Blog Post: Александр Лямин, Qrator Labs: наша задача — выработать у людей цифровую гигиену, чтобы они «не ели с помойки»

Александр Лямин знает о DDoS-атаках едва ли не больше, чем кто-либо в России: он исследует эту тему в течение 12 лет. С тех пор продукт, разработанный его командой Qrator, отразил бессчетное количество атак на сотни компаний в России и в мире. «Хайтек» поговорил с Александром Ляминым о последних новостях из мира хакеров и угрозах безопасности ближайшего будущего, когда в ваш дом может проникнуть злоумышленник даже через лампочку. Александр Лямин — генеральный директор и основатель Qrator Labs. Компания предоставляет услуги противодействия DDoS-атакам и является номером один в области противодействия DDoS в России по версии IDC. Команда Qrator Labs занимается исследовательской деятельностью в области защиты от DDoS c 2006 года. Среди клиентов компании — «Тинькофф Кредитные Системы», QIWI, CyberPlat, «Элекснет», Lamoda, «Юлмарт», «Эльдорадо», Ozon, Wildberries, «Ситилинк», МИА «Россия сегодня», радиостанция «Эхо Москвы», REGNUM, телеканалы «Звезда», ТНТ, «Дождь», «НТВ-Плюс» и другие. «Парадигма бизнеса поменялась» — Не помню, когда мне в последний раз попадался «лежащий» сайт. Это только кажется или силы добра победили? — Вообще лежат регулярно, но в гораздо меньшем количестве, чем раньше. Во многом, потому что у бизнеса за последние пять лет поменялась парадигма. Раньше заказчики к нам приходили исключительно под DDoS-атакой, с недоступным приложением. Это всегда очень хлопотно и нервно: неизбежные репутационные издержки, стресс для техперсонала. Сейчас в большинстве случаев бизнес подключается до, если чувствует, что идет обострение конкурентной борьбы, или же после того, как посчитает свои возможные убытки. Да, наши заказчики не «лежат», и это предмет гордости. [View:https://www.youtube.com/watch?v=DliiasTLDHc:550:0] Если посмотреть, из топ-10 Forbes российских интернет-компаний семь — наши клиенты. По сути, мы — терапевты, ведем профилактику заболеваний. Когда на каталке ввозят «хладный труп», как обычно, в пятницу вечером или в субботу рано утром, мы его, конечно, откачиваем. После начинаем разговаривать про контракты и деньги. Начинали с мелкой интернет-розницы, региональных СМИ, сейчас наши заказчики — крупнейшие компании России, требования у них совсем другие. Когда к нам подключился первый банк, на лету пришлось перестраиваться, чтобы работать с финансовыми данными, с шифрованным трафиком, чтобы не нарушить лицензионные обязательства, индустриальные сертификации. Из плюсов — вышел GDPR в Европе. Qrator оказался к нему готов прямо из коробки, потому что мы изначально строились из этих принципов. — Объясните, как работает Qrator. — Мы сидим в разрыве между конечным пользователем и вашим приложением и анализируем входящий и исходящий трафик на предмет аномалий. Этот процесс у нас сразу был автоматизирован, сейчас это принято называть машинным обучением и искусственным интеллектом. Мы занимались этой ерундой еще до того, как это стало модным. Если аномалия выявлена, то мы задаем себе два вопроса: кто больше всего похож на робота (для этого года три назад появилось модное название User Behavioral Analytics — поведенческий анализ) и кто генерирует больше всего нагрузки на веб-сайт. Выявив дефицит производительности, мы включаем блокировки разной длительности — от нескольких секунд до восьми часов, таким образом решаем задачи оптимизации пропускной способности приложения. В отличие от других решений, мы обрабатываем еще и исходящий трафик — смотрим, как приложение себя чувствует до применения политики фильтрации, в процессе, какие ответы оно дает. Благодаря этой обратной связи мы совершенствуем процесс фильтрации, отключаем блокировки, включаем их снова. Так что для хакеров обойти Qrator — сразу жирная генеральская звездочка. — С чего вообще пришла в голову идея заняться DDoS-атаками? — Я работал в МГУ, там была классная команда, но не хватало денег даже на поддержание штанов, поэтому я также подрабатывал консультантом в нескольких частных компаниях и регулярно сталкивался с DDoS-атаками. В 2004 была атака в России, которая привела к остановке крупнейшего тогда хостинга Masterhost. Так я познакомился с предметом, увидел доступные продукты по защите. Когда я столкнулся с Cisco Guard в 2006 году, пожал плечами и подумал: «Можно же лучше». Эта идея запала в голову, в 2008 году я пришел к руководству МГУ с инициативой заняться изучением атак, пытаться их симулировать на университетском оборудовании, найти методы эффективной борьбы. Мне дали добро, за что я очень благодарен. [View:https://www.youtube.com/watch?v=J7_P4Rwunxc:550:0] Собралась команда, мы работали круглосуточно и бесплатно. 22 июня 2010 года случилась DDoS-атака, которая превышала возможности инфраструктуры университета. Время было удачное — вступительные и сессия закончились. Если бы это повлияло на учебный процесс, руководство бы не поняло. Надо было либо сворачиваться, либо развиваться во что-то большее. Я решил сделать компанию с теми, с кем работал, — эти люди по-прежнему со мной, некоторые — мои партнеры и соучредители. В сентябре 2010 мы собрались в подвале в Денежном переулке, «в тени МВД», как о нас написали. — Не в гараже? — Нет, у нас холодно, поэтому в гаражах ничего не начинается. 1 сентября запустили первый этап нашей сети и начали думать, как протестировать работоспособность, и тут случилась атака на «Хабрахабр». Этот портал стал нашим первым коммерческим пользователем. К моменту запуска мы помогли более 600 компаниям, но без контрактов, обязательств и без оплаты. Единственное условие было с нашей стороны — чтобы компания соответствовала духу МГУ, поэтому «Дом-2» мы долгое время не брали. — Но потом взяли? — Когда стали коммерческой компанией, отказаться не смогли, иначе они могли бы пожаловаться в ФАС. — У вас есть клиенты вне России? — Да, самые крупные заказчики у нас уже полтора года как не из России, а 30–40% выручки — не российского происхождения. Но я считаю, можно и лучше. Есть объективные внешние факторы, но на них всегда можно что-то списать. Продукт получился мирового уровня, и это доказывают неудавшиеся попытки вхождения на рынок зарубежных игроков. Некоторые даже дотировали российский продукт на 50% от глобального ценника, но мы успешно сдержали этот натиск, они вынуждены были вернуться к обычным ценам. Сейчас у нас три офиса, два в Москве, один в Праге, штат — около 60–70 человек, есть люди на удаленке — в Иркутске и в Самаре. Наши заказчики расположены во всех часовых поясах от Индонезии, Малайзии и до США, нам нужно обеспечивать работу 24/7. — Вы берете деньги за подписку? — Да, у нас публичная оферта и, к сожалению, не все заказчики в нее помещаются. У многих есть необходимость соответствовать бюджетному процессу. Мы готовим коммерческое предложение, которое гарантирует фиксированную цену ежемесячно, в конце года идут скидки, в пересчете на месяц получается фиксированная стоимость. Мы изначально играем вдолгую, не пользуемся бедственным положением заказчика и не берем с него втридорога, потому что у него все «болит». К нам когда-то пришел маленький интернет-магазин матрасов под названием «Аскона». Я видел, как растут трафик и бизнес. Мы говорим им каждый год: «Ребята, вы переплачиваете, давайте переведем вас на другой тариф». Они отвечают: «Все работает, не надо ничего трогать!». — А почему получается дешевле? — Мы закупаем трафик, каналы связи у поставщиков. Если можем гарантировать выкуп определенного объема полосы, то его стоимость снижается. — Cейчас маленький интернет-магазин может позволить ваш продукт? — Для маленьких интернет-магазинов у нас существовал специальный тариф — 5 тыс. рублей в месяц, который мы называли социальным. Он не окупался, но это самая лояльная публика, которая евангелизирует продукт. Пример: девушка позвонила из Санкт-Петербурга, она два месяца как запустила маленький интернет-магазин, event-менеджмент, разместилась в Директе — и пришла DDoS-атака с требованием убрать рекламу. Я сказал — даже если в ноль, все равно беремся. Но мы работаем только с юридическими лицами, это значит — счета, акты, сверки. «Почтой России» отправлять нельзя, расходы на курьеров сделали услугу убыточной. Но у нас есть партнер, который с нашей лицензией и технологиями будет пытаться зайти на этот рынок. Желаем им удачи, потому что мелкий бизнес тоже страдает от атак. Существует бесплатный CloudFlare, но у него есть технические ограничения на стыке технологий и государственного регулирования: на одном адресе может быть несколько веб-страниц, если вам не повезет (а это русская рулетка), то вы можете оказаться на одном IP-адресе с запрещенным Роскомнадзором сайтом и будете недоступны. «Настоящих профессионалов DDoS-атак не видно» — Бизнес организации DDoS-атак ведь тоже растет и развивается? — Конечно, более того, активно пытается легализоваться. Если набрать в Google или «Яндекс» «стрессер», вы найдете множество объявлений. На этом рынке по-прежнему есть новички и любители. [View:https://www.youtube.com/watch?v=1i4ElNER244:550:0] Хороший пример — пара тинейджеров из Израиля, запустивших один из самых крупных стрессеров в сети. Их хакнули, выложили всю информацию о них самих, их заказчиках, и ФБР взяло их тепленькими. Ребята настолько не прятались, что использовали свои настоящие имена, емейлы. ФБР предъявило обвинения не только организаторам (они попали в тюрьму), но и прошлось с судебными делами по базе данных клиентов — те тоже использовали свои реальные имена, кредитки. Но настоящих профессионалов не видно. Уровень атак постоянно растет. Коммерческую атаку сразу видно — работает группа людей, у каждого своя специализация, они сидят в разных часовых поясах, идет передача по смене. Появляется новый класс атак — State Sponsored, их проводят спецслужбы. — Вы их тоже видите? — Свечку не держали, но догадываемся. — А что вы имеете в виду под легализацией DDoS-атак? — Доходит до смешного. На многих сайтах можно заказать услугу и оплатить картой, значит, компания прошла строгий комплаенс, подключаясь к кредитной системе. Многие пытались говорить: что вы, мы делаем нагрузочное тестирование по заказу пользователей. Но это попытка играть в серую, когда это в чистом виде криминал. — А в России? — Этот вид деятельности криминализирован, за него можно получить срок, что регулярно происходит. И заказчики тоже попадают. Интересно, что многие сайты, организующие DDoS-атаки, сами находятся под защитой от CloudFlare. Это конкурентный рынок, они друг друга ддосят. «Самое время сделать для IoT ПДД и техосмотр» — Куда это все движется? Какие новые угрозы нас ждут? — Мы год от года отслеживаем одни и те же тренды. Есть три крупных фактора, влияющих на уровень DDoS-атак. Первый, самый важный — распространение интернета вещей. Есть такая шутка — в аббревиатуре IoT буква «s» означает security. Миллионы устройств выходят на рынок, потребители ставят их у себя дома и забывают, для них это — вещь. Для производителя — тоже, его задача — продать и забыть. Вы получаете устройства с заведомыми уязвимостями, которые никогда не будут исправлены. Уязвимость можно применить для запуска глобального ботнета. Второй фактор — распространение IPv6. Ботнет Mirai был построен на видеокамерах. Пользователь хочет иметь доступ к камерам вне дома — в офисе, в путешествии, чтобы знать, как там дети, кошки. В маршрутизаторах есть функция (P)NAT (Port Network Address Translation) — когда под одним IP-адресом в домашней сети скрывается несколько устройств. NAT появился потому, что адресов по IPv4 стало не хватать. Если каждому устройству сейчас выдать по IP, то адресов не хватит даже на Северную Америку, не говоря уже о Китае и Индии. NAT работает примерно как диод — устройство за NAT может устанавливать соединение с исходящим трафиком, а к устройству никто не может установить соединение. Но можно проковырять дырочку в NAT — прийти, настроить руками, и у вас через веб-интерфейс будет доступ к своей веб-камере. Все это сделали, а камеры оказались с дыркой. Как только вы посылаете пакет с эксплоитом, то получаете контроль над камерой. Получился ботнет из камер (эксплоит — программа или фрагмент программного кода, использующие уязвимости в ПО для атаки на систему — «Хайтек»). [View:https://www.youtube.com/watch?v=OhA9PAfkJ10:550:0] До того, как его стали использовать в наступательных целях, народ на хакерских форумах собирал видео с камер со всякой клубничкой. А вы думаете, у телевизоров LG лучше с безопасностью? А у холодильников с доступом в интернет, у светильников, у детских кукол? IPv6 появился, чтобы решить проблему нехватки адресов, NAT становится не нужен, у каждого устройства честный IP-адрес. Но новые технологии — это новые вызовы. Пока не будут выработаны практики применения нового протокола, будет пролита кровь. Вместо ботнета из камер будет ботнет из холодильников, чайников, лампочек. Третий фактор, набирающий обороты, — растущая скорость мобильного интернета. Я живу за МКАДом, интернет по проводу у меня в десять раз медленнее, чем интернет от мобильных операторов. Мобильные ботнеты раньше доставляли больше проблем оператору связи, так как мобильная сеть схлопывалась под нагрузкой. Сейчас сети стали быстрые, устойчивее, и подключаться будут к ним, а не к домашней сети — через устройства с симкой к вашим холодильникам, камерам и прочему. А они по-прежнему без защиты, потому что практика выпуска устройств по минимальной цене никуда не делась. В ближайшее десятилетие мы без работы не останемся. — Производитель должен что-то поменять? — Производитель не будет ничего менять, пока не появятся индустриальные требования, сертификации. Индустрия IoT показала, что она не в состоянии самоорганизоваться и выработать разумные правила. Ситуация напоминает раннюю эпоху автомобилестроения — тогда можно было в гараже собрать автомобиль и выехать на нем на публичную дорогу, создавая риски для общества. Индустрия должна договориться, что у автомобиля будут аптечка, тормоза и все остальное. Выехал в интернет — обязан соответствовать требованиям и не создавать опасности для других участников движения. Ответственность должен нести не только водитель, но и производитель, продавший оборудование. Самое время сделать для IoT ПДД и техосмотр. — То есть государство должно этим заниматься? — Государство, ООН, ITU (International Telecommunication Union). У IETF (Internet Engineering Task Force, Международный совет интернета — «Хайтек») на днях появилась бумага с требования по IoT, работа идет. «Интернет — вовсе не ровное поле» — Как вы себя продвигаете? Обычный пользователь в большинстве своем ничего не слышал про Qrator. — Долгое время у нас был нулевой бюджет на маркетинг. Единственное, что мы делали и продолжаем делать — если кто-то из сотрудников хочет выступить на конференции, компания финансирует. Мы много ездим, рассказываем, что делаем и наблюдаем. Технический маркетинг для нас работает. [View:https://www.youtube.com/watch?v=_1hHesyvoxw:550:0] С появлением пресс-менеджера выстроились отношения с прессой, и мы прекрасно понимаем: ситуация сложилась во многом из-за того, что бизнес неграмотный, а мы не в состоянии донести до него, какую практику нужно ввести. Мы для него инопланетяне, а пресса — переводчик. У нас даже есть формат «Без галстуков»: всех собираем в баре и предлагаем задавать самые глупые вопросы, над которым никто не будет смеяться. Наша задача — выработать у людей цифровую гигиену, чтобы они «не ели с помойки». А в продвижении на нас работает хорошее качество продукта, евангелисты нас постоянно рекомендуют в соцсетях. Поддерживать качество — тяжкий каждодневный труд. Нам постоянно звонят, даже мне лично. — Посреди ночи все еще приходится консультировать? — Первые пять лет жизни компании это было нормой, я не мог быть без связи больше суток, чтобы сотрудники не устраивали забеги по стенкам. Сейчас уже сосредоточен не на операционном менеджменте, а на зарубежных клиентах. — У вас нет идей разработать продукт для защиты предприятий от целевых атак? — Мы любим говорить, что не занимаемся безопасностью, и это правда (на две третьих — точно). Безопасность стоит на трех столпах — конфиденциальность, целостность и доступность. Мы занимаемся только последним. Да, у нас есть еще один продукт, который мы в этом году коммерциализировали — это Qrator Radar, с которым мы пришли в «Сколково». Он контролирует целостность ваших анонсов в глобальной сети интернет на уровне BGP. — А можно пример? — Месяца три назад у клиента Amazon, криптобиржи, за 30 минут украли $150 млн с применением атаки на протокол BGP. Полтора месяца назад подобным образом была атакована одна из платежных систем. Все кредитные организации, особенно компании, которые используют технологию public ledger (блокчейн — «Хайтек») подвержены проблеме 51%: у кого квалифицированное большинство, тот и прав. Люди подразумевают, что интернет — целостная штука, испытанная годами. На самом деле, нет. Еще когда-то в IRC дети занимались тем, что устраивали network split, разделение сети. Такой же сплит можно устроить с блокчейном, получив в своей половине квалифицированное большинство, а значит, контроль. Все, что остается, — провести атаку, извлечь прибыль или заблокировать все операции и заняться вымогательством. Об этой проблеме мы знаем с 2011 года. До нее начинают додумываться другие люди, не все из них хорошие. В 2015 году решились поднять флажок и прочитали на Black Hat, крупнейшей хакерской конференции, доклад о том, как с помощью манипуляций с BGP можно осуществлять атаки класса man-in-the-middle на протоколы шифрования с публичной инфраструктурой. Нас тогда никто не понял, но в этом году Принстон сделал исследование и представил его на USENIX, крупнейшем форуме по прикладному программированию. Они поставили ссылку на нас, подтвердили наши результаты и развили их дальше. Процесс идет, нужно, чтобы индустрия информационной безопасности осознала: интернет — это вовсе не ровное поле, которое нельзя разорвать, и занялась решением этой проблемы. А мы уже занимаемся. — Это вы о Radar? — Да, это самый крупный коллектор данных по BGP в мире, крупнее, чем RIPE Atlas, Cisco Umbrella: более 500 источников, которые мы собирали годами. На основе наблюдений данных из этих источников мы строим математическую модель интернета и в реальном времени можем видеть все инциденты, происходящие с вашей инфраструктурой. Если кто-то начинает манипуляции с маршрутами заказчика в глобальной сети, мы уведомляем его, что позволяет принять административные меры по минимизированию финансовых и имиджевых потерь. — А насколько востребован такой продукт? — За прошлый год мы подписали в России три контракта с компаниями номер один в своей сфере. Я очень рад, что в России есть настолько технологически развитые компании, которые видят ценность в этом сложном продукте. Часть из них переключилась от наших международных конкурентов, и фидбэк просто отраден. Источник: hightech.fm