Вымогательство: интернет-версия
Буквально пару дней назад я получил по ICQ не очень, в общем-то, оригинальное сообщение: «Ваш UIN занесен в черный список, чтобы доказать что Вы не робот, Вы должны на протяжении суток отправить SMS ХХХХ на номер ХХХХХХ. В противном случае вы будете отключены от сети ICQ». Настолько примитивный шантаж, что даже обидно стало.
Шантажисты, понятное дело, были отправлены в пешее эротическое путешествие. Но это был повод задуматься: кто-то сшибает деньги по мелочи с наивных блондинок, а кто-то наверняка ловит рыбу покрупнее. То есть шантажирует, скажем, коммерческие фирмы – слишком многие виды бизнеса в наше время зависят доступа в Интернет.
Угрозы реальные и виртуальные
Недолгие поиски подтвердили: в последние годы все больше владельцев сайтов получают письма от мошенников с угрозой проведения DDos-атаки. Конечно, если подобному шантажу подвергается компания с серьезной IT-службой, ее защитой займутся хорошо подготовленные специалисты. Но злоумышленники тоже старательно подбирают жертву, так что на практике с шантажом сталкиваются люди, недостаточно хорошо разбирающиеся в компьютерных технологиях.
Вот классический пример письма от шантажистов (речь о России, так что цена указана в российских рублях):
Здравствуйте.
Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10.000 руб. ежемесячно.
Внимание! Начиная с 26 октября Ваш сайт будет подвергнут ДДос-атаке. Он будет недоступен до тех пор, пока вы не начнете нам платить.
Самое обидное, что злоумышленники действительно могут организовать некую DDоS-атаку. Но, во-первых, навряд ли она будет достаточно серьезной, чтобы нанести реальный вред. А во-вторых, ее отражением, скорее всего, придется заниматься техническим специалистам компании-провайдера. Конечно, провайдер может в результате пересмотреть условия договора (атакуют вас, а страдает он) – но это уже совсем другая тема.
В любом случае, если сайт размещен на виртуальном хостинге или collocation у серьезного провайдера, вряд ли нужно беспокоиться. Конечно, современный уровень развития бот-сетей позволяет атаковать ресурсы (сайты) с мощностью, которую не выдержит ни один интернет-провайдер. Но тут уже возникает…
Цена вопроса
Как и многое другое, проблема атаки в Интернете измеряется деньгами – серьезная атака стоит денег, равно как и хорошая защита от нее. Однако вот принципиально важный момент: стоимость организации серьезной DDоS-атаки в Интернете на порядки выше, чем затраты на защиту от нее.
По сути, злоумышленники могут реализовать один из двух сценариев. В первом случае будет проведена достаточно «легкая» DDоS-атака: злоумышленники просто покажут, что, дескать, «мы это можем». Создать ботнет для такой атаки способен даже недоучившийся студент-компьютерщик. Тем более, что в последние годы в Сети уже появились средства автоматизации создания ботнета. Однако эффективность подобной атаки с точки зрения информбезопасности близка к нулю – это что-то вроде швыряния ботинка в американского президента. С уверенностью можно сказать, что, скорее всего, второй атаки не последует – причем независимо от того, «купится» жертва на угрозы, или нет. Шантажисты просто не смогут организоваться вторую – уже серьезную – атаку.
Но может иметь место не шантаж, а вполне конкретный «спор хозяйствующих субъектов» или передел какого-либо рынка. Вот тут-то атакующая сторона уже может себе позволить раскошелиться на «настоящую» DDоS-атаку. Впрочем, DDоS-атака, которую будут обсуждать в газетах (то есть действительно результативная), стоит от миллиона долларов и выше. А если задействованы такие цифры – значит, про простой шантаж речь уже не идет.
Защита
«Самый надежный способ защитить сайт – это его отключить». В этой шутке есть часть грустной правды, основной метод защиты от DDоS – это блокировка всего трафика такого сайта по определенному направлению (с которого преимущественно идет атака). Провайдер, безусловно, должен продержаться некоторое время, для того чтобы понять, с каких направлений атакуют. К сожалению, как правило, это «макро»-направления (Америка, Европа, Россия). Если атакуют со всех направлений одинаково сильно – проще действительно «отключить» сайт.
Но, к счастью, до этого доходит не так часто. Достаточно хорошо оснащенный провайдер имеет в своем арсенале (помимо описанной выше техники «отключения» по направлениям») средства распознавания и фильтрации атакующих пакетов трафика и/или средства буферизации между сайтом клиента и Интернетом, которые способны нести сверхвысокие нагрузки при атаке. Есть еще всякие хитрости, которые позволяют эффективно «бегать» от атаки мощного, но не сильно поворотливого ботнета. Ну и, конечно, все вышесказанное имеет смысл, только если провайдер имеет достаточную мощность опорной сети и внешних подключений.
Что делать, если вы получили подобное письмо? Не придавать значения, обратиться к провайдеру, обратиться в правоохранительные органы? Что нужно сделать, если есть подозрение о начале атаки (сайт недоступен или плохо доступен)?
Во-первых, сам факт посылки письма с угрозами – уже злодеяние, даже если никакой DDоS-атаки даже и не планировалось. То есть уже можно обращаться в правоохранительные органы. Но это уже не мне вам советовать – обращайтесь к юристу фирмы. Вероятность того, что вас просто «берут на испуг», достаточно высока, так что стоит ли беспокоить дядю-милиционера – вопрос отдельный.
Если же вы заметили, что атака все же началась (а ваш провайдер вам еще не сообщил об этом), немедленно «порадуйте» круглосуточную службу технической поддержки своего провайдера и следуйте ее инструкциям, если от вас что-то зависит в этой ситуации. Если у вашего провайдера нет такой службы, она спит на посту или бездействует после вашего обращения – срочно смените провайдера.
Фактор сисадмина
Отдельный фактор риска – системные администраторы. Поросший свитером и длинными волосами любитель пива может выглядеть вполне безобидно – но кто знает, какие амбиции бередят его душу… Психологическое тестирование при приеме на работу проводили? То-то же. А ведь сисадмин – это человек, к которому сходятся все информационные ниточки в организации. И он может обидеться, может поссориться с кем-то из руководства или, наконец, просто решить, что ему недоплачивают.
Вот реальная история из жизни одной из московских коммерческих фирм. Неожиданно фирму начали беспощадно «ДДосить». Вплоть до того, что стало невозможно обмениваться информацией с деловыми партнерами и филиалами. Плюс началась полнейшая неразбериха с данными во внутренней сети. Админ на все расспросы разводил руками – дескать, фирму кто-то жестоко атакует извне, и он сам едва сдерживает натиск.
Так длилось около месяца, после чего ситуацией заинтересовался заместитель директора фирмы. Тертый жизнью, он никому ничего не говоря пригласил специалистов со стороны. Те, понятное дело, первым делом обратились к провайдеру, где сильно удивились, в первый раз услышав про какие-то DDoS- атаки, происки хакеров и тому подобные вещи. А в доказательство того, что все спокойно, показали логи за последние пару месяцев.
Дальнейшее расследование было делом простейшей техники оперативно-розыскных мероприятий. Прижатый к стенке, сисадмин быстро признался, что все атаки он сымитировал самостоятельно – это несложно было сделать, контролируя, помимо прочего, сервер, через который осуществлялся доступ в Интернет. А не сильно хорошо разбирающееся в компьютерных технологиях руководство фирмы уже почти было готово заплатить «злоумышленникам». Показательно, кстати, что шантажировать собственную фирму системный администратор, оказывается, придумал не сам – подсказал знакомый во время совместной дегустации пива.
Денис Лавникевич
Шантажисты, понятное дело, были отправлены в пешее эротическое путешествие. Но это был повод задуматься: кто-то сшибает деньги по мелочи с наивных блондинок, а кто-то наверняка ловит рыбу покрупнее. То есть шантажирует, скажем, коммерческие фирмы – слишком многие виды бизнеса в наше время зависят доступа в Интернет.
Угрозы реальные и виртуальные
Недолгие поиски подтвердили: в последние годы все больше владельцев сайтов получают письма от мошенников с угрозой проведения DDos-атаки. Конечно, если подобному шантажу подвергается компания с серьезной IT-службой, ее защитой займутся хорошо подготовленные специалисты. Но злоумышленники тоже старательно подбирают жертву, так что на практике с шантажом сталкиваются люди, недостаточно хорошо разбирающиеся в компьютерных технологиях.
Вот классический пример письма от шантажистов (речь о России, так что цена указана в российских рублях):
Здравствуйте.
Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10.000 руб. ежемесячно.
Внимание! Начиная с 26 октября Ваш сайт будет подвергнут ДДос-атаке. Он будет недоступен до тех пор, пока вы не начнете нам платить.
Самое обидное, что злоумышленники действительно могут организовать некую DDоS-атаку. Но, во-первых, навряд ли она будет достаточно серьезной, чтобы нанести реальный вред. А во-вторых, ее отражением, скорее всего, придется заниматься техническим специалистам компании-провайдера. Конечно, провайдер может в результате пересмотреть условия договора (атакуют вас, а страдает он) – но это уже совсем другая тема.
В любом случае, если сайт размещен на виртуальном хостинге или collocation у серьезного провайдера, вряд ли нужно беспокоиться. Конечно, современный уровень развития бот-сетей позволяет атаковать ресурсы (сайты) с мощностью, которую не выдержит ни один интернет-провайдер. Но тут уже возникает…
Цена вопроса
Как и многое другое, проблема атаки в Интернете измеряется деньгами – серьезная атака стоит денег, равно как и хорошая защита от нее. Однако вот принципиально важный момент: стоимость организации серьезной DDоS-атаки в Интернете на порядки выше, чем затраты на защиту от нее.
По сути, злоумышленники могут реализовать один из двух сценариев. В первом случае будет проведена достаточно «легкая» DDоS-атака: злоумышленники просто покажут, что, дескать, «мы это можем». Создать ботнет для такой атаки способен даже недоучившийся студент-компьютерщик. Тем более, что в последние годы в Сети уже появились средства автоматизации создания ботнета. Однако эффективность подобной атаки с точки зрения информбезопасности близка к нулю – это что-то вроде швыряния ботинка в американского президента. С уверенностью можно сказать, что, скорее всего, второй атаки не последует – причем независимо от того, «купится» жертва на угрозы, или нет. Шантажисты просто не смогут организоваться вторую – уже серьезную – атаку.
Но может иметь место не шантаж, а вполне конкретный «спор хозяйствующих субъектов» или передел какого-либо рынка. Вот тут-то атакующая сторона уже может себе позволить раскошелиться на «настоящую» DDоS-атаку. Впрочем, DDоS-атака, которую будут обсуждать в газетах (то есть действительно результативная), стоит от миллиона долларов и выше. А если задействованы такие цифры – значит, про простой шантаж речь уже не идет.
Защита
«Самый надежный способ защитить сайт – это его отключить». В этой шутке есть часть грустной правды, основной метод защиты от DDоS – это блокировка всего трафика такого сайта по определенному направлению (с которого преимущественно идет атака). Провайдер, безусловно, должен продержаться некоторое время, для того чтобы понять, с каких направлений атакуют. К сожалению, как правило, это «макро»-направления (Америка, Европа, Россия). Если атакуют со всех направлений одинаково сильно – проще действительно «отключить» сайт.
Но, к счастью, до этого доходит не так часто. Достаточно хорошо оснащенный провайдер имеет в своем арсенале (помимо описанной выше техники «отключения» по направлениям») средства распознавания и фильтрации атакующих пакетов трафика и/или средства буферизации между сайтом клиента и Интернетом, которые способны нести сверхвысокие нагрузки при атаке. Есть еще всякие хитрости, которые позволяют эффективно «бегать» от атаки мощного, но не сильно поворотливого ботнета. Ну и, конечно, все вышесказанное имеет смысл, только если провайдер имеет достаточную мощность опорной сети и внешних подключений.
Что делать, если вы получили подобное письмо? Не придавать значения, обратиться к провайдеру, обратиться в правоохранительные органы? Что нужно сделать, если есть подозрение о начале атаки (сайт недоступен или плохо доступен)?
Во-первых, сам факт посылки письма с угрозами – уже злодеяние, даже если никакой DDоS-атаки даже и не планировалось. То есть уже можно обращаться в правоохранительные органы. Но это уже не мне вам советовать – обращайтесь к юристу фирмы. Вероятность того, что вас просто «берут на испуг», достаточно высока, так что стоит ли беспокоить дядю-милиционера – вопрос отдельный.
Если же вы заметили, что атака все же началась (а ваш провайдер вам еще не сообщил об этом), немедленно «порадуйте» круглосуточную службу технической поддержки своего провайдера и следуйте ее инструкциям, если от вас что-то зависит в этой ситуации. Если у вашего провайдера нет такой службы, она спит на посту или бездействует после вашего обращения – срочно смените провайдера.
Фактор сисадмина
Отдельный фактор риска – системные администраторы. Поросший свитером и длинными волосами любитель пива может выглядеть вполне безобидно – но кто знает, какие амбиции бередят его душу… Психологическое тестирование при приеме на работу проводили? То-то же. А ведь сисадмин – это человек, к которому сходятся все информационные ниточки в организации. И он может обидеться, может поссориться с кем-то из руководства или, наконец, просто решить, что ему недоплачивают.
Вот реальная история из жизни одной из московских коммерческих фирм. Неожиданно фирму начали беспощадно «ДДосить». Вплоть до того, что стало невозможно обмениваться информацией с деловыми партнерами и филиалами. Плюс началась полнейшая неразбериха с данными во внутренней сети. Админ на все расспросы разводил руками – дескать, фирму кто-то жестоко атакует извне, и он сам едва сдерживает натиск.
Так длилось около месяца, после чего ситуацией заинтересовался заместитель директора фирмы. Тертый жизнью, он никому ничего не говоря пригласил специалистов со стороны. Те, понятное дело, первым делом обратились к провайдеру, где сильно удивились, в первый раз услышав про какие-то DDoS- атаки, происки хакеров и тому подобные вещи. А в доказательство того, что все спокойно, показали логи за последние пару месяцев.
Дальнейшее расследование было делом простейшей техники оперативно-розыскных мероприятий. Прижатый к стенке, сисадмин быстро признался, что все атаки он сымитировал самостоятельно – это несложно было сделать, контролируя, помимо прочего, сервер, через который осуществлялся доступ в Интернет. А не сильно хорошо разбирающееся в компьютерных технологиях руководство фирмы уже почти было готово заплатить «злоумышленникам». Показательно, кстати, что шантажировать собственную фирму системный администратор, оказывается, придумал не сам – подсказал знакомый во время совместной дегустации пива.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 44 за 2009 год в рубрике интернет
