Фальшивый DDoS и другие приключения Юрика

Когда эту проблему изучили украинские специалисты по кибербезопасности им новость об атаке показалась странной, так как с точки зрения цифр, а именно: 4 млрд атакующих запросов за 20 минут атаки никак не соответствовали реальности.

Директор IT-департамента КГГА Юрий Назаров в Facebook сообщил, что атака шла с субботы несколькими волнами.

По его словам, одновременно слали запросы как минимум 2,6 млн пользователей при нормальной нагрузке в 10 000, а всего в атаке принимали участие 13 млн IP-адресов, удалось отбить 71 млрд запросов.

Один из сооснователей «Украинского киберальянса», известный в сети под ником Шон Таунсенд, проанализировал атаку. Ему показались подозрительными цифры о DDoS, которые приводит КГГА. Он предположил, что атака могла быть «прикрытием» для тендера, который сейчас проводит администрация. С его оценкой соглашаются и другие эксперты в области кибербезопасности.

Тендер на закупку защитного программно-аппаратного комплекса за 65 млн грн для КГГА объявлен 11 марта. Закупку проводят через коммунальное предприятие «Информатика». 

Мы спросили у экспертов по кибербезопасности, что они думают о серьезности такой DDoS-атаки. И как оценивают вероятность того, что она связана с проходящим тендером.

Шон Таунсенд, сооснователь «Украинского киберальянса»:

14 апреля появился пресс-релиз о том, что сайты городской администрации были атакованы атакой «отказ в обслуживании» (когда из-за «мусорных запросов» к сервису не могут достучаться обычные пользователи).

Судя по тем скриншотам, которые опубликовал у себя в Facebook господин Назаров, атака не выгядит ни «массированной», и уж тем более не первой атакой такого объема в Украине. С технической точки зрения — довольно заурядное событие, любой грамотный системный администратор должен уметь справляться с подобными неприятностями.

Неравнодушные граждане тут же нашли тендер, объявленный городской администрацией на покупку оборудования для защиты. По странному совпадению, сумма тендера — снова 65 миллионов. И хотя точной спецификации нет, возникают большие сомнения в целесообразности данной покупки. Как по стоимости, так и по характеристикам она превышает потребности КГГА.

Егор Аушев, сооснователь Cyber School & Cyber Unit:

Было ли совпадением объявление тендера на закупку оборудования от DDoS-атак и начало самих атак на КМДА — сложно сказать, еще сложнее объяснить, чем руководствуются чиновники, которые закупают оборудование на десятки миллионов долларов для решения точечной проблемы, но не смотрят на вопрос кибербезопасности комплексно.

Если КГГА озадачилась вопросом кибербезопасности, то начинать нужно не с закупки оборудования, а с комплексного аудита всех ресурсов, тестов на проникновение, на устойчивость систем, а также обучение персонала и руководства стандартным правилам кибер гигиены, поиск слабых мест в системе.

Как известно, 90% всех взломов происходят из-за сотрудника, поскольку необученного человека «взломать» и спровоцировать на действие значительно легче, чем компьютер. На сегодня большинство городских ресурсов (некоторые из них являются объектами критической инфраструктуры), к сожалению, может взломать даже средний студент КПИ, поскольку они практически не имеют защиты, а закупка оборудования для защиты от DDoS не решит общей проблемы.

Одним из вариантов решений комплексной проблемы может быть использование «белых» хакеров — специалистов из частного сектора.

Во всем цивилизованном мире для реальной защиты гос и местных органов привлекаются «белые» хакеры, которые за небольшое вознаграждение (или официальную благодарность) ищут уязвимости и указывают на проблемы. Первым подобным примером в Украине была компания Prozorro, которая всего за несколько тысяч долларов организовала хакатон, в итоге 20 украинских «белых» хакеров соревновались целый день в рамках hack prozorro и смогли найти уязвимости в их системе. Креатив и современные подходы могут заменить многомиллионные расходы на закупки. 

Сергей Харюк, ведущий аналитик по кибербезопасности в Hacken:

После ознакомления с тендерными вопросами у меня возникли две мысли:

• Распил. В данном случае действительно может быть все как описал Шон в своем посте: заказали дешевенький DDoS, дабы была формальная причина, такая услуга обошлась бы бюджету в пару сотен баксов.
• Руководителю IT/Security влетело за недоступность какого-то сервиса, и он хочет купить чудо-кнопку «Сделать хорошо». В данном случае мне видится эмоциональное решение, которое обусловленно приближением выборов.

Касательно самой DDoS-атаки, по количеству уникальных IP похоже, что преувеличили или неверно посчитали. Такую инфраструктуру сейчас держать достаточно сложно. Легендарный ботнет Mirai, который положил половину Amazon (имеются в виду сервисы, которые хостились в AWS — ред.) в США, насколько помню, насчитывал до 100 000 уникальных IP, а 1,5 млн — даже не знаю, кто смог бы такое потянуть.

Но фальшивая DDoS атака это не первая попытка Юрика Назарова вывести 65 миллионов из бюджета города.

Ранее КГГА хотела купить камеры для замеров температуры людей за 65 млн грн. Их показатели имеют большую погрешность, производитель — под санкциями в США

Так 6 апреля стало известно, что КГГА без тендера через свое предприятие «Информатика» закупила 400 камер температурного скрининга на почти 65 млн грн у компании «Интевро». Это — устройства Hikvision DS-2TD1217B-6/PA, их покупали по 125 000 грн с НДС, плюс 10 250 грн за монтаж и запуск каждой камеры.

Что не так с камерами?

Согласно документации камеры закупали, чтобы дистанционно измерять температуру людей в публичных местах и таким образом, вычислять потенциальных носителей вируса (людей с повышенной температурой). По документам, требовалось устройство, которое меряет температуру с погрешностью не больше, чем 0,5°C. Однако, по мнению экспертов, камеры такой модели в этом случае — не лучший выбор.

В IPVM, специализированном американском издании, которое тестирует камеры безопасности, Hikvision (и многие подобные камеры) рассказали, что эти камеры не способны в принципе точно замерять температуру человеческого тела!

«Основная проблема — они замеряют температуру лба, которая часто отличается от температуры тела, из-за пребывания человека на солнце, дождя или влажной погоды, которая снижает тепловое излучение кожи, физической активности человека и даже косметики на лице», — объясняет Итан Эйс из IPVM.

Из-за этого такие системы, настроенные на автоматические оповещения о людях с повышенной температурой, могут выдавать множество ложных срабатываний. По данным IPVM, намного лучше для дистанционных замеров температуры подходит внутренний кантус: небольшая область возле слезных протоков глаза, на которую окружающая среда почти не действует.

Еще одна проблема с таким камерами: производитель заявляет, что они могут измерять температуру в движении, на большой площади (к примеру, в коридоре).

«Камере нужен кластер нескольких пикселей, чтобы считать температуру. Но при замере кого-то, кто движется по большой площади, а не стоит на месте, участок кожи, который покрывает этот кластер, будет меняться, и сложно будет провести корректные замеры», — отмечают в IPVM.

Технические трудности

По мнению экспертов, такие камеры технически не подходят для точного температурного скрининга людей. В компании Secur, которая занимается системами безопасности отмечают несколько проблем:

• В таком типе оборудования используют самые дешевые микроболометры на рынке: 160×120. Они используются для отслеживания очагов перегрева и возгорания, а не для замеров температуры человеческого тела.
• По характеристикам на сайте производителя, точность измерения ± 0,5 °C, то есть, человека с условно нормальной температурой 37,1°C погрешность может вынести в зону превышения 37,6°C. А человека с температурой 37,9°C занести в условно нормальную зону 37,4°C.
• Даже точность в 0,5 градусов достигают при использовании калибратора: так называемого «абсолютно черного тела». Это — устройство, которое генерирует стабильный уровень температуры, с помощью него автоподстраивается камера. Без автоподстройки температурные колебания в помещении, где работает камера, со временем сбивают ее калибровку. Даже изменение температуры среды на 1 градус может сбить ее. «Черное тело является эталоном для подстройки, без его использования термальные настройки камер с низкобюджетным микроболометром (как у модели DS-2TD1217B-6/PA) хаотично дрейфуют», — отмечают в компании.
• Оборудование Hikvision сейчас находится под санкциями США. Из-за этого организация ONVIF, которая разрабатывает стандартизованные протоколы связи для IP-камер, отказала бренду в сертификации и отстранила их от своей работы.

В Secur делают вывод, что такое оборудование не может применяться для температурного скрининга с приемлемой статистической погрешностью.