Махнём, не глядя?

Вчера у одного из моих клиентов произошёл примечательный, если не курьёзный случай. Моё ПО выявило новую кибер-атаку, и администратор добавил сети очередной хостинговой компании, с которых она велась, к запрещающему правилу брандмауэра. Каково же было его удивление, когда оказалось, что ни одна из новых сетей не совпадает с уже добавленными. Ради любопытства он пробил старые и обнаружил, что они принадлежат совершенно другой организации. Не стану приводить их названия, чтобы не сообщать ценную информацию злоумышленникам, постоянно следящим за всем в Интернет, но можно сказать, что старая находилась в Великобритании, а новая в Болгарии.

Что же произошло?

Они обменялись своими блоками сетей. Не важно, напрямую ли или через третьих лиц, но факт обмена налицо. Как мы это себе представляем?

- Здравствуйте, у нас есть блоки сетей, спалившихся на кибератаках наших арендаторов. Не хотите ли махнуть их на ваши чистые?

- Без вопросов! Давайте меняться!

Бред? Хочется надеяться, что да, но факт налицо: обмен состоялся. Разумеется, в реальности эти организации связаны, и обмен был произведён по чьему-то указанию. Что это означает? Очевидно, первой организации до зарезу нужны чистые, ещё не засветившиеся подсети, которые никто пока не заблокировал. С их помощью она сама или её арендаторы виртуальных машин смогут продолжать кибератаки. Пока можно предположить, что вторая организация не участвует в такой деятельности, а действительно сдаёт виртуальные серверы каким-то законопослушным участникам экономической деятельности, требующим и использующим только входящие соединения. Ну или они наивные и доверчивые глупцы, каких на свете на самом деле не встречается.

Теперь, если задуматься, то всё не так просто. Смену целых подсетей нужно согласовывать с целой цепочкой вышестоящих интренет-провайдеров. Просто так поменять их, как перчатки, особенно между странами, невозможно. Нужно менять настройки маршрутизаторов, а это вызывает целую цепь изменений и согласований у ряда организаций. Тут целая банда орудует!

Случившееся ещё раз подчёркивает простые истины: Интернет подмят под себя организованной преступностью или кем-то ещё хуже, для кого проще простого перекраивать сетевую инфраструктуру по первому требованию; они действует глобально, не подчиняясь границам и национальному законодательству; а кибератаки продолжают финансироваться, даже если они не приносят никаких результатов. Напомню читателям то, что уже поднимал в предыдущих статьях серии: когда моей организации понадобилось сменить сетевой адрес, мне в этом наотрез отказали, не называя причин, хотя свободных адресов у организации было предостаточно, и им грозила потеря клиента. Видимо, рожей не вышел. А тут по щелчку пальцами поменялись целым рядом подсетей.

Мораль той басни такова: Интернет — это не безопасное место проведения досуга, а поле сражений информационной войны, где любая ошибка или недосмотр чреваты потерями; в нём следует предоставлять минимально возможный доступ к ресурсам и руководствоваться разрешительным принципом по отношению ко всем и всему; в сомнительных случаях лучше ошибиться на стороне блокировки, чем разрешения доступа; брандмауэр, журнал доступа и детектор вторжений — это лучшие друзья системного администратора, и много их не бывает. Ещё не следует забывать, что никакое сетевое ПО или оборудование не совершенно, и возможны пробития, следовательно устанавливать ограничения следует по всей цепочке соединений от удалённых пользователей до серверов. Иначе неустанная деятельность хакеров может когда-то увенчаться успехом.