Хакерские атаки обходятся куда дешевле, нежели их предотвращение
В конце октября Владимир Путин провел расширенное заседание Совета безопасности, главной темой которого стала защита от кибернетических угроз. Президент отметил рост числа потенциальных опасностей в этой сфере, а также то, что хакерские атаки ныне приобретают глобальный характер. Как им противодействовать, "Военно-промышленному курьеру" рассказал IT-эксперт Игорь Ильин, генеральный директор компании "Социум-Телеком".
– В последнее время все чаще подвергаются атакам сайты средств массовой информации. Какую цель, как вы считаете, могут преследовать заказчики подобных акций?
“Правительственные сервисы подверглись массированной DDoS-атаке, и выступление руководителей ДНР стало для многих недоступным”
– Вариантов хакерских атак известно множество, как и их целей. Ныне самая актуальная тема – DDoS-атаки, которые прямой материальной выгоды заказчикам не приносят. Это своего рода кибероружие, и смысл его использования в том, чтобы какой-то ресурс в Интернете перестал отвечать на запросы пользователей, то есть стал недоступным. Как пример можно привести недавний случай в Донецке, когда подобная атака была проведена с политической целью. Планировалось онлайн-выступление руководителей ДНР, но все правительственные сервисы и другие площадки, с которых могла вестись трансляция, подверглись массированной DDoS-атаке. Соответственно многие из них стали недоступны для тех, кто хотел посмотреть. Помимо прямой цели организаторы достигают и ряд побочных результатов. Если какая-то структура не в состоянии защитить свои интернет-ресурсы от воздействия извне, речь идет уже о репутационных рисках.
Надо сказать, что в последний год уровень организации таких атак заметно вырос. Недавно был совершен ряд подобных акций против сайтов популярных российских СМИ – газет и новостных агентств. Здесь, помимо репутационных потерь, издание несет и материальные, к примеру, связанные с неисполнением рекламных обязательств. Не будем забывать и о недобросовестной конкуренции: если перестанет работать какой-либо сайт, оказывающий некие услуги, в том числе информационные, выгоду получат те, кто работает в этом же сегменте.
– Но кто исполнители? Нарисуйте хотя бы примерный портрет. Волки-одиночки, банды кибергениев? И о технологии тех же DDoS-атак подробнее, пожалуйста.
– Раньше хакеры были просто хулиганами, коими двигало желание продемонстрировать в своем кругу некую исключительность. Сейчас это делают всерьез и за деньги. DDoS-атака требует ресурсов и подготовки. Чтобы было понятно непосвященным, два слова о ее сути. В основе лежит создание ботнета, целой сети устройств, при помощи некой вирусной программы управляемых инициатором атаки. И каждое устройство – изначально и большей частью это персональные компьютеры – по команде начинает слать запросы по определенному адресу. Сайт, на который в кратчайшее время обрушиваются десятки тысяч запросов, физически не справляется с этим и по сути отключается. Компьютеры, используемые для подобных атак, никак между собой не связаны, их владельцы даже не подозревают, что любимый ноутбук задействован в грязном деле.
– Создание ботнета требуется перед каждой атакой или злоумышленники могут иметь готовые сети, которые можно задействовать многократно?
– Отражение DDoS-атаки вовсе не подразумевает ликвидацию сети, с которой она велась. Зараженные компьютеры постепенно очищаются антивирусными программами или обновлениями ПО, но за это время через спам-рассылку, скачивание программ с непроверенных сайтов и прочими путями сеть пополняется другими.
Скажу больше, классика жанра, когда основой ботнета становились домашние компьютеры, уходит в прошлое. Сейчас уже укоренилось понятие "интернет вещей" (Internet of Things, сокращенно IoT) – это все те устройства, которые могут принимать и передавать информацию, взаимодействуя друг с другом без участия человека. Список их непрерывно растет, и тот же "умный дом" из экзотики превращается в повседневность, на подходе беспилотные автомобили. Что проще – кофеварки, тостеры, холодильники, также с приставкой "умные", камеры видеонаблюдения…Все, что взаимодействует с Сетью и имеет программное обеспечение, в которое можно внедриться, последние год-два стало целями при создании ботнетов. При этом "умные вещи" пока не отягощены антивирусной защитой, им редко требуется обновление программного обеспечения, а участие в хакерской сети никак не сказывается на выполнении ими своих основных функций. По данным компаний, занимающихся аналитикой в сфере информационной безопасности, самые мощные DDoS-атаки в этом году были осуществлены именно при помощи ботнетов, созданных на базе IoT, и крупнейшая выявленная сеть состояла из 145 тысяч камер видеонаблюдения. Предполагается, что именно она позволила обрушить серверы двух ведущих провайдеров Либерии. Цель пока неясна, но на несколько суток вся страна, пусть она даже африканская и маленькая, осталась без Интернета.
– Разминка перед более серьезными странами?
“"Умные вещи" пока не отягощены антивирусными программами, а участие в хакерской сети никак не сказывается на выполнении основных функций”
– Возможно. Предположительно с этой же сети "завалили" крупного интернет-провайдера в Германии. Интересно, что атакуя провайдеров, организаторы акции тем самым воздействуют и на все ресурсы, на этого поставщика завязанные. Такая атака может быть замаскированным воздействием именно на какой-то из сайтов-клиентов, что еще более усложняет вычисление заказчика. Крупного провайдера обрушить трудно, но и враг не стоит на месте: зафиксированы атаки, объем трафика которых превышал один терабит в секунду – это огромная величина. Перед таким напором не всякий и крупный провайдер устоит, у большинства мощность каналов ограничивается сотнями гигабит. Под такие атаки нужны соответствующего объема ботнеты, и это скорее всего большие международные проекты. И преследуют они уже государственные интересы, а не частные. Никто не знает, кто конкретно создает ботнеты, и гипотетически возможно для какой-то сверхмощной атаки объединение нескольких таких сетей. С создателями вирусов специалисты по кибербезопасности находятся более или менее в паритете, под все новинки дополняются антивирусные базы. Но заказным атакам и взломам противодействовать гораздо сложнее, достаточно успешно это могут делать только крупные структуры, имеющие возможность держать штат весьма высококвалифицированных специалистов. Маловероятно, что DDoS-атаку удастся предотвратить, но обнаружить признаки ее подготовки, оперативно отреагировать и минимизировать возможный ущерб вполне реально.
Атаки бывают разными и по сути, и по масштабу воздействия. Самые крупные наверняка носят международный характер или даже могут организовываться спецслужбами. При формировании серьезной атаки группа, ее готовящая, должна обладать весьма мощными ресурсами, и нельзя исключить, что в каких-то странах есть специальный персонал на зарплате, который в интересах государства ведет подобного рода деятельность.
– Можно оценить бюджет организации таких атак?
– Чтобы понять, сколько конкретно атака стоит, надо ее заказать – прайс-листов на такие услуги никто не вывешивает. Это может быть и тысяча долларов, и десятки тысяч, и сотни – все зависит от желаемой мощности и от того, какая цель преследуется.
– Понятно, что определить заказчика сложно. А исполнителя?
– Если атаку проводит не школьник с домашнего компьютера, то почти невозможно. Поэтому сейчас говорят, что настал золотой век для компаний, специализирующихся на кибербезопасности. Есть организации, которые вам помогут: вы можете подключаться к сервисам защиты, покупать специальное оборудование, нанимать консалтинговые компании для аудита вашей системы информационной безопасности. При этом никто никаких гарантий не даст, вывести из строя можно любой ресурс – даже сайты президентов.
– Как потенциальные заказчики находят реальных исполнителей?
– Сейчас это несложно, было бы желание. Вряд ли, конечно, по поисковому запросу вам откроется сайт хакеров с расценками и перечнем предоставляемых услуг. Но есть специализированные ресурсы, тематические форумы… Там присутствуют те, кто нужен заказчикам.
– А чем при этом занято управление "К", призванное бороться с киберпреступностью?
– Как правило, все подобные ресурсы находятся вне юрисдикции спецслужб конкретной страны. Усложняет дело и анонимность всей цепочки – заказчики и исполнители могут не знать друг друга, что чаще всего и бывает, плюс с появлением криптовалют стало невозможным отследить финансовые потоки, сопровождающие такие заказы. Если говорить просто о закрытии неких ресурсов, имеющих отношение к хакерству и организации атак, то, как правило, для этого нет даже формальных поводов.
Игорь Ильин
Беседовал Алексей Песков
Опубликовано в газете Военно-промышленный курьер в выпуске № 43 (707) за 8 ноября 2017 года