью до провайдера. Большого смысла в этом все еще нет, но в отдельных случаях, при определенном везении, некую полезную информацию можно будет извлечь.

За чей счет пакет?

Самый популярный вопрос: во сколько это обойдется операторам? Не так давно компания МТС заявила , что потратит на выполнение требований закона Яровой порядка 60 млрд рублей за пять лет, а чуть ранее «Вымпелком» оценил свои расходы примерно в 45 млрд рублей.

Разница в подсчетах может учитывать такие факторы как разный подход к обеспечению избыточности, отказоустойчивости и доступности данных. Ценовой коридор для таких решений очень широк. Вполне возможно, что в отношении тех операторов, которые просчитаются с вложениями, в течение следующих 3-5 лет, будут применены санкции, если находящиеся в хранилище данные действительно будут востребованы компетентными органами, но окажутся недоступны или утрачены.

Но даже существенные вложения не гарантируют выполнения закона: несколько месяцев назад «Ростелеком» заявил о нехватке на рынке сертифицированного оборудования для выполнения «закона Яровой» для компании такого масштаба. Это создает существенные затруднения в выполнении требований правил. Сертификация здесь традиционно представляет собой перераспределение зон ответственности (то есть за работу хранилища будет отвечать не оператор связи, а производитель) — процесс этот не бесплатный и не может быть выполнен мгновенно.

Получается, что ведущие операторы, вероятно, столкнутся с нехваткой оборудования на первых порах. А операторы малого и среднего уровня не могут позволить себе «железобетонно» надежное решение по финансовым причинам. Учитывая, как легко влиять на параметры необходимых объемов хранилищ, неизбежно регулятору и операторам придется искать компромиссы и приносить жертвы с обеих сторон для работы «закона Яровой».