Миф о нехватке IP-адресов

Поскольку перед почти каждым писателем рано или поздно встаёт задача обретения присутствия в Интернет, многие из них озабочиваются созданием собственного ресурса. Поэтому продолжим тему информационной гигиены и безопасности (а вернее, небезопасности) Интернет. Читателям, среди которых также найдутся творческие личности или предприниматели, также это будет интересно. Предыдущие статьи по этой теме можно найти здесь же.

С начала 2000х гг. бытует, а вернее усиленно распространяется, вдалбливается и нормализуется мнение, что в мире заканчивается нефть. Шутка. Речь на самом деле идёт об IP-адресах формата или версии 4, то есть всех привычных адресов, похожих на 1.1.1.1 или 8.8.8.8. Это неправда, и сегодня я объясню, почему.

Администраторам Интернет-ресурсов хорошо известно, что на них постоянно, безостановочно ведётся атака. Со всей планеты на каждый IP-адрес, на котором поднят какой-либо сервис, сыпятся запросы, целью которых является поиск и эксплуатация уязвимостей. Всех постоянно ломают, говоря простым человеческим языком. Эти запросы остаются в журналах, и их можно там увидеть, а также они используются для автоматического предотвращения несанкционированного доступа. Что это за адреса? Как я уже писал, большинство из них, процентов 99, приходятся на виртуальные машины в облаках, известные, как хостинг. Почему? Причина проста: для приобретения такой машины не требуется ни оборудование, ни недвижимость, ни оплата коммунальных счетов. Кто-то уже купил и оплатил всё это, создал виртуальные машины, установил операционные системы, сконфигурировал их и сетевую инфраструктуру и предлагает всем желающим разместить там программное обеспечение. И желающие находятся.

Среди этих желающих, конечно, встречаются и законопослушные граждане и организации. Но преступников среди них тоже немало. Этот неутешительный вывод делается просто, и основанием для него служат твёрдые доказательства — всё те же журналы доступа. Видя, как оперативно хакеры меняют источник атаки — всё тот же пресловутый IP-адрес — нельзя не сделать именно его. Второй неутешительный вывод таков: те, кто предоставляет услуги хостинга, или тоже преступники, или их неразборчивые пособники, что примерно одно и то же.

Атаку просто разглядеть на глаз: у всех них есть общие черты. Это обращения к определённым файлам, определённые аргументы вызовов интерфейса пользователя, и другие. Администраторы видят их и могут реагировать. По этим признакам сразу становится понятно, что ранее заблокированная угроза переместилась на другой IP-адрес, а вот тут есть несколько сценариев. Самый простой — это перемещение на другое облако. С этим не возникает вопросов: их заблокировали, они увидели это уже в их собственных журналах (лично или программно) и дали отмашку прекратить атаку с одной виртуальной машины на одном хостинге и начать её с другой на другом. Тут ни к кому вопросов нет. Но есть и другой сценарий: когда адрес принадлежит той же самой организации, которая предоставила первую виртуальную машину.

Как мы себе представляем этот процесс? Возможно у хакера есть больше, чем одна виртуальная машина. Но ведь аренда каждой стоит средств. Не станет никто без необходимости закупаться избыточными ресурсами. Вероятнее всего, исчерпав массив этих машин, хакеры вынуждены обращаться к администрации хостинга, чтобы попросить сменить адрес сети, присвоенный им. И, как следует из журналов их жертв, те соглашаются. Как мы себе представляем это общение?

— Здравствуйте, нас заблокировали наши жертвы. Смените, пожалуйста, нашу сетку.

— Да, конечно, никаких проблем! Сейчас сменим.

К слову: когда сменить IP адрес попытался я сам, провайдер наотрез отказался это делать, хотя в его ASN было достаточно свободных не то, что адресов, а целых сетей: их предпринимательская деятельность катилась к закату, и клиенты покидали их, как впоследствии и я. Вырисовывается крайне неприглядная картина. Арендатор виртуальных машин вынужден как-то объяснять, зачем ему постоянная, практически ежедневная смена не просто IP-адреса, а целой сети размером в 256 адресов или больше, потому что блокировать каждый адрес никаких человеческих или машинных ресурсов и времени не хватит: блокируют сразу целыми сетями, поскольку сразу ясно, что раз запрос пришёл с такого хостинга, значит надо резать, не дожидаясь перитонита. И их режут.

Чтобы владельцы хостинга могли удовлетворять такие просьбы преступников, нужно, чтобы были соблюдены несколько условий. Одно из них — большой доступный массив свободных сетей формата IPv4. Вот и ответ на вопрос, почему считается, что они в дефиците и заканчиваются: преступники и их пособники расхватали их про запас, чтобы беспрепятственно осуществлять свою преступную деятельность.

На не очень популярных ресурсах за какой-нибудь месяц можно легко и непринуждённо заблокировать миллион IP-адресов целыми сетями. Действительно популярные, часто посещаемые ресурсы, ломают гораздо интенсивнее. Выходит, что все исходные адреса хакеров были когда-то розданы хостинговым компаниям и не используются ни для каких законных целей. Как так? Да просто: для выхода в Интернет с закоными целями нужен только один адрес на организацию.

Да, в некоторых случаях, когда поток данных превышает возможности физического устройства или канала их передачи, приходится добавлять второй, третий и т. д., но это редкие сценарии, которые актуальны для подлинно гигантских ресурсов, посещаемых миллионами пользователей одновременно. Мелкой сошке вроде этих самых хакеров такое не грозит, потому что их запросы невелики: обращение к странице ввода пароля, посылка его самого — так, килобайты в секунду.

Даже раздача ресурсов не требует больше, чем одного IP-адреса. Можно раздавать сколько угодно веб-ресурсов с одного адреса, пока поток данных не превысит его полосу пропускания, пользуясь виртуальными узлами или обратным прокси, когда по запрошенному адресу определяется, какому конкретному серверу переслать запрос внутри локальной сети. Например, хостинг обслуживает веб-сайты www.a.com и www.b.com. Когда пользователь вроде вас или меня запрашивает a, обращённый в Интернет обратный прокси хостинга пересылает наш запрос машине, где крутится www.a.com, а когда мы запрашиваем b, то запрос пересылается другой машине. Так экономятся внешние, маршрутизируемые IP-адреса. Если этим не пользуются, значит, злой умысел налицо, значит, владельцы хостинговых компаний всё прекрасно понимают и являются соучастниками, раз заранее предусмотрительно нахватали себе сетей и щедро раздают и меняют их своим клиентам-преступникам.

Как альтернатива IPv4, простому, понятному, визуально легко запоминаемому, в своё время была предложена его следующая версия: IPv6. В 4й версии теоретически может существовать 4 миллиарда адресов. В 80е годы, когда задумывался Интернет, казалось, что этого достаточно. Потом появилось мнение, что нет, скоро адреса кончатся. Тогда предложили увеличить количество позиций в адресе. Но при этом и размер самой позиции удвоили. Результат двояк: адресов в новом формате больше, чем электронов во вселенной, но и запомнить его адреса человеку практически невозможно. Кому это на руку? Тем, кто прячет истинный характер своей деятельности, кому необходимо прятать улики и скрываться. Запомнить какой-нибудь 69.154.12.37 (чисто вымышленный адрес) легко и просто. А вы попробуйте навскидку запомнить десяток-другой адресов типа 2001:0000:6dcd:8c74:76cc:63bf:ac32:6a1. Мозг сломаете! Для администраторов IPv6 — это пытка. Они все выглядят одинаково. Хорошо, если их можно выбирать и составлять самостоятельно — так можно хотя бы выбирать запоминающиеся. Если же их вам раздают, особенно автоматически, то это просто караул. IPv4 гораздо проще и приятнее в работе. Если людей вот так заставляют пользоваться чем-то неудобным, значит это кому-то нужно, а бесцеремонно принуждать особенно любят преступники.

Уже неоднократно я писал о безнаказанности преступников в Интернет. В работающем обществе, подчиняющемся законам, такая деятельность должна была быть давно пресечена. Каждый хостинг, который предоставляет услуги преступникам, должен был давно лишиться сетевых адресов, с которых велась противоправная деятельность. Другого способа борьбы со злоупотреблениями трудно вообразить. Или организации, предоставляющие виртуальные машины в аренду, должны активно бороться с незаконным использованием своих услуг (что технически несложно), или они должны нести ответственность. Как полиция, выгоняющая проституток без вида на жительство из заполонённых ими гостиниц, так же надзорные органы в сфере информации должны лишать хостинги сетей, запятнанных преступной деятельностью. Если бы такое происходило, то нехватки IPv4 адресов на нашей планете не существовало бы.

Как хостинг может определить, что его услугами пользуются преступники? Да элементарно! Достаточно вести статистику исходящих соединений, инициированных ПО на виртуальных машинах, и их конечных результатов. Как только набирается достаточно данных, свидетельствующих о глобальном сканировании IP-адресов и портов, особенно если на эти запросы перестают приходить ответы, значит вот он, преступник. Такое наблюдение проще простого вести программно, и его машина должна быть выключена до предоставления доказательств законности его деятельности. Если этого не происходит, значит это нужно кому-то влиятельному, то есть организованной преступности. Вывод неутешительный, не правда ли?

Сам факт того, что в XXI веке можно взять в аренду виртуальную машину, не давая никаких объяснений о её планируемом использовании и не подвергаясь контролю за исходящими запросами и соединениями, свидетельствует о нахождении индустрии хостинга или в квази-законной области, или в откровенно преступной. То, что организованной преступности позволено диктовать остальному человечеству, что оно может или не может делать, путём ограничения использования такого критически важного ресурса, как блоков IPv4 адресов, не очень хорошо свидетельствует о способности человечества расставлять приоритеты. Как я неоднократно писал, человечество волнуется о несущественном и хронически не в состоянии сосредоточиться на важном и главном.

Вроде бы на этом можно ставить точку, но тут ведь вот ещё какое дело: когда-то всё заканчивается. Рано или поздно правоохранительные органы могут проснуться от их глубокого сна и взяться за преступность в информационной сфере. Тогда в центры обработки данных, где держат свои физические серверы хостинговые компании, могут нагрянуть с обыском и забрать их, как вещественные доказательства. И тут внезапно беспечное человечество обнаружит, что на одних и тех же серверных стойках и самих серверах крутились сервисы магазинов, государственных организаций, аэропортов, электростанций, и много ещё кого и чего. Всё это прекратит работать лишь по той причине, что на том же физическом шасси крутятся ещё и виртуальные машины или контейнеры преступников, которые не так просто вычленить и изъять отдельно. Или можно? Или хостинги всё продумали и держат преступников отдельно, чтобы не попасть на такой острый и зазубренный крючок?

Мы, как общество, безгранично доверяем облачным сервисам. Облака стали панацеей от всех вопросов и проблем в индустрии информационных технологий. Не задавая практически никаких вопросов и не беспокоясь ни о чём, одна за другой организации переносят все свои инфраструктуры в облака. Кто-нибудь задумался о том, что по соседству с государственными органами разных уровней, объектами критической инфраструктуры, да и просто с популярными ресурсами вроде соцсетей, средствами обмена информацией, развлекательными ресурсами и т. д. будет крутить свои машины организованная преступность? Кто-нибудь задумался о плане Б на случай, если нагрянут с обыском и выдернут вилку из розетки? Или такое никто себе и представить не может?

А о дальнейших последствиях соучастия хостингов в этой преступной деятельности кто-нибудь задумался? Если они являются соучастниками в несанкционированном доступе ко всему, что имеет IP-адреса, то не предоставят ли они этим же самым преступникам доступ к о всему на виртуальных машинах законопослушных клиентов? Передавая свою инфраструктуру в облако, не выкладывают ли организации все свои данные, программный код, пароли, ключи шифрования, потоки входящих и исходящих данных перед преступниками, как на ладони?

А как насчёт того, что соседство критической инфраструктуры государственных органов, предпринимателей, законопослушных частных лиц и т. д. в виде их виртуальных машин с теми же виртуальными машинами организованной преступности на одних и тех же физических устройствах вполне могут подвергнуть первых опасности несанкционированного доступа последними? Если отталкиваться от того, что хостинг предоставляет преступникам платформу для совершения преступлений в отношении случайных пользователей Интернет по всей планете, что остановит их от атак на другие виртуальные машины? Мы же верим, что центры обработки данных ведут свою деятельность в рамках закона, а тут получается, что не совсем. Не выйдет ли так, что в облаках программный код, данные, ключи шифрования, имена пользователей, пароли, и многое другое, принадлежащее ничего не подозревающим пользователям оказывается как на ладони у преступников в тот же момент, когда всё это переносится в облака? Кто-нибудь удостоверился, что это не так? Кто-нибудь продолжает следить за этим?

Возможно, я кликушествую. Возможно я преувеличил. Но пусть кто-нибудь меня тогда опровергнет! Объясните мне, где я заблуждаюсь. Покажите мне в цифрах и фактах, как я неправильно интерпретировал журналы, показывающие лёгкое и молниеносное перемещение источников хакреских атак внутри хостинговых сервисов или вне их, по всей планете. Дайте разумное объяснение тому, как с засветившихся и уже заблокированных хостингов преступники соскакивают на менее известные и ни разу до этого не засветившиеся, чтобы вести точно такие же атаки, как и раньше.

А ведь реквизиты всех эти хостинговых сервисов нужно откуда-то узнать. Где-то должна быть полная база данных хостингов большой, средней и мелкой руки по всей планете. Загуглить её не получится, ведь Гугл не станет выкатывать на первую страницу результатов какую-то мелкую шелупонь с задворок планеты.

Кроме того, потребители их услуг не должны опасаться давать им номера своих кредитных карт, чтобы приобрести массивы виртуальных машин или контейнеров. Представьте себе, как житель развитой страны, не задумываясь, с лёгкостью даёт номер своей кредитной карты никому неизвестной компании хостинговых услуг в каких-нибудь Малайзии, Перу, Бангладеше, Словении или где угодно ещё. Никто в здравом уме так поступать не станет, не будучи на 100% уверенным, что с его карты мошенники тут же не спишут крупную сумму. То есть между организованной преступностью, пользующейся услугами хостингов по всей планете, и теми, кто такие услуги предоставляет, существует безграничное доверие. Это ещё один весьма неутешительный вывод. И если задуматься, то вопросов возникает масса, и на них или нет ответов, или они столь же неутешительные.

P.S.: У этой темы внезапно появилось забавное продолжение. Ко мне обратился один из моих клиентов, у которого работает моё ПО для автоматизации управления брандмауэром. К ним попытались вломиться из сети, принадлежащей уже заблокированной организации. По ближайшем рассмотрении оказалось, что только что эта организация прикупила дополнительный блок из 500 сетей класса C в дополнение к своим примерно 2800 сетям разных классов, и атаковали моего клиента с одной из этих новых. Знаете, сколько это стоит? от четырёх до восьми миллионов американских долларов. Умысел налицо, хотя его никто и не желает видеть в упор.