Подрывники всемирного масштаба

ИДЕЯ: ЕКАТЕРИНА СМИРНОВА ( catsmi)

ТЕКСТ: ВАЛЕРИЙ ПАВЛОВ ( valery_pavlov), АРТУР ВЕЛЬФ ( art_of_press)

ФОТО: АЛЕКСЕЙ КУДЕНКО, НАТАЛЬЯ ДУПЛИНСКАЯ ( nutly), КСЕНИЯ МЕРЕНКОВА ( coroka)

Вы записались добровольцем на палестино-израильскую войну? На чьей стороне желаете повоевать — за Израиль или за "Хамас"? Или, быть может, вам до смерти надоел конкурент и его пора "убрать"? А может, вам нужно превратить в ад жизнь вашего недруга? Все это можно сделать, не вставая с дивана и за относительно небольшие деньги. Защита от сетевых террористов потребует несоизмеримо больших сил и средств.

Блокировать, вырубить, убить

Войны уже довольно давно стали чем-то вроде реалити-шоу, за которым телезрители наблюдают в прямом эфире. А благодаря интернету можно не только наблюдать за войной в режиме реального времени, но и участвовать в боевых действиях.

И речь идет не только об участии в информационной войне. В конфликте можно поучаствовать и в роли диверсанта, перерезающего коммуникационные каналы противника. Хакер под ником Cold Z3ro, действующий на стороне "Хамаса", на одном из сайтов выложил программу, с помощью которой любой доброволец может атаковать израильские сайты, а хакерская группа Ashiyane смогла на несколько часов парализовать сайт израильской разведки "Моссад". Не отстают и израильтяне: по запросу Help Israel Win в поисковиках можно найти множество сайтов, которые предлагают скачать небольшую программу, чтобы атаковать серверы "Хамаса".

"В отличие от DDoS-атак на эстонские и грузинские правительственные и информационные сайты, которые совершали профессиональные хакеры, владеющие собственными ботнетами (сетями зараженных компьютеров), нынешний палестино-израильский конфликт характеризуется активным вовлечением обычных граждан,— говорит аналитик одной из российских спецслужб, пожелавший остаться неназванным.— Принять участие в кибервойнах сегодня может человек, который вообще не разбирается в технологиях: ему достаточно загрузить и запустить предлагаемую вербовщиками программу".

"Это очень опасный тренд,— считает независимый эксперт по киберпреступности Алексей Строганов.— Привлечение к кибервойнам добровольцев-непрофессионалов может сделать и без того разрушительные DDoS-атаки, осуществляемые сейчас профессионалами, аналогом ядерного оружия в интернете. В атаке на интернет-провайдера "Южная телекоммуникационная компания" было задействовано несколько десятков тысяч компьютеров-"зомби", и в результате на большой срок был парализован доступ к интернету значительной части населения южной России. А представьте, что кому-то удастся завербовать несколько миллионов добровольцев: с такими ресурсами можно отрубить доступ в интернет целым странам".

Однако большинство DDoS-атак имеет все-таки экономическую подоплеку. Злоумышленники, вырубая сайт компании, либо требуют за прекращение атаки выкуп, либо действуют в интересах конкурентов, либо пытаются снизить капитализацию компании в интересах рейдеров. В частности, в неофициальных беседах сотрудники правоохранительных органов, которые занимались расследованием упоминавшейся выше DDoS-атаки против Южной телекоммуникационной компании, которая проводилась в течение лета 2007 года, говорят, что, скорее всего, она была проведена в интересах рейдеров. За последний год DDoS-атакам подверглись компании, обеспечивающие прием платежей по картам ChronoPay и Assist, Мариинский и Большой театры, а также такие крупные авиакомпании, как "Аэрофлот", "Сибирь" и "Трансаэро". Поскольку для авиакомпаний сайты являются одним из важнейших каналов бронирования и продаж авиабилетов, то нарушение их нормальной работы приводит к огромным убыткам.

Стоимость DDoS-атаки невелика: на сегодня день атаки на сайт жертвы стоит от $80. За крупные сайты, конечно, с заказчика возьмут больше денег. При этом провайдеры этих специфических услуг предоставят заказчику портфолио, содержащее адреса крупных сайтов, которые они успешно вырубали, а также бесплатно продемонстрируют тестовую десятиминутную атаку на выбранный заказчиком сайт. "DDoS-атаки стоят заказчику очень дешево,— говорит генеральный директор НИП "Информзащита" Владимир Гайкович.— Защита же от серьезных атак стоит дорого — от $200 тыс. Эти атаки наносят компаниям еще и имиджевый урон".

Сайт "Коммерсанта" в прошлом году также подвергался массированной DDoS-атаке. Заказчиков и исполнителей до сих пор так и не нашли, что неудивительно: подобные преступления раскрыть чрезвычайно сложно. По слухам, та атака была инициирована движением "Наши", которому не понравился ряд публикаций о нем в газете. Гендиректор ИД "Коммерсантъ" Демьян Кудрявцев оценил ущерб в сотни тысяч долларов. Аналогичным атакам подвергались и другие информационные сайты — радиостанции "Эхо Москвы", "Каспаров.ру", журнала Mobile Review.

DDoS-атаки могут быть направлены и не на сайт компании, а на серверы, обслуживающие ее электронную почту. Иногда при этом атакуются альтернативные каналы связи — телефоны и факсы компании. Злоумышленники на взломанных серверах настраивают Skype и ставят программу на автодозвон со сбросом соединения после первого гудка. Десятки звонков в секунду напрочь блокируют телефонные линии компании, и в итоге клиенты не могут до нее дозвониться. "Стоимость телефонного DDoS невелика,— говорит Алексей Строганов.— Обычно за вывод из строя одной телефонной линии исполнители берут от $50. Не спасает и экстренное подключение дополнительных телефонных линий или переход на мобильную связь, поскольку, как только новые номера телефонов становятся известны исполнителям атаки, они точно так же блокируются".

"Бамба" немедленного действия

Не меньший вред компаниям могут причинить и информационные атаки в интернете. Недавно в Израиле возникла паника из-за "цепочечных" писем, в которых сообщалось, что кукурузные палочки "Бамба" компании "Осем" вызвали у нескольких детей заболевание менингитом. В этих письмах содержалась просьба предупредить об этой опасности своих знакомых, что тысячи людей и сделали. На форумах и в блогах появилась масса сообщений на эту тему, которую затем подхватили и некоторые СМИ, тем более что перед этим в прессе обсуждалась смерть троих детей от вирусного менингита. Инвесторы компании "Осем", встревоженные этими сообщениями, начали избавляться от ее акций. Ситуация нормализовалась лишь после того, как министерство здравоохранения выступило с опровержением этих слухов, а компания нашла инициатора рассылки. Им оказалась сотрудница израильского филиала компании Hewlett-Packard, которая услышала про "Бамбу" от своего дяди, работающего в сети супермаркетов. Он и сказал ей, что руководство сети намерено изъять из продажи кукурузные палочки "Бамба", поскольку якобы именно они вызвали у детей менингит. Женщина разослала тревожное письмо своим друзьям, а те — своим.

Интернет уже давно начали использовать в качестве канала распространения компромата на конкурентов, политических противников и недругов. "История компромат-индустрии восходит к "Когтю",— рассказывает известный деятель рунета Михаил Вербицкий.— Начиная с 1996 года по рукам ходила большая база данных агентства, которое занималось коммерческой прослушкой. В 1998 году большой кусок этой базы выложили в интернете под именем "Коготь". Там были результаты прослушки и наружного наблюдения за рядом политиков и олигархов. А позже появился сайт "Компромат.ру", где стали выкладываться соответствующие публикации".

В России более или менее заметных сайтов, на которых целенаправленно размещается компромат, по оценкам специалистов, около тридцати. Наиболее известные — "Компромат.ру", "Слухи.ру", "Стрингер.ру", "Антикомпромат.ру", "Агентство федеральных расследований" (FLB.ru).

"Обычно статьи я размещаю бесплатно, при подборке материалов пользуюсь общедоступными материалами и базой "Лабиринт",— говорит владелец сайта "Антикомпромат.ру" Владимир Прибыловский.— Денег за размещение обычно не беру, но могу принять пожертвования". Размещение компромата "за пожертвование" и является источником доходов таких сайтов. По словам Прибыловского, публикация статьи у его конкурента, на "Компромат.ру", стоит в пределах $500-1000. Владелец "Компромат.ру" Сергей Горшков в ответ на вопрос "Денег" заметил лишь, что до него доходят суммы на порядок меньшие, чем те, которые клиент платит,— остальное достается посредникам.

Но компромат недостаточно разместить — нужно привлечь к нему внимание публики. "Принципы размещения и раскрутки компромата такие же, как и принципы популяризации, скажем, Ксении Собчак,— говорит владелица сайта "Стрингер.ру" Елена Токарева.— Анфас, профиль, гламурный сайт, фото в желтом журнале... Любая информация требует раскрутки, с первого раза ее заметит только сам герой публикации".

Но при этом можно легко нарваться на судебные иски. Чтобы защититься от них, выстраивается многоходовая комбинация: сначала материал размещается на третьестепенных интернет-ресурсах, владельцев которых, как правило, не найти, и лишь затем со ссылкой на "первоисточник" его перепечатывает раскрученный ресурс. Именно так, в частности, поступает с "эксклюзивными" материалами Сергей Горшков. Авторство схемы приписывают политтехнологу Глебу Павловскому, который размещал компрометирующие материалы в интернете, а затем со ссылкой на сайт в интернете телеканалы сообщали о "вопиющих фактах" всему населению страны. После публикации статьи на популярном компроматном ресурсе информация со ссылкой на него может появиться, например, на популярном региональном форуме.

Слухи и панические настроения в таких провинциальных сетевых болотах распространяются молниеносно. Тем более на фоне кризиса. "Сейчас негативные новости преодолевают потребительский фильтр "верю — не верю" с большей легкостью, чем в период относительного благополучия и роста рынка,— говорит президент консалтинговой компании "Контакт-Эксперт" Григорий Трусов.— Мы подсознательно готовы к негативным новостям. И это дает возможность не самым чистоплотным компаниям использовать кризис как инструмент для уничтожения брендов конкурентов. Сегодня негатив с бюджетом $100 тыс. способен убить десятки миллионов долларов, которые были инвестированы конкурентами за последние десять лет".

9 сентября 2008 года на форумах ресурса "Кубань.ру" появились срежиссированные панические сообщения "вкладчиков" крупнейшего в регионе Уралсиб-Югбанка о том, что у банкоматов выстроились очереди и там нет наличных денег. Уже на следующий день очереди у банкоматов Уралсиб-Югбанка действительно выстроились. Несколько раз в день к банкоматам подъезжали инкассаторские машины и заряжали их наличностью, а очереди все не редели. Банк оказался под угрозой полного краха. Ажиотаж удалось погасить с большим трудом. Затраты организаторов паники были копеечными, а вот потери банка — очень ощутимыми.

Информационное оружие может быть использовано и в оборонительных целях. Например, в интернете объединяются недовольные клиенты строительных компаний, не выполняющих свои обязательства, или же обманутые вкладчики финансовых учреждений. Отдельный сайт создали пайщики фондов "Премьер" Юниаструм банка и клиенты брокера "Юнитрейд". Они не только обсуждают деятельность банка и управляющей фондами компании, но и занимаются ведением информационной войны — начиная от рекламы форума, где обсуждаются эти проблемы, и заканчивая активной деятельностью на форуме РТС. Эта активность уже привела к тому, что против владельца форума antiuni.ru даже был подан судебный иск с обвинением в клевете.

Недовольные клиенты публикуют в интернете черные списки компаний и банков, не исполняющих в условиях кризиса свои обязательства должным образом. Например, на форуме профессионалов туристического бизнеса Tourdom.ru сотрудники турагентств делятся информацией о банках, задерживающих платежи. На турагентствах задержка платежей сказывается особенно сильно, поскольку они уже взяли предоплату со своих клиентов, забронировав тур у туроператора, но тот бронь может отменить, если оплата придет несвоевременно. Впрочем, в черные списки некоторые компании могут попадать и незаслуженно: их вносят туда конкуренты. На конференции "Электронная торговля 2008" руководитель одного крупного сервиса призывал сотрудников интернет-магазинов "писать о себе положительные отзывы хотя бы правдоподобно". Это довольно известная проблема: многие негативные отзывы об интернет-магазинах написаны их конкурентами, а позитивные — их собственными сотрудниками.

В свете этих фактов понятно, почему на рынке востребованы услуги по сокрытию компрометирующей информации. "Мне известна история, когда люди, чьи имена в поисковиках прочно ассоциировались с судебным процессом над одной из организованных преступных группировок, обратились с просьбой изменить ситуацию,— говорит Алексей Строганов.— Удалить компрометирующую информацию из индексов поисковиков практически нереально. Поисковиков много, многие находятся за рубежом, да и информация сохраняется в разных архивах вроде Archive.org. Поэтому исполнители пошли более простым и гораздо менее затратным для заказчиков путем — занялись продвижением в поисковиках информации, не содержащей компрометирующих сведений о заказчиках. Таким образом, страницы, содержавшие нежелательные сведения, ушли очень далеко с первых страниц поиска, что в общем-то позволило решить задачу".

Испорчу жизнь, недорого

Интернет активно используется и для того, чтобы испортить жизнь недругам. Способом сравнительно безобидным, но чрезвычайно неприятным для человека, избранного жертвой, является размещение его телефонов на различных досках объявлений в сочетании с заманчивым текстом. Например, с предложением сдать квартиру по очень низкой цене. Или еще проще: "Покупаю б/у сотовые телефоны, дорого! Звонить круглосуточно". Шквал звонков, в том числе и в ночное время, обеспечен.

"Мы отслеживаем и блокируем IP-адреса пользователей, которые хотят в недобросовестных целях воспользоваться нашим ресурсом,— говорит руководитель популярной сети сайтов бесплатных объявлений Slando.ru Константин Калабин.— В компании работают специальные сотрудники, которые прозванивают наиболее сомнительные объявления. Признаки — слишком заниженная цена вещи или слишком подробная информация, а также фото и прямые контакты в разделе "Знакомства". Сомнительные объявления отслеживаются и удаляются еще до публикации. При особо острых случаях нарушения мы оставляем за собой право передачи данных и IP-адреса потерпевшей стороне, ее представителям или юридическим организациям".

Довольно эффективна и рассылка спама от имени жертвы. "Спам легко использовать для подставы. Когда мы занимались борьбой с почтовым спамом в 2001-2005 годах, нас несколько раз подставляли спамеры,— говорит генеральный директор компании "Ашманов и партнеры" Игорь Ашманов.— Обычно они это делали осенью, накануне нашей конференции по борьбе со спамом. Они надергивали куски текста с нашего сайта, составляли письмо как бы с рекламой наших услуг по поисковой оптимизации и рассылали по миллионам адресов. Обычно после этого нам приходило примерно 500-700 писем с матом и угрозами и 10-15 запросов на услуги. Я запретил принимать таких клиентов, но они, кстати, были и не совсем наши: безденежные и ничего не понимающие в интернете. До сих пор наш обратный адрес время от времени используется спамерами в той или иной спам-рассылке, а IP-адрес в результате временами оказывается во всяких низкокачественных черных списках, составители которых не понимают, что они делают. Нас это не очень беспокоит, но все-таки наши письма партнерам и клиентам не всегда доходят из-за неопытных сисадминов на той стороне, доверяющих этим некачественным черным спискам".

Более сложным в плане реализации, но гораздо более неприятным является дискредитация жертвы, особенно перед ее знакомыми. В популярных социальных сетях нетрудно отыскать знакомых того или иного человека — достаточно зайти на его страничку в "Одноклассниках" или "В контакте" и посмотреть на список его друзей. Через подобную травлю прошла 14-летняя московская школьница Лиля Ж. Кто-то заполучил ее откровенные фотографии и разместил их на популярных форумах, а также на сайтах знакомств в разделе "Интим за деньги", указав при этом ссылку на ее профиль "В контакте". Не забыл злоумышленник дать ссылку на ее фотографии и ее знакомым, учителям и одноклассникам в этой же социальной сети. В итоге девочку начали активно травить ее же одноклассники, в школе разразился грандиозный скандал (директор школы даже исключила Лилю из школы, но потом свое решение, правда, изменила), а ее мама до сих пор всерьез опасается за самочувствие дочери.

Неприятности можно доставить и с помощью сервисов по отсылке SMS с подстановкой чужого номера. Например, иногда злоумышленники отсылают жертве сообщение с признанием в любви и с подписью Маша с номера женщины с таким же именем, о которой известно, что она встречается с тезкой жертвы, а затем советуют жене жертвы проверить SMS в телефоне мужа. Ожидаемая и наиболее часто получаемая реакция жены — позвонить "любовнице" и выяснить отношения. А поскольку имя в подписи и имя "любовницы" совпадают, а последняя и не отрицает, что встречается с мужчиной с тем же именем, что и у мужа разгневанной женщины, то грандиозный скандал жертве обеспечен.

Испортить жизнь человеку можно, "угнав" его блог или заполучив пароль к его аккаунтам в социальных сетях. Пользователь ЖЖ boiler maker столкнулся с тем, что кто-то наставил с его аккаунта "единиц" другим пользователям "Одноклассников", которые были ему незнакомы. В своем блоге он опубликовал весь тот поток угроз и оскорблений, которые получил после этого. Все просто и эффективно: если наставить "единиц" или написать резкие сообщения знакомым жертвы, то со многими из них у нее наверняка испортятся отношения. Осуществить же "угон" блога не очень сложно: если знать e-mail жертвы, к которому, как правило, и привязан блог или аккаунт в социальной сети, то предоставить к нему доступ киберпреступники смогут всего за $50. При этом исполнители предлагают заказчику отправить письмо жертве, чтобы потом цитировать его в качестве доказательства того, что они имеют доступ к его переписке и не кинут заказчика.

Получить доступ к электронному ящику жертвы киберпреступники могут несколькими путями. Самые распространенные методы — это использование уязвимостей программного обеспечения провайдеров услуг электронной почты, а также отсылка на почтовый ящик жертвы письма с "трояном", который впоследствии запишет все логины и пароли, вводимые пользователем. При этом совершенно необязательно, чтобы "троян" содержался в исполняемом файле, он может проникнуть в компьютер пользователя и через якобы обычную фотографию.

Впрочем, это все цветочки по сравнению с тем, что российские киберпреступники могут сделать с жертвой, проживающей в США. "В полицейские базы данных некоторых городов и штатов можно внести информацию о том, что против человека выдвигались обвинения в уголовных преступлениях,— говорит Алексей Строганов.— Например, можно внести запись о том, что он обвинялся в попытке убийства своих жены и детей. Разными способами можно испортить человеку кредитную историю. Не раз были случаи, когда подставляли под обвинение в мошенничестве, присылая на его адрес жертвы товары, купленные по украденным кредитным карточкам. Чем более компьютеризирована страна, тем больше возможностей превратить жизнь человека в ад, не вставая с дивана".

Киберпреступники не ограничиваются техническими способами типа взлома — они проявляют достаточную изобретательность и активно используют социальную инженерию. Да и к цели можно прийти не одним, а несколькими путями. Например, чтобы взломать централизованную базу данных с записями о криминальной истории граждан, потребуется столько усилий, что взлом может оказаться нерентабельным. Однако многие компьютеры в обычных полицейских участках защищены далеко не так идеально, как центральная база данных, вот через эти компьютеры и можно внести в центральную базу нужные компрометирующие данные.

В фильме "Враг государства" режиссера Тони Скотта молодой преуспевающий адвокат невольно становится обладателем видеозаписи, на которой запечатлено убийство сенатора высокопоставленным сотрудником АНБ. И спецслужбисты решают превентивно дискредитировать адвоката, объявив его в розыск по обвинению в убийстве подружки, заблокировав его кредитные карты и настроив против него знакомых и друзей. Еще в конце 90-х годов этот фильм показывал, как спецслужбы могут превратить в кошмар жизнь любого человека. Сейчас такое может проделать практически любой человек, имеющий доступ в интернет и желание уничтожить своего недруга.

// ЛИКБЕЗ

Зомби из компьютерного подполья

Механизм DDoS-атаки довольно прост. Зараженные вредоносными программами компьютеры обычных пользователей могут в фоновом для их владельцев режиме направлять запросы к атакуемому сайту, что приводит к тому, что сайт тратит все свои ресурсы только на обработку этих запросов, а пользователи, которые сознательно хотят попасть на него, обнаруживают, что сайт для них недоступен. Зараженные компьютеры, с помощью которых организуются такие атаки, называются ботами, или зомби, а сеть компьютеров, подчиняющихся одному владельцу,— ботнетом.

Известно два вида ботнетов — с единым командным центром и распределенные (p2p). В первом случае зараженные компьютеры-зомби получают адрес цели и сигнал к атаке с единого управляющего сервера. Следовательно, чтобы нейтрализовать ботнет, нужно найти и устранить командный центр. Во втором случае единого командного центра нет, а управление ботнетом можно осуществлять, имея доступ к любому из зараженных компьютеров. Это похоже на законспирированные ячейки подпольщиков, каждый из которых знает не всех участников подполья, а только несколько человек из своей ячейки. Таким образом, провал одного подпольщика может привести лишь к провалу его ячейки, но не угрожает всей сети.


Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...