«Интернет так и не вышел из состояния “существо в лабораторной пробирке”»
Сколько стоят и кто заказывает DDoS-атаки
Александр Лямин, генеральный директор и основатель Qrator Labs, специально для журнала «Секрет фирмы»
«Кто владеет информацией, тот владеет миром» — бессмертная фраза, очень точно описывающая нашу современную жизнь. Сегодня скорость распространения информации и качество этой информации напрямую определяет направление общественного развития. Соответственно контроль над распространением данных и блокировка неугодной информации означает контроль над обществом. DDoS-атаки — чрезвычайно эффективное для этого средство, поскольку главная цель, с которой они успешно справляются, — выводить из строя веб-сайты, делать их недоступными, по крайней мере, на время. Поэтому когда общество проходит через некоторые турбулентные точки в своем развитии — выборы, изменения в международной обстановке, напряженные отношения между государствами, то всплески DDoS-атак неизбежны. От этого страдают не только политические движения, государственные веб-сайты, но и экономика страны. Технологии проведения атак сегодня таковы, что «осколочный» эффект от них просто колоссальный. Из строя выводятся целые дата-центры, а количество пострадавших исчисляется даже не сотнями, а тысячами.
В 2014 году тысячи сайтов крупных компаний и ведущих СМИ захлестнула волна разрушительных DDoS-атак, что было в принципе вполне закономерно. Всплеску активности DDoS сначала способствовала Олимпиада, затем и повышение напряженности в отношениях между Россией и Украиной. Что отличает именно эту волну? В первую очередь, судя по почерку, технике проведения и характеристикам атак, работали достаточно профессиональные люди. Хакерских команд было немного — от 4 до 10. Довольно интересен тот факт, что некоторая часть этих команд атаковала как российские, так и украинские ресурсы, из чего можно сделать вывод, что, очевидно, была некоторая «третья сила», которая устраивала провокации.
Многие российские СМИ писали о том, что атаки производились из Украины, но я с уверенностью могу сказать: DDoS не имеет национальности, и доказать причастность той или иной страны к происходящим событиям практически невозможно. Внутри интернета границы если и есть, то они весьма эфемерны, и зачем же атакующим ограничивать свои возможности этими рамками? Наоборот! Когда хакеры нападают через границу, это дает им дополнительную «прослойку безопасности», поскольку при проведении DDoS из другого государства, когда счет идет даже не на часы, а на минуты, извлечь доказательную базу вовремя и определить источник атаки практически невозможно. Поэтому, как только преступник переходит через границу, действовать ему становится проще и безопасней, что регулярно и реализуется.
Яркий пример — во время президентских выборов России атакующая сторона использовала ботнеты с происхождением из стран, в которых распространение программ, защищающих от DDoS, было минимальным, поскольку их отсутствие сильно затрудняет сбор доказательной базы. Таким образом атакующие весьма неплохо себя обезопасили. Другой пример: с октября по декабрь 2013 года проявила активность крупная бот-сеть, объединяющая более 700 тыс. компьютеров-зомби, которая использовалась для нападения преимущественно на российские банки среднего размера. Природа ботнета также довольно интересна: это такие страны, как Эквадор, Перу, Иран. А поскольку данная активность совпала еще и с действиями Центробанка России по отзыву лицензий у ряда банков, то, по всей видимости, ботнет явно был заготовлен для решения конкурентных задач в банковской среде.
Если говорить о специфике того, что происходит с начала 2014 года, то очевидно, что атакующие уже не пытаются «убить» конкретный веб-сайт или определенного провайдера. Они идут дальше, нацеливаясь на целые дата-центры, куда подключено довольно большое количество провайдеров, блоков IP-адресов и каналов связи. Таким образом, при атаке дата-центр «накрывается» весь, чтобы полностью выключить источник информации или бизнес-приложения на максимальное количество времени без возможности восстановления работоспособности в течение одного-двух дней. Это и случилось с ресурсом «Хабрахабр», который весной 2014 года «бобмили» несколько раз и выключили весь дата-центр, в котором размещались сервера сайта. Соответственно компаниям, которые обслуживались в том же центре обработки данных, действительно не повезло — они оказались под «артиллерийским обстрелом».
Стоимость атак сегодня не так уж велика. Дело в том, что интернет так и не вышел из состояния «существо в лабораторной пробирке», поэтому он уязвим, и DDoS пока является довольно доступным инструментом. Конечно, все зависит от сложности задачи и уровня защиты, который необходимо пробить. Цены начинаются от $50 в сутки, и до бесконечности. При этом $50 — самый распространенный вариант. За такую сумму можно заказать небольшой ботнет, которого будет достаточно, чтобы вывести из строя каждый второй сайт из списка российских компаний электронной коммерции. С помощью такой «бюджетной» атаки можно «положить» даже крупный магазин онлайн-ритейла. Верхней же границы не существует. Все зависит от того, насколько денежный клиент и сколько он готов потратить на проведение качественной атаки. Как правило, стоит это пропорционально извлекаемой прибыли: чем больше обороты онлайн-бизнеса, чем больше прибыли можно извлечь, выключив ее из рынка на какое-то время, тем больше люди будут готовы в это проинвестировать. Это могут быть сотни тысяч долларов, если речь идет о таком мировом гиганте, как, например, eBay, на который совсем недавно была произведена масштабная атака.
DDoS похож на дворовую драку: если вас повалили на землю — забьют ногами; если же вы устояли, то, конечно, будет неприятно, но жить можно и последствия уже не такие фатальные. Однако потери от DDoS колоссальны. Сегодня почему-то принято считать только упущенную прибыль, что не совсем верно, важно учитывать и репутационный урон, который может в разы превышать финансовые убытки компании. DDoS-атаки нацелены на то, чтобы вызвать негативную реакцию у клиентов, которые не могут пользоваться сервисом компании-жертвы и зачастую переходят к ее конкурентам. Поэтому после восстановления сервиса компания может потратить массу времени и средств на возвращение клиентов, но зачастую, сколько бы она ни пыталась это сделать, спрос уже ушел в другую часть рынка, прибыль стала не просто упущенной, а хронически упущенной. Например, многие банки работают в соответствии с SLA — соглашением об уровне предоставления услуг, которое они заключают с корпоративными клиентами. И в соответствии с этим соглашением, если имеют место простои сервиса, банки платят существенные штрафы.
Что будет дальше? Дальше будет больше. DDoS-атаки были и остаются наиболее популярным инструментом для нанесения экономического ущерба и урона репутации различных политических формирований, а нарастание политического напряжения в мире сделало их более изощренными и непредсказуемыми. Очевидно, что в будущем количество нападений будет расти, методы будут усложняться в связи с тем, что организовать DDoS-атаки сегодня стало очень просто. Главное помнить: избежать атаки сложно, но вот быть готовым к ней заблаговременно — возможно. Это поможет минимизировать ущерб и не потерять лояльность клиентов, ведь предупрежден — значит вооружен.