В конце октября Владимир Путин провёл расширенное заседание Совета безопасности, главной темой которого стала защита от кибернетических угроз. Президент отметил рост числа потенциальных опасностей в этой сфере, а также то, что хакерские атаки ныне приобретают глобальный характер. Как им противодействовать, «Военно-промышленному курьеру» рассказал IT-эксперт Игорь Ильин, генеральный директор компании «Социум-Телеком».
– В последнее время всё чаще подвергаются атакам сайты средств массовой информации. Какую цель, как Вы считаете, могут преследовать заказчики подобных акций?
– Вариантов хакерских атак известно множество, как и их целей. Ныне самая актуальная тема – DDoS-атаки, которые прямой материальной выгоды заказчикам не приносят. Это своего рода кибероружие, и смысл его использования в том, чтобы какой-то ресурс в интернете перестал отвечать на запросы пользователей, то есть стал недоступным. Как пример можно привести недавний случай в Донецке, когда подобная атака была проведена с политической целью.
Планировалось онлайн-выступление руководителей ДНР, но все правительственные сервисы и другие площадки, с которых могла вестись трансляция, подверглись массированной DDoS-атаке. Соответственно многие из них стали недоступны для тех, кто хотел посмотреть. Помимо прямой цели организаторы достигают и ряд побочных результатов. Если какая-то структура не в состоянии защитить свои интернет-ресурсы от воздействия извне, речь идёт уже о репутационных рисках.
Надо сказать, что в последний год уровень организации таких атак заметно вырос. Недавно был совершён ряд подобных акций против сайтов популярных российских СМИ – газет и новостных агентств. Здесь, помимо репутационных потерь, издание несёт и материальные, к примеру, связанные с неисполнением рекламных обязательств. Не будем забывать и о недобросовестной конкуренции: если перестанет работать какой-либо сайт, оказывающий некие услуги, в том числе информационные, выгоду получат те, кто работает в этом же сегменте.
– Но кто исполнители? Нарисуйте хотя бы примерный портрет. Волки-одиночки, банды кибергениев? И о технологии тех же DDoS-атак подробнее, пожалуйста.
– Раньше хакеры были просто хулиганами, коими двигало желание продемонстрировать в своём кругу некую исключительность. Сейчас это делают всерьёз и за деньги. DDoS-атака требует ресурсов и подготовки. Чтобы было понятно непосвящённым, два слова о её сути. В основе лежит создание ботнета, то есть целой сети устройств, при помощи некой вирусной программы управляемых инициатором атаки. И каждое устройство – изначально и большей частью это персональные компьютеры – по команде начинает слать запросы по определённому адресу.
Сайт, на который в кратчайшее время обрушиваются десятки тысяч запросов, физически не справляется с этим и по сути отключается. Компьютеры, используемые для подобных атак, никак между собой не связаны, их владельцы даже не подозревают, что любимый ноутбук задействован в грязном деле.
– Создание ботнета требуется перед каждой атакой или злоумышленники могут иметь готовые сети, которые можно задействовать многократно?
– Отражение DDoS-атаки вовсе не подразумевает ликвидацию сети, с которой она велась. Заражённые компьютеры постепенно очищаются антивирусными программами или обновлениями ПО, но за это время через спам-рассылку, скачивание программ с непроверенных сайтов и прочими путями сеть пополняется другими.
Скажу больше, классика жанра, когда основой ботнета становились домашние компьютеры, уходит в прошлое. Сейчас уже укоренилось понятие «интернет вещей» (Internet of Things, сокращенно IoT) – это все те устройства, которые могут принимать и передавать информацию, взаимодействуя друг с другом без участия человека. Список их непрерывно растёт, и тот же «умный дом» из экзотики превращается в повседневность, на подходе беспилотные автомобили. Что проще – кофеварки, тостеры, холодильники, также с приставкой «умные», камеры видеонаблюдения…
Всё, что взаимодействует с Сетью и имеет программное обеспечение, в которое можно внедриться, последние год-два стало целями при создании ботнетов. При этом «умные вещи» пока не отягощены антивирусной защитой, им редко требуется обновление программного обеспечения, а участие в хакерской сети никак не сказывается на выполнении ими своих основных функций.
По данным компаний, занимающихся аналитикой в сфере информационной безопасности, самые мощные DDoS-атаки в этом году были осуществлены именно при помощи ботнетов, созданных на базе IoT, и крупнейшая выявленная сеть состояла из 145 тысяч камер видеонаблюдения. Предполагается, что именно она позволила обрушить серверы двух ведущих провайдеров Либерии. Цель пока неясна, но на несколько суток вся страна, пусть она даже африканская и маленькая, осталась без интернета.
– Разминка перед более серьёзными странами?
Возможно. Предположительно с этой же сети «завалили» крупного интернет-провайдера в Германии. Интересно, что атакуя провайдеров, организаторы акции тем самым воздействуют и на все ресурсы, на этого поставщика завязанные. Такая атака может быть замаскированным воздействием именно на какой-то из сайтов-клиентов, что ещё более усложняет вычисление заказчика.
Крупного провайдера обрушить трудно, но и враг не стоит на месте: зафиксированы атаки, объём трафика которых превышал один терабит в секунду – это огромная величина. Перед таким напором не всякий и крупный провайдер устоит, у большинства мощность каналов ограничивается сотнями гигабит. Под такие атаки нужны соответствующего объёма ботнеты, а это, скорее всего, большие международные проекты. И преследуют они уже государственные интересы, а не частные.
Никто не знает, кто конкретно создаёт ботнеты, и гипотетически возможно для какой-то сверхмощной атаки объединение нескольких таких сетей. С создателями вирусов специалисты по кибербезопасности находятся более или менее в паритете, под все новинки дополняются антивирусные базы. Но заказным атакам и взломам противодействовать гораздо сложнее, достаточно успешно это могут делать только крупные структуры, имеющие возможность держать штат весьма высококвалифицированных специалистов. Маловероятно, что DDoS-атаку удастся предотвратить, но обнаружить признаки её подготовки, оперативно отреагировать и минимизировать возможный ущерб вполне реально.
Атаки бывают разными и по сути, и по масштабу воздействия. Самые крупные наверняка носят международный характер или даже могут организовываться спецслужбами. При формировании серьёзной атаки группа, её готовящая, должна обладать весьма мощными ресурсами, и нельзя исключить, что в каких-то странах есть специальный персонал на зарплате, который в интересах государства ведёт подобного рода деятельность.
– Можно оценить бюджет организации таких атак?
– Чтобы понять, сколько конкретно атака стоит, надо её заказать – прайс-листов на такие услуги никто не вывешивает. Это может быть и тысяча долларов, и десятки тысяч, и сотни, всё зависит от желаемой мощности и от того, какая цель преследуется.
– Понятно, что определить заказчика сложно. А исполнителя?
– Если атаку проводит не школьник с домашнего компьютера, то почти невозможно. Поэтому сейчас говорят, что настал золотой век для компаний, специализирующихся на кибербезопасности. Есть организации, которые вам помогут: вы можете подключаться к сервисам защиты, покупать специальное оборудование, нанимать консалтинговые компании для аудита вашей системы информационной безопасности. При этом никто никаких гарантий не даст, вывести из строя можно любой ресурс, даже сайты президентов.
– Как потенциальные заказчики находят реальных исполнителей?
– Сейчас это несложно, было бы желание. Вряд ли, конечно, по поисковому запросу вам откроется сайт хакеров с расценками и перечнем предоставляемых услуг. Но есть специализированные ресурсы, тематические форумы… Там присутствуют те, кто нужен заказчикам.
– А чем при этом занято управление «К», призванное бороться с киберпреступностью?
– Как правило, все подобные ресурсы находятся вне юрисдикции спецслужб конкретной страны. Усложняет дело и анонимность всей цепочки – заказчики и исполнители могут не знать друг друга, что чаще всего и бывает, плюс с появлением криптовалют стало невозможным отследить финансовые потоки, сопровождающие такие заказы. Если говорить просто о закрытии неких ресурсов, имеющих отношение к хакерству и организации атак, то, как правило, для этого нет даже формальных поводов.