DDoS с большой дороги
IT-безопасность
Кибертерроризм захлестнул интернет. Если раньше DDoS-атаки на сайты компаний использовались главным образом в целях шантажа, то сейчас к помощи киберпреступников прибегают и солидные на первый взгляд организации, желающие свести счеты с конкурентами. Кто и как организует атаки и сколько на этом можно заработать, выяснял Денис Зенкин.
В рунете вряд ли найдется много популярных сайтов, ни разу не подвергавшихся так называемым атакам DDoS ("отказ обслуживания"). Им многократно подвергались серверы радиостанции "Эхо Москвы", издательского дома "Коммерсантъ", журнала Mobile Review. Социальные сети, в частности сообщества LiveJournal, широкопрофильные порталы (например Mail.ru), интернет-провайдеры ("Мастерхост", "Зенон") также регулярно попадают под прицел кибертеррористов. Участи этой не избежали и разработчики систем информационной безопасности: известно много случаев, когда успешные атаки "валили" серверы, например, BlueSecurity или CastleCops.
Ширится практика использования DDoS и в политических целях — прежде всего в межпартийной борьбе и для выражения несогласия с действиями того или иного государства. Вспомните прошлогодний случай с демонтажом памятника воину-освободителю в Таллине и последовавшую за этим лавину DDoS-атак на веб-сайты эстонских правительственных учреждений. Такие действия несогласных все чаще сопутствуют внутренним и международным событиям. За примерами далеко ходить не приходится: арабо-израильский конфликт, пакистано-индийский конфликт, недавние события в Косово.
DDoS — быстро набирающая популярность разновидность хакерских атак. Словосочетание, имеющее аббревиатуру DDoS, на русский переводится как "распределенный отказ обслуживания". Цель атаки не в том, чтобы проникнуть в систему, а в том, чтобы парализовать ее работу. Представьте себе продавца газет, к которому внезапно выстраивается неимоверная очередь желающих приобрести свежую прессу. Естественно, что вы сможете получить свой экземпляр очень не скоро, если вообще получите.
По такому сценарию проходят DDoS-атаки в интернете. Десятки тысяч компьютеров вдруг начинают одновременно посылать на определенный сервер бессмысленные пакеты данных. Сервер пытается их обработать, но не справляется. В результате добросовестные посетители не могут получить доступа к ресурсу. Для компаний, чья деятельность осуществляется именно в интернете (интернет-магазины, социальные сети, онлайн-СМИ и т. п.), такое происшествие оборачивается многомиллионными потерями и дурной славой. К примеру, российский филиал процессинговой системы ChronoPay, обслуживающий интернет-платежи, потерял три года назад около $700 тыс. из-за нескольких часов простоя по причине DDoS-атаки. Американский интернет-аукцион eBay по этой же причине не работал 22 часа и в течение последующих пяти дней потерял четверть своей стоимости на фондовом рынке.
DDoS. История проблемы
История появления DDoS-атак довольно поучительная. Технология, которая легла в основу этой разновидности хакерских атак, была создана исключительно в мирных целях. Она активно использовалась для изучения пропускной способности каналов передачи данных и для проверки их поведения в условиях пиковых нагрузок. Действительно, трудно придумать лучший вариант тестирования системы, чем симуляция "боевых" условий. Однако вскоре эта технология и инструменты попали в руки тех, кто нашел им иное применение.
Первые случаи хакерских DDoS-атак были зарегистрированы в 1996 году. Однако всерьез об этой проблеме заговорили только спустя четыре года, когда жертвами атак стали веб-сайты Amazon, Yahoo, eBay, CNN и даже ФБР. Главный вывод из этого был прост: "если они отключили Yahoo, то могут отключить кого угодно". Каждый сайт в любой момент мог стать мишенью для атаки. С тех пор DDoS стал обыденным явлением сетевой жизни: не проходит и месяца без сообщения о новом крупном происшествии. По данным Института компьютерной безопасности (США), примерно 55% всех хакерских атак имеют именно такую природу, а подсчеты компании Arbor Networks показывают, что каждый день в интернете происходит около 1300 DDoS-нападений.
DDoS давно стал гораздо большей проблемой, нежели спам. На долю электронной почты приходится приблизительно 1,5% объема данных, передаваемых через интернет. Таким образом, столь популярная проблема как спам (нежелательные почтовые рассылки) в глобальном масштабе — всего лишь незначительные помехи на уровне 1%. Объем же DDoS-данных достигает 5%, и последствия DDoS-атаки гораздо серьезнее.
Как все гениальное, технология DDoS проста и прозрачна. Конечно, массированные атаки на ресурсы, имеющие мощную защиту,— это удел профессиональных киберпреступников. Но для проведения средней силы атаки, которая не нанесет серьезного вреда жертве, не требуется каких-то особых навыков. C этой задачей может справиться даже любитель.
DDoS делится на два архитектурных типа: программируемый и автономный. Программируемый тип включает управляющую консоль, промежуточные компьютеры и компьютеры-солдаты. По сигналу с консоли промежуточные компьютеры посылают команду всем "солдатам" с указанием цели и типа атаки. Те, в свою очередь, начинают "бомбардировку" жертвы. Автономная архитектура предполагает использование сети "солдат", запрограммированных на атаку определенной цели. Несмотря на кажущийся недостаток гибкости и управляемости, они чрезвычайно опасны: такие компьютеры продолжают действовать даже после нейтрализации управляющего центра. "К сожалению, выйти на след хакера практически невозможно. Мало того что непосредственными исполнителями атаки являются компьютеры ничего не подозревающих пользователей, связь между ними и управляющей консолью также чрезвычайно запутанна: нападающие используют анонимные прокси-серверы для сокрытия своего местоположения",— рассказывает Дмитрий Дукорский, технический консультант компании Kerio Technologies.
Особого внимания заслуживают именно "солдаты". Как правило, на компьютеры незаметно (при помощи вируса или через брешь в системе безопасности) внедряется специальная программа, которая никак себя не проявляет до поступления команды сверху. Случается, что "солдат" может дремать многие месяцы и даже годы, прежде чем будет подчинен воле хакера. Владельцы этих компьютеров даже и не подозревают, что участвуют в атаке. Из-за этой особенности в профессиональной среде специалистов по информационной безопасности такие солдаты получили название "зомби".
В компьютерном андеграунде зомби-сети являются одновременно предметом особой гордости и торговли. Хакеры тратят много усилий и средств на их создание. Им требуется разрабатывать или заказывать специальные вредоносные программы, проводить их многократную рассылку, чтобы получить в сухом остатке работающую сеть достаточно мощных компьютеров. На подпольных форумах часто можно встретить объявления об аренде таких зомби-сетей или реализации атак с их помощью.
Как атаковать и как заработать
Прошли времена, когда DDoS был уделом хулиганов и носителей диагноза геростратовой мании величия. Сегодня любителям под силу провести атаку разве что на себе подобного. Серьезные компании, бизнес которых зависит от интернета, используют мощные средства противодействия, справиться с которыми способен только настоящий профессионал. Со временем на услуги этих людей возник устойчивый спрос: заказы со стороны конкурентов, политические заказы, вымогательство и шантаж. А с другой — объективные экономические законы, согласно которым спрос рождает предложение. Постепенно на этой почве выросла настоящая индустрия.
"Чаще всего для проведения DDoS-атак хакеры используют вредоносные программы семейства SdBot, Rbot и BlackEnergy Bot. Это мощные системы, за плечами которых несколько лет непрерывного технологического совершенствования. В их арсенале развитое управление, функции автоматического обновления, перехвата данных и рассылки спама,— говорит Александр Гостев, ведущий антивирусный аналитик "Лаборатории Касперского",— По моим подсчетам, для отключения любого из 99% российских сайтов потребуется зомби-сеть из примерно 20 тыс. компьютеров. При этом ресурсы современных хакеров могут многократно превышать эту цифру".
Большинство DDoS-хакеров выполняют коммерческие заказы по нейтрализации конкурентов. Как правило, они распространяют объявления о своих услугах при помощи анонимных рекламных рассылок и разнообразных форумов. В целях конспирации общение всегда ведется с анонимных адресов, дабы исключить возможность нежелательного контакта с правоохранительными органами, а оплата принимается на подставные счета обезличенных платежных систем и строго по принципу "вечером деньги — утром стулья".
По этой причине заказчик всегда рискует: он может стать жертвой банального мошенничества, когда исполнитель исчезает сразу же после перечисления денег. В отсутствии гарантии он может связаться с любителями, которые не смогут достичь поставленной цели. Он может сам стать жертвой шантажа. Наконец, не исключено, что под видом хакеров ему придется общаться с правоохранительными органами.
Как в любом другом криминальном бизнесе, здесь нет жестких тарифов. Цена DDoS-атаки зависит от слишком многих факторов и ее колебания могут составлять до тысячи раз. К примеру, услуги любителя могут стоить 2-3 тыс. рублей за день атаки. Профессиональная "бомбардировка" веб-сайта средней руки — 7-10 тыс. рублей. Масштабная атака на хорошо защищенный сервер — до нескольких десятков тысяч долларов в день.
PR на DDoS
В последнее время эксперты отмечают использование феномена DDoS в непривычных целях. "Иногда хочется задать вопрос — а был ли мальчик? Мне известны несколько случаев, когда на DDoS-атаки сваливают нерасторопность IT-службы, из-за которой нарушается нормальная работа систем. Согласитесь, большинство с сочувствием отнесется к жертве хакерской атаки и скорее всего, легко простит ошибку,— комментирует Евгений Преображенский, генеральный директор компании Perimetrix.— Факт наличия атаки проверить очень сложно и даже при таком раскладе данные можно легко фальсифицировать".
DDoS-атаки также используются для привлечения всеобщего внимания — в рекламных и политических целях. До сих пор сообщения об успешных атаках вызывают интерес публики и неминуемо занимают заголовки СМИ. Случается, что государства голословно обвиняют друг друга во враждебных действиях, используя в качестве доказательной базы тот самый пресловутый DDoS. Один из наглядных примеров — заявление эстонских "специалистов", которые якобы вычислили источник атак на правительственные сайты: он находился нигде иначе, как в Кремле. И хотя несуразности этому обвинению не занимать, заявление попало в официальные каналы и было широко растиражировано западными СМИ как наглядное доказательство агрессивного поведения России в отношении небольшого демократического государства.
Несмотря на то, что тому нет прямых доказательств, многие эксперты не исключают, что технология DDoS активно используется и на правительственном уровне. Логично предположить, что в условиях сегодняшней зависимости бизнес-коммуникаций и СМИ от интернета DDoS является веским аргументом в политической борьбе и может представлять собой эффективный инструмент выяснения отношений между государствами в случае их обострения. Было бы очень неосмотрительно не учитывать этого и не проводить соответствующих исследований, как в области защиты, так и нападения.
Вопрос о кибертерроризме с использованием DDoS уже не раз поднимался на страницах печати и специализированной прессы. В первый раз об этом феномене заговорили в ноябре 2002 года. Тогда объектами атаки стали корневые серверы интернета, отвечающие за координацию работы всемирной сети в целом. В результате инцидента интернет был ненадолго расколот на национальные подсети, не имевшие возможности общаться между собой. К счастью, последствия удалось быстро преодолеть и восстановить нормальную работу серверов. Однако факт остался фактом: DDoS можно использовать в глобальных террористических целях. В результате таких действий могут быть нарушены важные коммуникации, глобальная экономика понесет многомиллиардные убытки, возникнет угроза жизни и здоровью людей. Увы, мировой паралич из-за отказа интернета — это уже более не сценарий дешевого блокбастера, но реальная угроза.
Неуловимые хакеры
В большинстве европейских стран и американских штатов приняты специальные акты, прямо и недвусмысленно определяющие хакерские атаки и ответственность за их реализацию. Российское законодательство в этом смысле более аморфно. Наиболее близкие статьи УК РФ — 272 ("Неправомерный доступ к компьютерной информации", санкция — лишение свободы до пяти лет) и 273 ("Создание, использование и распространение вредоносных программ для ЭВМ", санкция — лишение свободы до семи лет). Однако ни то, ни другое в случае с DDoS не работает. В ходе атаки неправомерного доступа не совершается, а факт использования вирусов вообще недоказуем. Но даже если бы и появилась новая статья, направленная на наказание "дэдосеров", то она неминуемо вошла бы в когорту бумажных законов, которые на практике не работают. Запретить — одно дело. Совсем другое — найти злоумышленника и доказать его вину. А вот с этим в России, увы, пока проблемы. За всю историю к уголовной ответственности (да и то по статье 163 УК РФ "Вымогательство") в России были привлечены лишь трое молодых людей (дело "балаковских хакеров"), занимавшихся шантажом и дэдос-атаками британских интернет-букмекеров на сумму около $4 млн.
Несмотря на усилия властей и модернизацию законодательства, все эти действия, по сути, малоприменимы. При современной архитектуре интернета вычислить хакера практически нереально. Попадаться в сети будут только неосторожные любители, а "крупная рыба" будет уходить безнаказанной. Те же "балаковские хакеры", по признанию специалистов, попались по глупости: в один ответственный момент забыли надежно скрыть свой адрес. Проще всего, конечно, выйти на "солдат", но реально привлечь их владельцев к ответственности невозможно — они сами пали жертвами злоумышленников. А несоблюдение норм компьютерной гигиены сегодня не является ни уголовно, ни административно наказуемым деянием. Правда, в США уже раздаются призывы к изменению подхода: приравниванию компьютера к объекту повышенной опасности и, соответственно, возникновению ответственности владельца за его надлежащее состояние.
Может сложиться впечатление, что всемирную сеть поразила неизлечимая эпидемия, которая рано или поздно приведет к тотальному коллапсу. В действительности, это не так. Как спрос рождает предложение, так и угроза вызывает ответную защитную реакцию. В последние годы индустрия информационной безопасности разработала ряд достаточно эффективных технологий для борьбы с DDoS. К общим рекомендациям для снижения опасности и минимизации ущерба от атак относят использование специального программного обеспечения (межсетевые экраны) и соблюдение общих правил компьютерной гигиены. Домашние пользователи могут сделать выбор из широкого спектра коробочных продуктов. Для среднего и малого бизнеса потребуется шлюзовой межсетевой экран, а для крупных организаций — высокопроизводительные брандмауеры. Необходимо также использовать и регулярно обновлять антивирусные программы, дабы незаметно не влиться в число зомби-компьютеров.
В перспективе борьба с DDoS неминуемо выйдет на глобальный уровень. Не только потому, что эта угроза приобретает планетарные масштабы. Но также из-за того, что эффективность обнаружения таких атак прямо пропорциональна уровню сбора или анализа статистики. Большинство методов бессильны вблизи цели, но практически безотказны на магистральной сети. На этом уровне можно с высокой вероятностью распознать дэдос, его тип, характер, побочные действия и оперативно разработать механизм защиты.
Основные виды DDoS-атак
Флуд (англ. flood — наводнение) — наиболее распространенный вид. Связан с "бомбардированием" целевой системы большим количеством бессмысленных или неправильных запросов с целью исчерпать ее ресурсы (процессора, памяти, пропускной способности канала) и провоцировать замедление или полный отказ.
Использование ошибки в программе, приводящей к возникновению необрабатываемой исключительной ситуации и аварийному завершению серверного приложения.
Недостаточная проверка данных пользователя, приводящая к исчерпанию процессорных ресурсов либо исчерпанию памяти.
Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.
Комбинированная атака — комбинация описанных атак, направленных на отказ в обслуживании.
Методы обнаружения DDoS-атаки
Сигнатурные — в потоке сетевых данных производится качественный анализ и поиск определенных пакетов, свойственных DDoS. Малоэффективно против новых типов атак.
Статистические — количественный анализ потока сетевых данных с целью выявления аномалий, свойственных DDoS. Главный недостаток — наличие ложных срабатываний и недостаточная эффективность.
Гибридные — сочетают в себе достоинства обоих методов.