Версія для друку 25 січня 2013 року

Первый украинский киберфронт

В прошлом году украинцы впервые столкнулись с масштабными «боевыми действиями» в сети Интернет. Продолжение, очевидно, следует… Прошедшие в 2012 году парламентские выборы были интересны не только с политической точки зрения. Они убедительно засвидетельствовали: и в Украину приходят новые времена, которые во всем мире называют информационной эпохой. Совсем неожиданно оказалось, что современная политика уже невозможна без Интернета и социальных сетей.

Однако у этого процесса оказалась и обратная сторона. Парламентская избирательная кампания достаточно наглядно продемонстрировала, что вопросы информационной безопасности постепенно становятся в один ряд с первоочередными проблемами любой политической или коммерческой структуры, претендующей на успешность.

Волны яростных DDoS-атак

В мире так называемые DDoS-атаки применяются давно, они стали достаточно серьезной проблемой индустрии высоких технологий. Это относительно простой и эффективный – хотя и недешевый – способ нарушить или даже заблокировать работу сервера оппонента. Его суть в том, что сама атака выполняется одновременно с большого числа компьютеров. Именно в этом случае и говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»).

Для реализации DDoS-атак злоумышленники, как правило, используют ботнеты – сети из зараженных программами-червями компьютеров, расположенных по всему миру. Крупные ботнеты могут включать десятки и сотни тысяч компьютеров. Пользователи этих машин, скорее всего, не подозревают, что их компьютеры заражены вредоносными программами и используются хакерами. Ботнеты создаются путем рассылки вредоносного программного обеспечения, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета. Поэтому оказывается возможным организовать согласованные действия компьютеров-зомби по атаке веб-сайтов и других ресурсов.

Эффективным способом осуществления DDoS-атаки является отправка машинами-зомби таких запросов к веб-серверу, которые потребуют существенных затрат вычислительных ресурсов на обработку. Поэтому злоумышленники стараются выявить в используемом на сервере программном обеспечении функции, которые можно задействовать для создания дополнительной нагрузки на сервер. Часто такие функции вызываются при обработке данных форм регистрации и т.п.

По данным Лаборатории Касперского, Украина в первом полугодии 2012 года заняла девятое место в мире по количеству компьютеров, зараженных популярными семействами DDoS-ботов, которых на ее территории насчитали примерно 3%. Интересно, что на первом месте за этот период времени оказалась Россия (15,35%), на втором — Индия (11,12%), третье занял Китай (8,15%). Самая протяженная DDoS-атака, зафиксированная в первом полугодии, продолжалась 94 дня 4 часа 58 минут и была нацелена на сервер онлайн-игры, при этом средняя продолжительность DDoS-атак составила 16 часов 24 минуты.

Неудивительно, что на Западе, где Сеть уже стала неотъемлемой частью экономики, подобные приемы могут принести множество неприятностей – прервать отправление очень важного документа, помешать проведению видеоконференции, не дать заключить сделку с клиентом и многое другое. То есть DDoS-атака – это классическое средство экономического давления: вынужденные простои службы, приносящей доход; буквально астрономические счета от провайдера и меры по уходу от атаки ощутимо бьют конкурента по карману.

Кроме этого, отказ атакуемой системы может быть одним из способов овладения системой (если в нештатной ситуации программное обеспечение выдает какую-либо критическую информацию, например версию, часть программного кода и т. д.). Неудивительно, что достаточно часто ущерб может измеряться десятками тысяч долларов.

Аспект

А как у нас?

В Украине ситуация немного иная. Государство только присматривается к принципам построения работы по технологии «электронного правительства». Партийные сайты скорее являются источником официоза, чем электронным инструментом управления. И тем не менее во время избирательной кампании сообщения о DDoS-атаках на различные интернет-ресурсы напоминали сводки с киберфронта. Накануне выборов хакерским атакам подверглись десятки интернет-ресурсов по всей Украине.

Так, в результате DDoS-атак «падали» сайты партий «Батьківщина», «Фронт змін», персональные сайты Юлии Тимошенко, Анатолия Гриценко, Александра Турчинова и Арсения Яценюка. На хакерские атаки также жаловались ВО «Свобода» и Киевская областная организация «УДАРа». По сообщению пресс-службы Партии регионов, нападению подвергся и их официальный интернет-ресурс.

Кроме партийных ресурсов были атакованы сайты гражданской сети «ОПОРА», сайт и два проекта Комитета избирателей Украины, проекты «Интерньюз-Украина», сайт «Майдан», российское информационное агентство «Новый регион». А 30 октября Государственная служба специальной связи и защиты информации Украины сообщила, что в день выборов DDоS-атака также велась на сайты Центральной избирательной комиссии и Президента Украины.

При этом стоит особо отметить, что большая часть подобных нападений, как правило, остается неизвестной. Несмотря на горячий прошлый год, по данным уже упоминавшейся Лаборатории Касперского, количество DDоS-атак даже уменьшилось. То есть мы видим всего лишь надводную часть айсберга, когда нам сообщают о проблемах у политических интернет-ресурсов. И это понятно: бизнес просто не желает демонстрировать свою уязвимость.

Пример

Локальный армагеддон

Пример такой уязвимости в начале 2012 года продемонстрировали украинские государственные сайты. Все началось 31 января, когда милиция пресекла деятельность веб-ресурса ЕХ.ua, который обвинили в нарушении прав интеллектуальной собственности. По данным управления по связям с общественностью МВД Украины, во время обысков оперативники изъяли 200 серверов с общим объемом нелегального контента более 6000 терабайт.

После этого в социальных сетях появились призывы к атакам на сайты органов власти. Буквально через несколько суток государственным интернет-ресурсам Украины пришлось пережить небольшой армагеддон. На протяжении достаточно длительного времени (несколько суток и более) не работали или работали с перебоями сайт МВД Украины, интернет-представительство Президента Украины, сайты Службы безопасности Украины, Национального банка Украины, Антимонопольного комитета, Государственной налоговой службы и Кабинета Министров.

Во время этой небольшой войны на связь с автором интернет-издания «Украинская правда» вышел один из организаторов нападения и сообщил, что в атаке было задействовано около 500 профессионально подготовленных специалистов, а также к ним примкнули около 100—300 тысяч обычных пользователей. По сообщениям СМИ, не осталась в стороне от украинских «разборок» достаточно известная международная хакерская группа Anonymous, которая часто принимает участие в атаках на государственные сайты. Так, например, с Anonymous связаны атаки на сайты министерства внутренней без-

опасности США, ЦРУ, службы MI6, министерства внутренних дел Великобритании и министерства юстиции США.

Главным результатом этого противостояния в Сети стал не столько срыв работы сетевых представительств украинской власти, сколько достаточно серьезный удар по ее имиджу. Даже то, что милиция направила регистратору домена EX.ua документ с отзывом представления о блокировании, было интерпретировано исключительно как проявление слабости силовых структур.

Опыт

Заветы «Красного октября»

Стоит отметить, что универсальных методов защиты от DDoS-атак не существует. На практике используются различные защитные инструменты, затрудняющие проведение атак и снижающие ущерб от них. Важно, чтобы программный код сайта был хорошо оптимизирован, публикуемый контент кэшировался, а количество точек создания нагрузки было сведено к минимуму.

Гораздо более эффективны защитные инструменты, работающие на уровне хостинг-провайдера. Провайдер обладает более подробной информацией о характеристиках атаки и может в деталях наблюдать направления ее развития. Более того, хостинг-провайдер в состоянии «зафильтровать» атаку таким образом, что атакующие запросы просто не будут доходить до сервера, при этом сохранится доступность сервера для запросов добросовестных посетителей.

Не стоит сбрасывать со счетов и то, что достаточно часто в противостояниях в Интернете приходится иметь дело не с одиночками или группами, а целыми сетевыми структурами. Так, эксперты Лаборатории Касперского в процессе расследования серии атак на компьютерные сети международных дипломатических представительств пришли к выводу, что операция, известная еще с 2007 года под кодовым названием «Красный октябрь», продолжается до сих пор и за ней стоит масштабная кибершпионская сеть.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия.

Создатели «Красного октября» не просто организовывали атаки, но и разработали собственное вредоносное программное обеспечение, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России.

Анализ инфраструктуры серверов управления показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления. Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов.

Вплотную

Пока только «цветочки»

В прошлом году в Украине достаточно распространенными стали случаи взлома почтовых ящиков и аккаунтов в социальных сетях, целенаправленной рассылки вредоносных вирусов и просто кражи или уничтожения данных. Со всем этим набором во время избирательной кампании пришлось столк­нуться уже и политическим структурам.

Правда, выборы запомнились не только хакерскими атаками. Мы стали свидетелями информационных операций. Наибольший резонанс получил случай с созданием в Интернете фальшивого сайта партии «УДАР», на котором разместили провокационное заявление от якобы лидера этой партии Виталия Кличко и лидера ВО «Свобода» Олега Тягнибока. Был полностью скопирован дизайн официального сайта «УДАРа», подобран похожий интернет-адрес и даже сделана рассылка новости по ведущим интернет-изданиям Украины.

Это лишь наиболее яркий пример. А были еще фальшивые аккаунты в социальных сетях, сайты, маскирующиеся под популярные издания, и т.д. Пожалуй, совсем скоро обкатанные на этих выборах технологии мы увидим в совершенно другом – неполитическом – применении против коммерческих или общественных структур. Таким образом, стоит сделать однозначный вывод: время экономии на защите сетевых ресурсов ушло безвозвратно. И если и дальше не уделять этому вопросу должного внимания, потери – финансовые, репутационные, коммерческие – будут только возрастать.