«Яндекс» атаковали через DNS
Уязвимость реестра Роскомнадзора напомнила о себе
Злоумышленники вновь атаковали российские сайты, используя уязвимость системы блокировок запрещенных ресурсов в РФ. Законопослушные сайты оказались недоступны после привязки их IP-адресов к заблокированным доменам. Проблема не нова, но до сих пор не решена, отмечают эксперты: крупным сайтам могли бы помочь белые списки, от которых Роскомнадзор отказался еще полтора года назад.
Фото: Анатолий Жданов, Коммерсантъ
Крупные российские интернет-ресурсы, в том числе «Яндекс», недавно подверглись DNS-атакам, сообщило РБК со ссылкой на источники. В «Яндексе» подтвердили инцидент, но отказались называть его «атакой».
Используя уязвимость в системе блокировки сайтов в России, злоумышленники, владеющие включенными в реестр запрещенных сайтов доменами, связывали их с IP-адресами сайтов-жертв.
Таким образом, под ограничение попадали ресурсы, которые в действительности в реестре запрещенных не фигурировали.
«Это не атака, а эксплуатация существующих недостатков в механизме применения списка блокировок»,— настаивает представитель «Яндекса», отмечая, что пострадать от подобных действий может любая компания и любой сайт. «Сейчас операторы получают выгрузку от Роскомнадзора с перечнем URL-адресов для блокировки. Из URL-адреса они выделяют доменное имя и отправляют его на блокировку (или в систему DPI, при ее наличии). Если владелец домена, записал в DNS IP-адрес, принадлежащий ресурсу другой компании — например, одного из сервисов "Яндекса" — то в список блокировки попадет именно этот IP-адрес и может пострадать легитимный сервис»,— заключил он.
Подобные атаки случались еще в июне 2017 года. Тогда в качестве решения проблемы Роскомнадзор разослал операторам белые списки сайтов. Однако уже в конце сентября ведомство отозвало эти списки. «Проблема, из-за которой нам понадобились белые списки, решена»,— говорил тогда глава управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев «Известиям». В «Яндексе» продолжают выступать за их использование: «Необходимо сделать обязательным использование белых списков всеми операторами связи (на своей стороне) при формировании списка ресурсов для блокировки».
Тема с DNS-атаками достаточно стара, соглашается гендиректор «101 домен» Денис Ротанов: «Все надеялись, что ситуацию исправили, и долгое время ничего было не слышно. Сейчас оказалось, что Роскомнадзор никак на эту проблему не отреагировал». По его словам, из-за уязвимости провайдерам приходится использовать DPI (Deep Packet Inspection, системы глубокой фильтрации трафика), однако не все могут себе это позволить. В итоге клиенты крупных операторов могли столкнуться с замедлением доступа к ресурсам, а клиенты небольших провайдеров — с полным ограничением доступа, констатировал Денис Ротанов.
Эксперт по кибербезопасности Алексей Лукацкий видит три проблемы, по которым такие атаки продолжают происходить. Среди них — отсутствие в штате Роскомнадзора специалистов по безопасности, которые могли бы провести моделирование угроз и слабых мест для их устранения, а также отсутствие «архитектуры безопасности» во многих технических инициативах. «И третья проблема — отсутствие ответственности у регулятора за принесенный его действиями или бездействием ущерб. Именно поэтому последние два года данная уязвимость в реестре РКН нередко использовалась для атак на легитимные ресурсы»,— пояснил господин Лукацкий.
Полностью защититься от таких атак невозможно, и пока подобным атакам подвержены любые ресурсы, пессимистичен заместитель технического директора хостинг-провайдера Reg.ru Александр Хакимов. Он допускает, что можно смягчить воздействие таких атак «при помощи костылей»: тех же белых списков или перевода IP-адреса на фильтрацию только после проверки доступности запрещенного контента на данном IP.