В интернете стало тесно: как отличить бота от человека

Интернет превратился в огромную коммуналку, где с одного адреса может писать и человек, и бот, мечтающий заразить сервис. Решение проблемы — сервис IPv6, но он имеет свои недостатки

«Докажите, что вы не робот». Уверен, многим из вас порядком надоело назойливое предложение Google, Яндекса или другого интернет-ресурса подтвердить, что вы человек. Многие пользователи, жалующиеся на появление так называемой «капчи» (CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart), считают, что виноваты в появлении этих сообщений сами интернет-сервисы, которые только усложняют жизнь простых посетителей. На самом деле это не так: Google, Яндекс и другие ресурсы, использующие CAPTCHA, не виновники, а пострадавшие, и ответственность за происходящее здесь полностью лежит на операторе связи, который предоставляет пользователям услугу доступа в интернет. Казалось бы, какая связь между интернет-провайдером и веб-страницей?

Коллективная ответственность

Использование теста CAPTCHA необходимо, чтобы защитить ресурсы поисковиков и других интернет-компаний от недружественных ботов, которые процветают в сетях операторов связи. Помимо сервисных программ, посещающих сайт, например, с исследовательскими целями, многих ботов создают злоумышленники, чтобы похищать контент интернет-компаний или организовать DDoS-атаку при которой сервер перестает работать. Веб-ресурсы умеют обнаруживать такую атаку и, чтобы защититься, заблокировать передачу данных с определенных IP-адресов. Но когда их не хватает, операторы за одним IP скрывают несколько пользователей одновременно, среди которых могут находиться и вредоносные боты и добропорядочные пользователи. Чтобы не отрубать всех, приходится раз за разом просить разгадать непонятно написанную комбинацию букв и цифр.

IP-адрес — это максимально точный адрес в сети, а значит, все сущности, «живущие» за этим адресом, для веб-ресурсов не различимы. Отсюда — оборонительные действия со стороны поставщиков контента.

Почему же не выдать каждому пользователю по своему IP-адресу, чтобы ресурсы могли оценивать деятельность каждого пользователя, не заставляя его отвечать за «соседа»? Когда интернет только задумывался, в текущем его виде под адресацию было выделено 32 бита, ограничивающих адресное пространство4 294 967 296 возможными уникальными IP-адресами. Казалось бы, очень много, но это даже меньше, чем живет на земле людей. А учитывая, что на одного человека сегодня приходится как минимум 3-4 подключенных к сети устройства, то становится очевидно, что в интернете уже давно кончились адреса. Поэтому все операторы связи вынуждены использовать механизм NAT (Network Address Translation), который позволяет одним IP-адресом или пулом адресов пользоваться нескольким десяткам тысяч конечных пользователей одновременно.

IPv6 для улучшения жилищных условий

О том, что адреса в Глобальной сети закончатся, было понятно еще в момент зарождения коммерческого Интернета в 90-е годы прошлого столетия. В тот момент стало ясно, что Интернет — это коммерчески успешный проект, и пользоваться им будут не только университеты, военные и исследовательские учреждения, как это изначально задумывалось, но и бизнес и обычные пользователи. А значит, адресного пространства на всех явно не хватит. Чтобы решить эту проблему, было принято решение заменить основной и обслуживавший большую часть сети интернет-протокол IPv4 (Internet Protocol version 4) на новую версию. Изначально она называлась IPng (Internet Protocol next generation) и была утверждена в 1995 году, впоследствии став современным IPv6 — интернет-протоколом версии 6 (так случилось, что цифра 5 была уже занята).

Новая версия протокола IP была призвана решить проблемы, с которыми столкнулась предыдущая — IPv4, то есть расширить адресное пространство, чтобы IP-адресов хватило на всех. Эта задача была решена триумфальным образом. Вместо длины адреса в 32 бит IPv6 предлагает 128 бит, а значит, новый протокол может обеспечить до 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов. На самом деле не все из них могут использоваться («всего» 4,2х1037), но можно с уверенностью утверждать, что адресов теперь хватит на всех.

Помимо расширения адресного пространства, IPv6 обладает еще несколькими улучшениями по сравнению с IPv4, которые сделают логика маршрутизации проще. К тому же он улучшает совместимость с мобильными сетями, например, избавит от использования технологии NAT.

Трудности переходного этапа

Невооруженным глазом видны значительные преимущества нового протокола, однако статистика говорит нам следующее: по состоянию на конец 2017 года, согласно данным APNIC, доля IPv6 в общем сетевом трафике составляет лишь 14%. Что же препятствует массовому использованию новой версии протокола, если она столь хороша?

Замена базового протокола сети IPv4 в тот момент, когда он находится в фазе активной эксплуатации, без остановки сервисов — совсем не тривиальная задача. Много времени и сил инженерного сообщества тратится на разработку стандартов и обдумывание процесса перехода с IPv4 на Ipv6, что может занять годы.

С точки зрения бизнеса, переход на IPv6 — весьма дорогостоящий процесс, он требует значительных инвестиций, отдача от которых неочевидна. Потому не все компании поддерживают идею миграции на новый протокол, ведь зачем тратить силы и средства на модернизацию, если IPv4 пока еще работает?

Но долго откладывать переход не удастся: адресное пространство IPv4 закончилось еще в 2012 году, и сейчас оно продается на биржах. Если еще в начале 2017 года стоимость одного IP-адреса составляла порядка $10, то сейчас возросла в 2,4 раза — цена за IP-адрес превышает $24. Напомню, что всего адресов IPv4 — 4,3 млрд, а значит, это потенциально рынок в миллиарды долларов, фактически основывающийся на продаже «воздуха». Например, Microsoft приобрела в компании Nortel 666 000 IPv4-адресов за $7,5 млн. По сравнению с торговлей адресным пространством, биткоин становится куда менее абстрактным предметом.

В результате закончившееся адресное пространство и растущая стоимость IP-адресов все-таки вынуждают операторов связи, в особенности мобильных, чья аудитория растет рекордными темпами, постепенно мигрировать на IPv6. В Северной Америке, например, этот процесс не просто запущен, а уже находится в стадии активного развертывания: уже 12 крупнейших операторов полностью перешли на IPv6. От Америки не сильно отстает Китай, где адресное пространство IPv4 закончилось раньше всего. Согласно плану Коммунистической партии, к 2025 году должна произойти полная миграция на новый протокол: все сети, приложения и терминальные устройства Китая должны будут полностью поддерживать IPv6. В России компании пока не слишком активно переходят на новую версию — всего 1,06% российских сетей работают на IPv6, по данным APNIC. Серьезные усилия в этом направлении прикладывают «Яндекс», «Ростелеком», который уже начал выдавать IPv6-адреса, но в отличие от того же Китая государственная политика по регулированию данной сферы у нас пока не выработана.

IPv6 — не панацея

Казалось бы, вот оно счастье, скоро IPv6 придет в каждый дом, решив кризис адресного пространства и принеся благо даже конечным пользователям. Но не тут-то было. Как любая новая технология, решая одни проблемы, она неизбежно создает другие. Достаточное количество IP-адресов будет означать, что все устройства, подключенные к домашнему роутеру или к сети мобильного оператора, будут иметь выход в Интернет и смогут инициировать «общение» с сетью по своему усмотрению. Следовательно, пакет, посланный холодильнику, чайнику, телевизору, будет обработан сетью и передан на это устройство, и при наличии уязвимостей в прошивке (а их в «умных» гаджетах масса) хакеры смогут использовать их для вредоносной активности.

Если в 2016 году первый ботнет интернета вещей работал преимущественно на камерах видеонаблюдения, число которых достигало 25000, то теперь к ним добавятся и другие устройства, подключенные к Интернету. По факту они лишаются уровня защиты, который давал им механизм Network Address Translation: NAT работал как диод, то есть выпускал исходящий трафик, но не впускал входящий. Теперь такая «подушка безопасности» отсутствует, и операторам связи, как и простым пользователям, придется осваивать новые правила цифровой «гигиены» при работе с новым протоколом Ipv6.

Пользователям необходимо всерьез задуматься о безопасности своих «умных» вещей: обязательно изменять установленные по умолчанию пароли (по данным компании Trustlook, более трети (35%) владельцев устройств не меняют пароли по умолчанию, а 54% пользователей не устанавливают никакое программное обеспечение для защиты устройств от кибератак), регулярно устанавливать обновления прошивок и приобретать устройства только у проверенных производителей. В свою очередь операторы, если они хотят позаботиться о своих пользователях, должны производить фильтрацию всех входящих соединений, чтобы отсеивать нелегитимный трафик.

Наблюдая за развитием современных технологий и техник кибератак, можно сказать, что цифровой апокалипсис надвигается неумолимо и неизбежно. Сети, в которые входят миллионы зараженных устройств, становятся поистине разрушительной силой. Небезопасные устройства интернета вещей, подключенные к IPv6, и соединенные по высокоскоростным мобильным сетям передачи данных, выглядят как идеальный шторм для нового интернета версии 6.