Соловьи-разбойники. Вполне себе государственный муж — депутат Государственной думы и член российской делегации в ПАСЕ Сергей Марков во время своего визита в Вашингтон сделал скандальное признание: массированные хакерские атаки на веб-сайты эстонского правительства в апреле-мае 2007 года осуществлял его помощник. Для нападения на виртуальное пространство Эстонии использовался вариант кибератаки, который хакеры называют «Свист смерти». Как осуществляется киберагрессия и можно ли ей противостоять — изучал The New Times

Нападение на сайты правительства Эстонии, эстонских СМИ, банков и других организаций было связано с решением эстонских властей перенести памятник советским солдатам из центра Таллина на воинское кладбище. Хотя не было сомнений в том, что в кибератаках участвовали граждане России, никто в то время не предъявлял прямых обвинений российскому правительству в пособничестве правонарушителям. Поэтому признание депутата Маркова вызвало шок у американцев, которые не ожидали такого даже от, как написало одно издание, «сумасшедших Иванов».¹ Какая же технология использовалась против Эстонии?

Отказ в обслуживании
Чтобы обслужить большое число пользователей одновременно, компьютеры, поддерживающие интернет, общаются между собой с помощью небольших «кусочков» информации, которые называются пакетами. Когда один компьютер шлет другому, например, е-мейл или веб-страничку с фотографией, компьютерные программы «нарезают» эти запросы и ответы на пакеты, а принимающий компьютер восстанавливает из них исходные запросы, файлы или е-мейлы. При этом на принимающий компьютер приходит целый «винегрет» пакетов от разных пользователей, но каждый снабжен меткой, которая позволяет его «склеить» с другими пакетами от того же пользователя. Поэтому загрузка большого файла (например, фотографии) одним посетителем веб-сайта не останавливает тысячи других посетителей.

Что же получится, если компьютеру приходит так много пакетов, что его программы не успевают их сортировать, «склеивать» и «понимать» значение приходящих сообщений? Тогда компьютер начинает работать все медленнее и в конечном итоге отказывается принимать боїльшую часть приходящих пакетов вообще, из-за чего пользователи перестают видеть веб-сайт. Это свойство веб-серверов и используют злоумышленники, которые организуют DoS-атаки (от английского Denial of Service — отказ в обслуживании), вызывая так называемый флуд — потоп, «затопление» веб-сайта различными пакетами информации.

У этой простой идеи есть много вариаций. Например, при SYN-флуде, компьютер-злоумышленник шлет запрос на начало диалога с компьютером-жертвой, но затем этот диалог не продолжает и не завершает. Компьютер-жертва выделяет для ведения диалога некоторое количество памяти и ждет достаточно долгое по компьютерным меркам время (пару минут) для продолжения или завершения связи. За это время компьютер-злоумышленник начинает еще несколько тысяч незавершенных диалогов, переполняя память жертвы. Представим, что некий отел­ь получил тысячу фальшивых телефонных звонков о бронировании комнат, но постояльцы так и не явились. В результате отель стоит пустой, но в него никто не может поселиться. Нечто подобное происходит и здесь.

Хозяин марионеток
С обычной DoS-атакой бороться не так уж сложно: достаточно понять, откуда она исходит, и поставить фильтр, используя межсетевой экран, или файрвол (от англ. firewall — стена, предохраняющая от распространения пожара, российские программисты называют ее «брандмауэр»). Сложности начинаются, когда атакующие пакеты идут одновременно из тысяч разбросанных по всему миру компьютеров-зомби, дистанционно управляемых хакером. Обычный домашний компьютер может стать зомби, когда его наивный владелец запускает полученный в спаме файл с вирусом или заходит на сайт, который запускает злокачественную программу. Поселившаяся в компьютере «троянская» программа принимает приказы от своего повелителя-хакера и шлет пакеты по указанному им адресу жертвы, на которую неожиданно валятся пакеты от всех зомби-компьютеров. Такой вид DoS-атаки называется DDoS-атака (Distributed DoS-attack, то есть распределенная DoS-атака).

Еще более массированным оружием информационного поражения являются «отраженные» DDoS-атаки (DRDoS-attack). В них компьютеры-зомби используют вспомогательные жертвы — «отражатели», посылая им запросы и указывая, в качестве обратного, адрес главной жертвы. В результате сайт жертвы забрасывается пакетами, исходящими от вполне доб­ропорядочных веб-сайтов, которые честно пытаются ответить на поддельный запрос. Образуется цепочка хакер-хозяин — зомби-компьютеры — жертвы-отражатели — главная жертва.

Хакеры, которые запускают такие атаки, совсем необязательно являются компьютерными гениями. Дейв Диттрих, эксперт по компьютерной безопасности из Университета Вашингтона утверждает, что первые автоматические средства для проведения DDoS-атак появились еще в 1998 году. А сети из компьютеров-зомби можно просто... взять на прокат за деньги у преступных хакерских группировок. Именно такой вариант мог иметь место во время атаки хакеров на Эстонию.² На это, в частности, указывает то обстоятельство, что атака прекратилась не­ожиданно — возможно, просто истекло оплаченное время.

«Свист смерти»
Против Эстонии использовался как SYN-флуд, так и вариант DDoS-атаки под названием «Свист смерти» (Ping of Death). По словам Хиллара Аарелайда, главного «киберзащитника» Эстонии (интервью с ним опубликовала газета The New York Times), одним из источников атак был компьютер с адресом, связанным с администрацией тогдашнего российского президента В. Путина.

По сведениям исследователя из венгерской организации по компьютерной безопасности (Hun-CERT),³ одновременно на хакерских сайтах наподобие zyklonteam.org появились инструкции на русском языке по ведению атак против Эстонии. При этом первый заместитель пресс-секретаря президента РФ Дмитрий Песков отрицал любую связь российской власти с кибертерроризмом.4
30 апреля эстонцы начали фильтровать все пакеты, приходящие в страну из зоны .ru, но кибератака перешла в другую стадию. Сначала в Эстонию пришел кратковременный «потоп» из пакетов, задачей которого могло быть измерение пропускной способности эстонских сетей. Затем против республики была запущена, по утверждению министра обороны Эстонии Яака Аавиксоо,5 сеть из более чем миллиона зомби-компьютеров, рассеянных от Вьетнама до Перу. Пик атак пришелся на 9 мая. Эстонским СМИ и правительству пришлось временно закрыть свои сайты для любых посетителей вне Эстонии. Пострадали также банки и многие другие сайты.

1 Noah Shachtman. Kremlin Kids: We Launched the Estonian Cyber War. http://blog.wired.com/defense/2009/03/pro-kremlin-gro.html.
2 The New York Times, May 29, 2007. Mark Landler, John Makkoff. Digital Fears Emerge After Data Siege in Estonia, http://www.nytimes.com/2007/05/29/technology/29estonia.html?_r=1&oref=slogin.
3 Beatrix Toth. Estonia under cyber attack. Hun-CERT, www.cert.hu/dmdocuments/Estonia_attack2.pdf.
4 BBC News http://news.bbc.co.uk/2/hi/europe/6665195.stm.
5 The Washington Post. May 19, 2007. Peter Finn. Cyber Assaults on Estonia Typify a New Battle Tactic. http://www.washingtonpost.com/wp-dyn/content/article/2007/05/18/AR2007051802122.html.

Первые простейшие инструменты DDoS (пока даже менее эффективные, чем координированные DoS-атаки) разрабатывались в мае-июне 1998 года в «подполье» — в маленьких сетях.

Самые громкие кибератаки
17 августа 1999 г. — сетевые центры и служба безопасности Университета Миннесоты объявила о кибератаке. Кампус был отключен от интернета 3 дня.
8–12 февраля 2000 г. — атакованы сайты, которые занимались продажами по интернету (Yahoo, eBay, Amazon).
21 февраля 2002 г. — DDoS-атаки обрушились сразу на несколько американских серверов. Причиной стало присуждение победы на зимней Олимпиаде в Солт-Лейк-Сити американскому конькобежцу Аполо Оно, хотя первым на дистанции 1500 метров пришел корейский спортсмен Ким Дон Сун. Поток писем с угрозами в адрес американского спортсмена с компьютеров, расположенных в Южной Корее, почти на 8 часов блокировал электронную почту американской сборной.
20 июля 2008 г. — начало хакерских атак на грузинские правительственные сайты. Почти за месяц до грузино-югоосетинского конфликта, писала газета The New York Times, американские эксперты сообщили о потоке данных, направленных на грузинские сайты со стороны России, со словами «победа+любовь+Россия». Хакерские атаки приводили также к блокированию запросов и отказу в доступе к сайтам.

В России жертвами электронных нападений не раз становились оппозиционные организации и независимые издания. Вебатакам подвергались «Мемориал», «Права человека в России», «Марш несогласных», «Объединенный гражданский фронт», «Другая Россия», Каспаров.ру,
«Грани», «Эхо Москвы», The New Times и другие.

Можно ли противостоять кибератакам?
Майкл Гилл — The New Times

Насколько опасны хакеры с DDoS-атаками для обычных коммерческих сайто­в?
DDoS-атакам уделяется много внимания, но гораздо больше проблем с компьютерной безопасностью возникает из-за халатности пользователей: слабых паролей, нерегулярного обновления операционных систем и антивирусов, и особенно из-за действий инсайдеров. В той же Эстонии злоумышленники изменили странички нескольких сайтов и поместили там надписи «Веб-дозор: Эстонии позор», фотографии советских солдат с плакатами. Как правило, это не связано с DDoS-атаками. Самый серьезный подобный случай в моей практике случился с участием инсайдера. Крупная компания уволила сотрудника, которого наняла, чтобы провести независимый аудит по безопасности, но не поставила об увольнении в известность своих IT-специалистов, которые в таких случаях должны немедленно сменить все пароли. В результате уволенный использовал знание паролей и инфраструктуры компании, чтобы взломать почти два десятка сайтов на ее серверах. Злоумышленника арестовало ФБР, и он провел несколько лет в тюрьме.

Как предотвратить превращение компьютера в «зомби»?
Практически все «зомби» — это домашние компьютеры или компьютеры в малых компаниях, у которых нет нормального IT-персонала. В корпоративной сети IT-специалист с большой вероятностью заметит поток аномальных пакетов и остановит их. В домашних компьютерах пользователи часто используют слабые пароли. Начинающие пользователи открывают незнакомые файлы, приходящие со спамом, не обновляют регулярно версии операционной системы или антивирусов, посещают бесплатные порносайты и другие ресурсы, которые содержат код для превращения компьютера в «зомби».

Какие преимущества получают хакеры, если их использует в своих целях государство?
Государство может, например, помочь хакерам подключиться к ресурсам интернета с высокой пропускной способностью. Это позволяет быстро рассылать огромное количество пакетов и обходить все ловушки, которые в обычном случае ставит на его пути локальный провайдер.

Как компания или организация могут защитить свои сайты?
Защита от DDoS-атак — довольно сложное дело. Можно фильтровать пакеты — например, отвергать запросы из определенной страны. Но это далеко не всегда помогает, потому что атакующие пакеты успевают забить очередь до программы-фильтра. Кроме того, в DDoS-атаках часто подделывается обратный адрес, а сами пакеты летят со всех сторон.
Более сложный способ защиты — анализ, через какое соединение пришли пакеты. Например, если пакет из сети компании IBM обычно приходит через сервер, который находится в Хьюстоне, а вдруг пришел из Лос-Анджелеса, то это необычно. Такие пакеты можно завернуть, хотя пострадает и часть нормальных пользователей.
Существуют и другие технические ухищрения, но в случае глобальных атак на сети целых государств требуется координация действий крупных интернет-провайдеров. Я искренне надеюсь, что у американских и европейских провайдеров есть план, что делать при таком сценарии.

Майкл Гилл — основатель компании CIO Systems, которая предоставляет услуги по сетевой безопасности компаниям Силиконовой долины.

Shares
facebook sharing button Share
odnoklassniki sharing button Share
vk sharing button Share
twitter sharing button Tweet
livejournal sharing button Share