Теги: Ukraine UHelpUkraine Cyber-security

Опис

Щоб вистояти в героїчній битві, захищаючи цивілізований світ від російської агресії, Україні терміново і вкрай необхідно більше обладнання для захисту неба. Одним із найпопулярніших і найефективніших безпілотників є турецький середньовисотний довготривалий БПЛА Baykar Bayraktar TBx.

Усвідомлюючи глобальний масштаб російської загрози, наші друзі в Литві, Україні та Польщі зібрали мільйони доларів по всьому світу через масові збори коштів, щоб забезпечити та провести закупівлі знаменитого безпілотника Bayraktar.

UHelpUkraine є зареєстрованою неприбутковою організацією (REG. #1000182616, Канада) завзятих українсько-канадських волонтерів. Ініціатива #BuyaBayraktar започаткована UHelpUkraine 20 липня 2022 року, привернула чимало уваги як очікуваної, так і небажаної.

Виявлення сигнатури атак та вжиті заходи

Команда Rework-Space була залучена до проєкту Canadian Bayraktar з 23 липня 2022 року для вирішення проблем із підозрілою активністю трафіку, що спричинило низьку доступність сайту uhelpukraine.org для користувачів.

Для початку, ми провели деякі перевірки та дослідження хостингу, що дозволило нам налаштувати правила AWS Web Application Firewall ( WAF ). У результаті ми захистили веб-сайт uhelpukraine.org від поширених експлойтів, а також детально дослідили трафік. Менш ніж за 2 дні було заблоковано 140 000 000 нелегітимних запитів.

Зображення 1. Візуалізація запитів WAF
Зображення 1. Візуалізація запитів WAF

Використання CPU значно покращилося.

Зображення 2. Візуалізація завантаження CPU інстанції EC2
Зображення 2. Візуалізація завантаження CPU інстанції EC2

Однак ми виявили, що були короткі проміжки часу, коли правила WAF не були ефективними, а завантаження CPU залишалося високим (Зображення 2). Загалом AWS пропонує два види відповіді на DDoS-атаки (7-рівнева модель OSI), а саме:

  1. Використання власних засобів стримування;
  2. Звернення до служби підтримки – якщо ви є клієнтом Shield Advanced.

Перший варіант неприйнятний, адже у даному випадку ми мали більше ніж 60 мільйонів заблокованих запитів із географічно розподіленим походженням. Оскільки плата стягується за кожен мільйон заблокованих запитів, щоденний бюджет нашого клієнта становив близько $50. Другий варіант хороший, але потребує місячної підписики та по вартості стартує від $3000. Очевидно, що це не буде найкращим рішенням для нашого клієнта, некомерційної організації з дуже обмеженим бюджетом.

Отже, ми провели дослідження проєктів і компаній, які підтримують ініціативи відкритого суспільства та допомагають людям почуватися безпечніше використовуючи інформаційні технології. В результаті ми обрали Jigsaw, підрозділ Google, який досліджує загрози відкритим інформаційним системам і створює технології, що дозволяють застосовувати масштабовані рішення.

Ви можете побачити результат на Зображенні 2, де представлено нове рішення, реалізоване 25 липня 2022 року. Варто зазначити, що для некомерційних організацій та інших відповідних клієнтів Jigsaw пропонує кеш CDN (інфраструктура Google), reCAPTCHA (потрібно ввімкнути явно) та візуалізацію всіх показників на одному дашборді цілком безкоштовно, як базову опцію.

Зображення З. Динаміка витрат uhelpukraine.org
Зображення З. Динаміка витрат uhelpukraine.org

У підсумку, ми скоротили витрати на стороні AWS. Тепер команда UHelpUkraine оплачує лише послуги хостингу AWS і зосереджується на волонтерській діяльності. Команда Rework-Space продовжує надавати послуги з кібербезпеки нашому новому партнеру UHelpUkraine і буде робити це до тих пір, поки наші люди не переможуть.

Усі матеріали публікуються за згодою команди UHelpUkraine.