Михаил Савельев: от DDoS-атак никто не застрахован

- Что такое DDoS-атака?

— Суть ее заключается в том, чтобы сделать интернет-ресурс или онлайн-сервис недоступными для легитимных пользователей. DDoS-атака подразумевает использование огромного количества заранее подготовленных зараженных компьютеров, так называемую ботнет-сеть, которая управляется злоумышленником через командные центры. Армии зараженных ПК дается команда начать атаку на определенный сайт или интернет-ресурс. Это может быть, например, запрос главной страницы сайта, перебор паролей в форме авторизации, просто генерация трафика в адрес атакованного ресурса и т. п. Цель злоумышленника — перегрузить движок сайта, базу данных или операционную систему, чтобы ресурс перестал отвечать на запросы пользователей. В крайнем случае, целью может быть просто перегрузка каналов связи, которыми ресурс подключен к сети.

- Почему они возникают?

— Мотивы для проведения DDoS-атак различны. Один из самых распространенных — недобросовестная конкуренция. Организация самой атаки обходится относительно недорого. Для удара по малому бизнесу достаточно заплатить злоумышленникам $100-300 в день, чтобы сайт конкурента временно перестал работать. Для работы против крупных компаний цена намного выше — от $10 до $80 тыс. в день за организацию масштабной атаки с гарантированным результатом. Например, летом прошлого года в России была атакована компания, которая представляла услуги электронных платежей. Результат — отток ряда клиентов.

Помимо недобросовестной конкуренции встречаются случаи шантажа, когда деньги вымогаются за неосуществление или прекращение начавшейся атаки.

Нельзя сбрасывать со счетов и мотивы, связанные с выражением недовольства, местью и т.п.

- А кому была нужна апрельская атака на ЖЖ?

— Предположения можно строить различные. Существуют и конкурирующие социальные сети, и скандальные, но читаемые блоги. С одной стороны, атака затронула репутацию компании, которая поддерживает данный ресурс, с другой стороны, она привлекла внимание к сервису, так как его имя активно муссировалось в прессе.

- По одной из версий, заказчиком выступили госструктуры...

— Думаю, это больше спекуляции.

- Сколько дней не работал ЖЖ и кто из подписчиков ресурса был атакован?

— Ресурс был атакован несколько раз. По словам руководства ЖЖ, объектами атаки стали далеко не ведущие блоги. Киберпреступники пытались создать нагрузку не только на конкретные блоги, но и на весь ЖЖ. К сожалению, обслуживающая данный ресурс компания не опубликовала никакой статистики, так что судить о том, что же это было — сложно.

- Какой ущерб был нанесен LiveJournal?

— Сложно сказать. С одной стороны, в интернете появилась информация о том, что у пользователей ЖЖ “чемоданное настроение”, они закрывают блоги и переносят их на другие сайты, хотя среди моих знакомых, например, — таких случаев не было. Приводились и расчеты, какие убытки компания понесла из-за невозможности показать рекламу в дни атак. С другой стороны — возникший в прессе шум вокруг инцидента. Тем не менее, подобные сервисы вряд ли серьезно страдают от таких простоев, либо ущерб очень сложно оценить.

Но если говорить, например, о торговых площадках и сервисах типа Клиент-Банк, то в этом случае ущерб бывает вполне конкретным и значительным. Самый рядовой случай — недоступность сервиса. Помимо недовольства пользователей простой банкоматов при атаке на приложение, которое обеспечивает связь с ними, выражается в недополучении процентов от операций. Сценарий посложнее при атаках на торговые площадки: когда идут торги на понижение, кто-то выставляет максимально завышенную цену и в это время DDoS-ер делает сайт недоступным для всех остальных. Соответственно, проходит определенное время, торги автоматически считаются состоявшимися, потому что нет других участников, и продавец выигрывает, хотя и задирает цену в 2-3 раза выше реальной стоимости. Здесь очевиден прямой материальный ущерб. Или же для популярных интернет-магазинов час простоя означает отсутствие заказов, и тогда можно оценить ущерб, основываясь на статистике заказов.

- Может, атака на ЖЖ — хулиганская выходка, а не нападение конкурентов?

— Есть и такая версия: некая группировка, у которой не было никаких реальных причин атаковать именно ЖЖ, просто показала на его примере свои возможности, чтобы в дальнейшем получать заказы на атаки. Есть предположения, что это была своеобразная реклама киберпреступников.

- Почему руководство ЖЖ не обратилось в полицию?

— Лучше спросить у них. Но насколько я знаю, они готовят заявление.

- Любой сайт уязвим для хакеров?

— От DDoS-атак никто не застрахован.

- Даже Google?

— Их ресурсы настолько распределены и имеют большой запас прочности, что вывести их из строя будет очень сложно и дорого. Но чтобы построить устойчивую к атакам инфраструктуру, нужно потратить очень много денег. Многие компании не располагают такими средствами.

- Как часто возникают атаки?

— Очень часто. За последние несколько лет мы наблюдаем их двукратный ежегодный рост в зависимости от целей (банки, интернет-магазины, информационные ресурсы и т.п.). Еженедельно мы получаем десятки запросов на защиту от таких атак.

Но официальной статистики нет. Законодательство, которое бы обязывало сообщать о таких инцидентах, отсутствует, поэтому подобные факты часто не получают огласки.

Были примеры, когда выпускались пресс-релизы об удачно отраженных DDoS-атаках, а на следующий день после распространения информации ресурсы снова становились недоступными, потому что все хакерское сообщество организовывало новые атаки, проверяя степень защиты сайта.

- Когда появились DDoS-угрозы?

— С момента возникновения интернета. Но первые нашумевшие атаки наблюдались на рубеже тысячелетий — в 1999-2000 гг. Двумя-тремя годами позже наступил переломный момент. Раньше хакеры пытались заявить о себе и доказать свои способности, теперь — активно извлекают доходы из своих преступных действий. Наряду со спамом, вредоносным ПО и кражей банковских аккаунтов организация таких атак стала одним из способов заработка киберпреступников.

- Уголовная ответственность не пугает исполнителей DDoS-атаки?

— Пугает, и они активно пытаются замести свои следы. Например, проводят атаки из других стран, размещают там центры управления своими ботнет-сетями. Это очень усложняет работу следствия, потому что ответы на запросы между ведомствами разных стран могут идти до полугода.

- Обнаружить реального заказчика атаки сложно?

— Иногда можно отследить, с каких компьютеров ведутся атаки. Но все зависит от их типа: бывают нападения, когда IP-адреса в сетевых пакетах подделываются. В этом случае можно только пытаться отслеживать пути прохождения трафика. А это очень сложно, потому что не все провайдеры делятся информацией. Вычислить исполнителя атаки возможно. Но организаторы и заказчики порой общаются через цепочку лиц, при помощи одноразовых аккаунтов в электронной почте, форумах и т.п. Все это создает трудности для их идентификации.

- Почему интернет-провайдеры не могут обнаружить источники атаки, ведь они идут через их каналы?

— Оператор пытается предоставить быстрый и качественный доступ в сеть. Провайдеры, безусловно, отслеживает ситуацию с загруженностью своих каналов. Но они ощущают последствия атаки на себе только, когда у них перегружается оборудование или каналы связи. В среднем, мы наблюдаем атаки от 100 до 500 Мбит/с. Для большинства провайдеров — это капля в море передаваемого трафика, тем более, что этот трафик сосредотачивается у того провайдера, к которому подключен атакуемый ресурс. А у тех провайдеров, через которых атака идет, — трафика еще меньше. Для провайдеров этот поток данных настолько несущественный, что они его даже не замечают. Когда оператор имеет связность более 10 Гбит/сек, а внутренняя пропускная способность канала превышает 100 Гбит/сек, он не обнаружит атаку, поскольку в общем объеме трафика ее доля будет ничтожна. Провайдеры, у которых расположены источники атаки, даже не почувствуют нагрузку. Безусловно, если начать масштабное расследование, они определенно помогут.

- Провайдеры не заинтересованы в этом, потому что не хотят ввязываться в скандал?

— Нельзя обвинять провайдеров в нежелании помочь или в бездействии, как нельзя обвинять строителей дорог в том, что по ним ездят правонарушители, или владельцев гостиниц в том, что в них останавливаются преступники. Провайдеры никоим образом в этом не виноваты, равно как и пользователи, с чьих компьютеров ведется атака. Последние даже могут не знать, что являются участниками DDoS-сети.

- Это как?

— Заражение пользовательских ПК выглядит следующим образом: сначала взламываются сервера, или аккаунты в социальных сетях, то есть любые ресурсы, где можно выложить файл с вредоносной программой. После этого взламываются либо крупные посещаемые сервера, либо на специально созданные сайты начинают заманивать посетителей путем фишинга или с помощью баннеров. Под подобное распространение зловредных программ иногда попадают даже очень солидные и популярные сайты. Очень часто вредоносные программы создаются под заказ, поэтому отсутствуют в антивирусных базах и, соответственно, их очень тяжело обнаружить.

- Значит участником атаки может стать случайный пользователь?

— Да, более того, по данным, опубликованным калифорнийской компанией Dasient в 2009 году, на каждом компьютере имеется едва ли не по две вредоносные программы. Другое дело, что не все из них активны.

- Атаки носят организованный характер?

— Да, безусловно. Но качество зависит от уровня киберпреступника. Я выделяю три уровня. К первому относятся начинающие DDoS-еры. Иногда даже не обладая собственным ботнетом, посещая различные форумы, они получают доступ к командному центру. С его помощью успешно DDoS-ят небольшие игровые сайты. После этого они уже считают себя хакерами и начинают продавать свои услуги. $100 в день — это их цена. Никаких гарантий они не дают. Второй уровень — это некоторые сообщества, с которыми даже связаться непросто и чтобы воспользоваться их услугами, надо себя зарекомендовать. Они просят $3-5 тыс. в день. Их атака способна нанести существенный урон практически любому ресурсу. Есть еще высшая категория профессионалов, которые предпочитают не светиться, их очень мало. Только человек, обладающий значительными средствами, может выйти на них. Их услуги стоят от $10-15 тыс. в день, но они гарантируют стопроцентный результат и обладают хорошим инструментарием.

- Один из хакеров анонимно в интернете выразил готовность “положить” за $150 тыс. mail.ru…

— Я всегда с подозрением отношусь к таким безымянным высказываниям. Но названная цена, на мой взгляд, вполне адекватна.

- Профессионализм киберпреступников растет?

— Да. Кроме того, меняется и инструментарий. Новые боты умеют генерировать запросы в несколько потоков, по сложным алгоритмам. Кроме того, если раньше ботнеты базировались на рабочих станциях пользователей, то сейчас мы фиксируем очень много атак, которые осуществляются с использованием возможностей серверов. Сервер в отличие от домашнего ПК всегда подключен к сети. Он гарантированно подсоединен к хорошему интернет-каналу. И если рабочую станцию загрузить генерацией трафика, то пользователь это замечает. А сервер, если загрузить его процессор на 5%, будет генерировать существенный трафик, но в общем потоке данных это не будет заметно. Более того, известны случаи заражения коммуникационного оборудования. В качестве примера можно назвать ботнет “Чак Норрис”, который поражал маршрутизаторы на базе Linux-систем. При помощи такого инструментария можно генерировать атаки очень большой мощности. Таким образом, речь уже пойдет не о том, выдержит ли ресурс, а о том, выдержит ли провайдер. Например, имели место случаи, когда происходили мощные атаки на клиентов крупного провайдера. Провайдер условно имел десять точек соприкосновения с другими провайдерами. И вот, трафик пошел через одну точку, она перегрузилась, сработали системы резервирования и весь поток данных устремился к следующей точке. Она тоже не выдержала. И так все десять стали недееспособными. Когда “сложилась” последняя, восстановилась первая, но трафик опять переключился на нее, и все началось с начала. В итоге крупный региональный провайдер несколько дней не работал.

- Можно ли говорить о физическом повреждении оборудования?

— Нет. Коммуникационное оборудование просто достигает пика загрузки и временно перестает обрабатывать трафик. Но физически маршрутизатор сгореть не может.

- Как защитить сайт от атак?

— Попытаться можно, но 100%-е гарантии защиты от DDoS никто не может дать. Атаки бывают разные. Кроме того, многое зависит от ресурса, который защищается. Даже если кто-то готов чистить трафик очень эффективно, нагрузки, которая проходит через системы защиты, иногда бывает достаточно, чтобы сайт перестал работать.

- Количество атак будет расти?

— К сожалению, да. Искоренить проблему быстро, скорее всего, не удастся. Необходимо ужесточить ответственность за подобные преступления, но это будет лишь полумерой — временно отпугнет мелких преступников и поднимет цены у профессионалов. Кроме того, надо бороться с заказчиками преступления. А очень часто удается отследить только исполнителя. Того человека, который непосредственно “нажал на кнопку”. В настоящее время ответственность за подобные преступления в России предусматривает наказание в виде до двух лет лишения свободы, но чаще киберпреступники отделываются условным сроком.

Надежда ГОНЧАРУК