Уничтоженный доступ. Возможные причины и последствия "падения" интернет-провайдера "Воля"
Эксперт по вопросам кибербезопасности, преподаватель школы журналистики НаУКМА Михаил Кольцов рассказал Фокусу, кому может быть выгодно "падение" услуг и сервисов одного из крупнейших украинских провайдеров и к чему это может привести
12 декабря около 18 часов киевские пользователи одного из крупнейших интернет-провайдеров "Воля" лишились доступа к Сети. Автоответчик компании настойчиво утверждал, что "неполадки будут устранены в ближайшее время". "Воля" заявила, что "упали" почти все услуги и сервисы компании. Недоступны были также колл-центр и корпоративные ресурсы. Еще позже компания писала о внешней атаке. Полностью доступ к Сети удалось восстановить лишь на следующий день утром. Официальное объяснение аварии: "внутреннее поражение и вмешательство в работу Сети".
Провайдер "Воля" назвал причиной вчерашней аварии внешнюю атаку. Насколько реальна угроза такой атаки? Или провайдер просто пытается объяснить свои технические проблемы проделками хакеров?
— Любой технический специалист отталкивается от так называемых "логов", когда происходит что-то подобное. Тогда у него на руках есть техническая информация, на основании которой он может прийти к выводу: это внешняя атака или внутренний сбой оборудования. Без технической информации мы находимся на этапе предположений. Если отталкиваться от того, что компания назвала причиной аварии внешнюю атаку, то, конечно, такое возможно.
Можно атаковать инфраструктуру провайдера. Подозреваю, что атаку на "Волю" осуществили по классической схеме. Те, кто гипотетически это сделал, получили доступ к серверам, отвечающим за распределение интернета. На эти серверы могли залить malware (вредоносная программа. — Фокус), который уничтожал жесткие диски и информацию на них. Он называется KillDisk и очень популярен в последнее время.
Насколько сложно прийти в себя после такой атаки?
— Все зависит от того, как компания делала резервные копии и не пострадали ли они от этой атаки. Подозреваю, что если вчера действительно была внешняя атака, то ее провели так: атаковали одновременно и провайдера, и резервную систему. Особенность "Воли" в том, что кроме доступа в интернет она предоставляет доступ к data-центрам, то есть на ее серверах хранится информация. Думаю, что провайдер допустил ошибку, объединив инфраструктуру, которая раздает интернет, со своим data-центром. Таким образом они бэкапились (создавали резервные копии. — Фокус) на собственные серверы. Обычное экономное решение. Скорее всего, были атакованы резервные копии. Если они не сохраняются, то восстановление может занять много времени, потому что придется заново все выстраивать.
Отделить данные от резервных копий — единственный способ обезопаситься от подобных аварий?
— Не только. Просто это главный способ уберечься от подобного. Во-первых, должно быть несколько резервных копий. Во-вторых, они должны бэкапиться на удаленные от основной инфраструктуры серверы. Проще говоря, это подобно тому, как пользователь одновременно будет загружать свои файлы на внешний носитель — винчестер или флэш-память и в облачное хранилище, например Google Drive. Если что-то случается с файлами на компьютере, все данные можно вернуть или с облака, или из внешнего носителя. Такая схема работает и с большими инфраструктурами.
Подозреваю, что атаковали две инфраструктуры. Сколько времени занимает такое восстановление, зависит только от компании. Если бы была атакована только одна инфраструктура, а бэкап-копии остались бы живы, то восстановление было бы очень быстрым. С учетом того, что вчера компания заявила, что не знает, когда все будет восстановлено, думаю, что резервные копии тоже пострадали.
Если виной аварии действительно была хакерская атака, кому это может быть нужно: конкурентам или какой-то хакерской группе?
"Раньше захватывали телеграф и мосты — два основных канала коммуникации, то сейчас такое же возможно с интернетом"
— Вряд ли конкурентам. Хоть "Воля" занимает третье место среди провайдеров в Украине, сейчас она выживает преимущественно за счет монопольного положения. Скорее всего, это действительно атака хакеров на провайдера, у которого нашли уязвимость. Думаю, хакерская группа действовала от обратного: сначала искала уязвимость, а потом использовала ее. Не исключено, что причиной уязвимости было устаревшее оборудование, в котором имелась ошибка. Недавно, например, много ошибок нашли в серверах CISCO. Одной из таких ошибок и могли воспользоваться злоумышленники.
Зачем это могло быть нужно хакерской группе?
— Компания не заявила о потере каких-то данных. Речь идет только об инфраструктуре, поэтому, скорее всего, главная цель — лишить пользователей интернета.
Какая в этом польза для хакеров?
— Только психологическая. Отсутствие интернета вызывает социальное недовольство. В этом может быть вся польза для хакеров. Нельзя ждать никакого конкретного эффекта от подобных атак.
Если говорить не о случае с "Волей", а вообще о гипотетическом отключении интернет-провайдера или провайдеров, может ли это дестабилизировать ситуацию в стране?
— Конечно. Основные коммуникационные каналы идут сейчас через интернет. Вот почему если раньше захватывали телеграф и мосты — два основных канала коммуникации, то сейчас такое же возможно с интернетом. Уничтожите интернет — ухудшится координация действий, не будет доступа к информации и к элементарным электронным ресурсам. Вы даже деньги не сможете перевести, не сможете проверить состояние своего счета.