В интернете стало тесно: как отличить бота от человека

«Докажите, что вы не робот». Уверен, многим из вас порядком надоело назойливое предложение Google, Яндекса или другого интернет-ресурса подтвердить, что вы человек. Многие пользователи, жалующиеся на появление так называемой «капчи» (CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart), считают, что виноваты в появлении этих сообщений сами интернет-сервисы, которые только усложняют жизнь простых посетителей. На самом деле это не так: Google, Яндекс и другие ресурсы, использующие CAPTCHA, не виновники, а пострадавшие, и ответственность за происходящее здесь полностью лежит на операторе связи, который предоставляет пользователям услугу доступа в интернет. Казалось бы, какая связь между интернет-провайдером и веб-страницей?

Коллективная ответственность

Использование теста CAPTCHA необходимо, чтобы защитить ресурсы поисковиков и других интернет-компаний от недружественных ботов, которые процветают в сетях операторов связи. Помимо сервисных программ, посещающих сайт, например, с исследовательскими целями, многих ботов создают злоумышленники, чтобы похищать контент интернет-компаний или организовать DDoS-атаку при которой сервер перестает работать. Веб-ресурсы умеют обнаруживать такую атаку и, чтобы защититься, заблокировать передачу данных с определенных IP-адресов. Но когда их не хватает, операторы за одним IP скрывают несколько пользователей одновременно, среди которых могут находиться и вредоносные боты и добропорядочные пользователи. Чтобы не отрубать всех, приходится раз за разом просить разгадать непонятно написанную комбинацию букв и цифр.

IP-адрес — это максимально точный адрес в сети, а значит, все сущности, «живущие» за этим адресом, для веб-ресурсов не различимы. Отсюда — оборонительные действия со стороны поставщиков контента.

Почему же не выдать каждому пользователю по своему IP-адресу, чтобы ресурсы могли оценивать деятельность каждого пользователя, не заставляя его отвечать за «соседа»? Когда интернет только задумывался, в текущем его виде под адресацию было выделено 32 бита, ограничивающих адресное пространство 4 294 967 296 возможными уникальными IP-адресами. Казалось бы, очень много, но это даже меньше, чем живет на земле людей. А учитывая, что на одного человека сегодня приходится как минимум 3-4 подключенных к сети устройства, то становится очевидно, что в интернете уже давно кончились адреса. Поэтому все операторы связи вынуждены использовать механизм NAT (Network Address Translation), который позволяет одним IP-адресом или пулом адресов пользоваться нескольким десяткам тысяч конечных пользователей одновременно.

IPv6 для улучшения жилищных условий

О том, что адреса в Глобальной сети закончатся, было понятно еще в момент зарождения коммерческого Интернета в 90-е годы прошлого столетия. В тот момент стало ясно, что Интернет — это коммерчески успешный проект, и пользоваться им будут не только университеты, военные и исследовательские учреждения, как это изначально задумывалось, но и бизнес и обычные пользователи. А значит, адресного пространства на всех явно не хватит. Чтобы решить эту проблему, было принято решение заменить основной и обслуживавший большую часть сети интернет-протокол IPv4 (Internet Protocol version 4) на новую версию. Изначально она называлась IPng (Internet Protocol next generation) и была утверждена в 1995 году, впоследствии став современным IPv6 — интернет-протоколом версии 6 (так случилось, что цифра 5 была уже занята).

Новая версия протокола IP была призвана решить проблемы, с которыми столкнулась предыдущая — IPv4, то есть расширить адресное пространство, чтобы IP-адресов хватило на всех. Эта задача была решена триумфальным образом. Вместо длины адреса в 32 бит IPv6 предлагает 128 бит, а значит, новый протокол может обеспечить до 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов. На самом деле не все из них могут использоваться («всего» 4,2×1037), но можно с уверенностью утверждать, что адресов теперь хватит на всех.

Помимо расширения адресного пространства, IPv6 обладает еще несколькими улучшениями по сравнению с IPv4, которые сделают логика маршрутизации проще. К тому же он улучшает совместимость с мобильными сетями, например, избавит от использования технологии NAT.

Трудности переходного этапа

Невооруженным глазом видны значительные преимущества нового протокола, однако статистика говорит нам следующее: по состоянию на конец 2017 года, согласно данным APNIC, доля IPv6 в общем сетевом трафике составляет лишь 14%. Что же препятствует массовому использованию новой версии протокола, если она столь хороша?

Замена базового протокола сети IPv4 в тот момент, когда он находится в фазе активной эксплуатации, без остановки сервисов — совсем не тривиальная задача. Много времени и сил инженерного сообщества тратится на разработку стандартов и обдумывание процесса перехода с IPv4 на IPv6, что может занять годы.

С точки зрения бизнеса, переход на IPv6 — весьма дорогостоящий процесс, он требует значительных инвестиций, отдача от которых неочевидна. Потому не все компании поддерживают идею миграции на новый протокол, ведь зачем тратить силы и средства на модернизацию, если IPv4 пока еще работает?

Но долго откладывать переход не удастся: адресное пространство IPv4 закончилось еще в 2012 году, и сейчас оно продается на биржах. Если еще в начале 2017 года стоимость одного IP-адреса составляла порядка $10, то сейчас возросла в 2,4 раза — цена за IP-адрес превышает $24. Напомню, что всего адресов IPv4 — 4,3 млрд, а значит, это потенциально рынок в миллиарды долларов, фактически основывающийся на продаже «воздуха». Например, Microsoft приобрела в компании Nortel 666 000 IPv4-адресов за $7,5 млн По сравнению с торговлей адресным пространством, биткоин становится куда менее абстрактным предметом.

В результате закончившееся адресное пространство и растущая стоимость IP-адресов все-таки вынуждают операторов связи, в особенности мобильных, чья аудитория растет рекордными темпами, постепенно мигрировать на IPv6. В Северной Америке, например, этот процесс не просто запущен, а уже находится в стадии активного развертывания: уже 12 крупнейших операторов полностью перешли на IPv6. От Америки не сильно отстает Китай, где адресное пространство IPv4 закончилось раньше всего. Согласно плану Коммунистической партии, к 2025 году должна произойти полная миграция на новый протокол: все сети, приложения и терминальные устройства Китая должны будут полностью поддерживать IPv6. В России компании пока не слишком активно переходят на новую версию — всего 1,06% российских сетей работают на IPv6, по данным APNIC. Серьезные усилия в этом направлении прикладывают «Яндекс», «Ростелеком», который уже начал выдавать IPv6-адреса, но в отличие от того же Китая государственная политика по регулированию данной сферы у нас пока не выработана.

IPv6 — не панацея

Казалось бы, вот оно счастье, скоро IPv6 придет в каждый дом, решив кризис адресного пространства и принеся благо даже конечным пользователям. Но не тут-то было. Как любая новая технология, решая одни проблемы, она неизбежно создает другие. Достаточное количество IP-адресов будет означать, что все устройства, подключенные к домашнему роутеру или к сети мобильного оператора, будут иметь выход в Интернет и смогут инициировать «общение» с сетью по своему усмотрению. Следовательно, пакет, посланный холодильнику, чайнику, телевизору, будет обработан сетью и передан на это устройство, и при наличии уязвимостей в прошивке (а их в «умных» гаджетах масса) хакеры смогут использовать их для вредоносной активности.

Если в 2016 году первый ботнет интернета вещей работал преимущественно на камерах видеонаблюдения, число которых достигало 25000, то теперь к ним добавятся и другие устройства, подключенные к Интернету. По факту они лишаются уровня защиты, который давал им механизм Network Address Translation: NAT работал как диод, то есть выпускал исходящий трафик, но не впускал входящий. Теперь такая «подушка безопасности» отсутствует, и операторам связи, как и простым пользователям, придется осваивать новые правила цифровой «гигиены» при работе с новым протоколом IPv6.

Пользователям необходимо всерьез задуматься о безопасности своих «умных» вещей: обязательно изменять установленные по умолчанию пароли (по данным компании Trustlook, более трети (35%) владельцев устройств не меняют пароли по умолчанию, а 54% пользователей не устанавливают никакое программное обеспечение для защиты устройств от кибератак), регулярно устанавливать обновления прошивок и приобретать устройства только у проверенных производителей. В свою очередь операторы, если они хотят позаботиться о своих пользователях, должны производить фильтрацию всех входящих соединений, чтобы отсеивать нелегитимный трафик.

Наблюдая за развитием современных технологий и техник кибератак, можно сказать, что цифровой апокалипсис надвигается неумолимо и неизбежно. Сети, в которые входят миллионы зараженных устройств, становятся поистине разрушительной силой. Небезопасные устройства интернета вещей, подключенные к IPv6, и соединенные по высокоскоростным мобильным сетям передачи данных, выглядят как идеальный шторм для нового интернета версии 6.