Как отбиться от хакера
06.02.2020 13:36
Полное искоренение хакерских атак, блокирующих работу сайтов жертв на дни, недели, а иногда и месяцы, заняло в Германии меньше года. Три месяца полиция вычисляла основные хакерские группировки, а потом за полгода упрятала их за решетку — заказала «подложные» атаки и взяла преступников с поличным. В России такое может и не сработать, предупреждают эксперты: здесь хакеров больше, они хитрее и наглее
В прошлом году рунет пережил настоящее «DDoS-обострение», констатировала в декабре 2011 г. «Лаборатория Касперского». DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании». Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры — само собой, не спрашивая разрешения у их владельцев, — в единую сеть-ботнет (от «робот», или, для краткости, «бот»), и та засоряет «мусорным» трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.
Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет — «Коммерсанта», «Ведомостей», — а также на сервис блогов Livejournal.com («Живой журнал», ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.
Но страдают не только журналисты и блогеры. По данным «Лаборатории Касперского», в 2011 г. две крупные атаки пережили сайты турфирм: один — перед началом летних отпусков, другой — перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.
Уникальный опыт борьбы с DDoS есть у Германии — эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. — вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.
В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик — $2,7 млн, эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил федеральный офис информационной безопасности (BSI).
Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов — от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.
О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист — сотрудник компании, специализирующейся на компьютерной безопасности.
Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.
К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. «Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год», — уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.
Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error («Фатальная ошибка системы»), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, — их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь «мулов» — так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.
Другая особенность России, о которой пишет Менн, — коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты — совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела «К» УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела «К» областного УВД. Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: «Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются».
В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали — впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.
В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.
Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.
Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами — причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. «Новая газета». Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. «Фактически российских граждан осудили по законам Великобритании», — говорил «Новой газете» адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.
Менн рассказывает, как именно следователи вычислили российских «дидосеров». Дело в том, что один из них — Иван Максаков — использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.
В 2012 г. до суда должно дойти еще одно громкое дело — о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте «Аэрофлота». Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в статьи 272 (о неправомерном доступе к компьютерной информации) и 273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в сизо максимально возможное время содержания под стражей.
«На общем фоне Россия выглядит не очень хорошо. Много хакерских атак, большое количество мошеннических сервисов, свободно доступных в сети, — это бывшие организованные преступные сети. Они, конечно, спрятались, но никуда не ушли. Как известно, топ-5 спамеров — это в значительной степени наши соотечественники. Почему это происходит? Уровень преступности в России в целом очень высокий, да еще и программисты здесь хорошие. Так что получается, что и русские хакеры лучшие в мире. Но при этом не стоит забывать, что киберпреступность — явление интернациональное и действия злоумышленников не ограничены территорией одной страны. В последние годы своеобразными центрами мировой киберпреступности являются Китай, Россия и страны Латинской Америки». ( Интервью «Ведомостям» 27.09.2011)
Средняя продолжительность DDoS-атаки в России — 9 часов 29 минут, подсчитала «Лаборатория Касперского». А самая продолжительная из прошлогодних DDoS-атак длилась 80 дней.
Роман Дорохов
В прошлом году рунет пережил настоящее «DDoS-обострение», констатировала в декабре 2011 г. «Лаборатория Касперского». DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании». Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры — само собой, не спрашивая разрешения у их владельцев, — в единую сеть-ботнет (от «робот», или, для краткости, «бот»), и та засоряет «мусорным» трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.
Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет — «Коммерсанта», «Ведомостей», — а также на сервис блогов Livejournal.com («Живой журнал», ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.
Но страдают не только журналисты и блогеры. По данным «Лаборатории Касперского», в 2011 г. две крупные атаки пережили сайты турфирм: один — перед началом летних отпусков, другой — перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.
Контрольная закупка по-немецки
Уникальный опыт борьбы с DDoS есть у Германии — эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. — вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.
В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик — $2,7 млн, эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил федеральный офис информационной безопасности (BSI).
Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов — от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.
О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист — сотрудник компании, специализирующейся на компьютерной безопасности.
Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.
К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. «Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год», — уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.
Есть нюансы
Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error («Фатальная ошибка системы»), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, — их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь «мулов» — так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.
Другая особенность России, о которой пишет Менн, — коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты — совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела «К» УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела «К» областного УВД. Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: «Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются».
В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали — впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.
В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.
Российский опыт
Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.
Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами — причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. «Новая газета». Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. «Фактически российских граждан осудили по законам Великобритании», — говорил «Новой газете» адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.
Менн рассказывает, как именно следователи вычислили российских «дидосеров». Дело в том, что один из них — Иван Максаков — использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.
В 2012 г. до суда должно дойти еще одно громкое дело — о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте «Аэрофлота». Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в статьи 272 (о неправомерном доступе к компьютерной информации) и 273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в сизо максимально возможное время содержания под стражей.
****
О русских хакерах
О русских хакерах
Евгений Касперский
генеральный директор «Лаборатории Касперского»
генеральный директор «Лаборатории Касперского»
Атака длиной в три месяца
Средняя продолжительность DDoS-атаки в России — 9 часов 29 минут, подсчитала «Лаборатория Касперского». А самая продолжительная из прошлогодних DDoS-атак длилась 80 дней.
Роман Дорохов