В конце марта — начале апреля была проведена беспрецедентная по мощности DDoS-атака на сайт «Новой газеты». Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского», утверждает, что она «является одной из мощнейших в истории российского интернета». Сотрудники «Лаборатории Каперского» указывают, что опасность атак такого рода выходит далеко за рамки политического противостояния «Новой» и ее оппонентов, и представляет угрозу для всего Рунета в целом.
Атака продолжалась в течение трех дней, нагрузка на Сеть в пиковые моменты достигала 60 Гбит и 4 млн пакетов/сек. Для сравнения: штатная нагрузка на серверы «Новой газеты» составляет около 50—100 мегабит/с, то есть обычный трафик превышен почти в тысячу раз. Это сказалось даже на уровне каналов, соединяющих Россию с внешним миром. Несмотря на такие уникальные обстоятельства, специалисты «Лаборатории Касперского» справились с защитой блестяще: большую часть времени сайт работал в штатном режиме, а общая продолжительность недоступности составила менее трех часов. Что же произошло и какие выводы стоит сделать из этого события?
# DDoSом по сайту
Сокращение DDoS переводится, как «распределенная атака типа отказ в обслуживании». Суть ее очень проста для понимания: DDoS-атака родственна таким явлениям, как заторы на станциях метро или московские автомобильные пробки, и эксплуатирует неотменяемое свойство любого ресурса иметь конечную пропускную способность. Во время DDoS-атаки выбранный сайт бомбардируется большим количеством запросов. При превышении некоторого их уровня сайт перестает откликаться на запросы легальных пользователей, которые уже не могут пробиться в общей толкучке, — подобно тому, как «скорая помощь» не может преодолеть плотную автомобильную пробку на магистрали.
Алексей Афанасьев рассказывает, что разновидностей DDoS-атак очень много. Они делятся на две большие группы — «сетевые атаки» и «атаки уровня приложений», каждая из которых имеет свои особенности. Атаки «уровня приложений» довольно просты по своему механизму. Например, когда вы нажимаете кнопочку «Обновить» в браузере, ваш компьютер отправляет запрос на обновление страницы. Если посылать подобные запросы достаточно часто — с нескольких тысяч разных компьютеров несколько десятков раз в секунду с каждого, — то компьютер-сервер, на котором размещен атакуемый сайт, не сможет с ними справиться — и «повиснет». Для разнообразия запросы еще можно сделать некорректными по форме, что дополнительно нагрузит сервер. Борются с такими атаками фильтрацией обращений к серверу по характерным признакам, и своевременное вмешательство может сделать их последствия практически незаметными.
Гораздо сложнее и опаснее для всех окружающих некоторые разновидности атак «сетевого уровня». Если атаки «уровня приложений» сравнивать с вооруженным нападением на некий конкретный объект, то сетевые атаки — бомбардировка ядерными боеприпасами всего города или района, где он расположен. Проведение атаки такого рода, как в случае с сайтом «Новой», сказывается на функционировании магистральных каналов, и внешние провайдеры будут просто вынуждены отключить целый сегмент Сети, в который входит атакуемый сайт, во избежание сложностей для всего региона.
То есть вместе с novayagazeta.ru окажутся недоступны и многие ни в чем не повинные ресурсы, включая, вполне возможно, и критичные объекты современной инфраструктуры — банки, платежные системы, почтовые сервисы.
# Где искать концы?
В основе любой DDoS-атаки всегда лежит заранее созданный ботнет — сеть компьютеров, на которые тайно установлены нелегальные программы — «троянцы». Наличие таких программ владелец компьютера может и не замечать, но именно они позволяют осуществлять операции одновременно из многих источников. Разумеется, создание мощной и устойчивой сети-ботнета и организация разных незаконных операций с ее помощью требует от его создателя достаточно высокой квалификации.
В случае «Новой газеты» применялись различные виды атак, которые оперативно комбинировались и сменяли друг друга. Это показывает высокий уровень профессионализма организаторов, а заказчикам, по словам Алексея Афанасьева, проведение атаки должно было обойтись в десятки тысяч долларов.
Проведение DDoS-атак уже давно далеко не развлечение для юных хакеров, а следствие существования целой отрасли высокотехнологичной организованной преступности в международном масштабе. Защита, которую предоставляет подразделение «Лаборатории Касперского», занимающееся защитой от DDoS-атак, простирается лишь до определенных пределов. Его возможности позволяют в большинстве случаев даже установить управляющий центр атакующего ботнета — в «Лаборатории» для подобных целей существует целый отдел расследования компьютерных инцидентов. Но идентифицировать и разыскать стоящих за ним живых киберпреступников — задача, лежащая вне пределов компетенции этой команды. А ведь расследование на этом далеко не заканчивается: кроме исполнителей надо еще разыскать заказчика и примерно наказать всех причастных. Последнее находится в компетенции лишь государственных органов, которые потому и называются «правоохранительными».
# DDoS и общество
DDoS-атаки составляют не самую большую часть современных киберугроз (специалисты ставят их на пятое место среди прочих), но это основная опасность для информационных ресурсов, таких, как СМИ или социальные сети. Два года назад, в марте 2011-го, администрация «Живого журнала» попыталась опровергнуть факт, что целью мощнейшей атаки на ЖЖ был блог Алексея Навального, но эксперты тогда с цифрами в руках опровергли это заявление. Между тем пострадали все миллионы пользователей самого популярного в России блогосервиса, и возмущение этим фактом высказал даже самый высокопоставленный блогер страны — тогда еще бывший президентом Дмитрий Медведев.
Со времени этого известного случая количество и качество атак значительно выросло, и появились новые, ранее не существовавшие факторы: например, аналитики FortiGuard Labs полагают, что уже через несколько лет рост объемов вредоносных программ для мобильных устройств превысит показатели для ноутбуков и настольных ПК. При этом создатели «Троянов» и вирусов прекрасно осведомлены, что обеспечение безопасности современных мобильных устройств более сложная задача, чем защита традиционных ПК.
Самый главный вывод из различных исследований по теме киберпреступности — растет разрыв между количеством угроз и средствами защиты. Число угроз растет экспоненциально — например, если в начале 2012 года ежедневно появлялось 70 тыс. новых вредоносных программ, то к концу года их число достигло 200 тысяч, утверждает «Лаборатория Касперского». В то же время, по данным компании IDC, IT-бюджеты компаний с 2000 года практически перестали расти, а опыт сотрудников в среднем даже снизился.
Еще хуже дело обстоит, когда мы переходим на уровень государства.
Читая текст действующей военной доктрины России, введенной указом президента РФ в 2010 году, в пункте 12 можно встретить слова «усиление роли информационного противоборства». Но уже из следующего пункта выясняется, что составители имели в виду лишь банальное «проведение мероприятий» «в интересах формирования благоприятной реакции мирового сообщества на применение военной силы».
Налицо поразительное игнорирование значения киберугроз для безопасности государства — особенно ярко заметное потому, что в том же 2010 году в США было создано специальное подразделение вооруженных сил США под эффектным названием Cyber Command.
Во главе его стоит генерал Александр Кейт, который по совместительству является директором крупнейшей мировой разведывательной структуры — АНБ.
В середине января 2013-го президент Владимир Путин указом № 31с, наконец, поручает Федеральной службе безопасности создать «государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Из текста указа № 31с очень хорошо видно, что безнадежно отставшее в области кибербезопасности государство намеревается еще больше укреплять монополию ФСБ. За ведомством будет «осуществление контроля», «установление причин», оно «организует и проводит работы», «разрабатывает методику», «определяет порядок обмена информацией» — в общем всячески раздает ЦУ, и в этом, видимо, и должна заключаться его работа.
Еще в 2010 году А. А. Смирнов (руководитель направления разработки и исследований компании Security Technology Research) и П. П. Житнюк (эксперт-аналитик компании «КОРУС Консалтинг»), в журнале «Россия в глобальной политике» уже отмечали, что одним из главных тормозов существующей системы безопасности стало именно обстоятельство глобального монополизма ФСБ: «Фактически в России работает огромный по своей денежной емкости рынок информационной безопасности, ежегодный рост которого обеспечивается соответствующими законами и постановлениями. При этом собственно безопасность весьма далека от совершенства, так как «защита» зачастую сводится к подготовке требуемых документов и знакомству с «правильными» людьми, которые за известное вознаграждение выдадут все требуемые лицензии и сертификаты».
Российские правоохранительные органы заняты очень важными делами. Среди принятых в последний год законов и постановлений: «законы о митингах», «о клевете», о расширении понятия «государственная измена», о пресловутых «иностранных агентах», «о черных списках», о защите «российских сирот» в США и еще многие другие в том же духе. И откуда в такой обстановке у правоохранительных органов, увлеченно расследующих случаи сексуального насилия в Техасе, возьмется время на защиту собственного населения от реальных угроз?
