Метки

, , , , ,

Интересная статья буквально недавно попалась мне в руки. То, о чем говорится в ней, так или иначе, касается нас с вами. Ведущий специалист по информационной безопасности IBM Internet Security Systems Денис Батранков делится своими мыслями по поводу DDoS атак в Интернете.

Черт с этими DDoS атаками, они же нас на прямую не касаются, большинство из нас в Интернет заходят ради интереса, а не с коммерческой целью, у нас нет серверов и провайдорских полномочий… А вот косвенно, с легкой руки хакера мы вполне можем перекочевать от безобидного малого в злостного кибер-террориста. Не думаю, что все должно закончиться как по фильму, когда полицейские окружают дом и штурмом арестовывает преступника — иначе пострадают неповинные люди, но…

«… Многие считают, что защиты от DDoS атак, специально запруживающих каналы передачи данных не существует. Однако, мы в России просто про эти решения не знаем. В этой статье вы узнаете о трех типах DDoS атак и имена тех производителей и компаний, которые предлагают решения по защите от распределенных атак типа отказ в обслуживании направленных на заполнение пропускной способности каналов.

Источник угрозы

Представьте себе, что сейчас на ваш WEB сервер одновременно подключатся 100 тысяч человек из Интернет и попытается загрузить ее главную страницу. Хватит ли пропускной способности канала в Интернет? Как защититься от злонамеренной перегрузки ваших каналов связи?

Определения

В сети Интернет есть большое число зараженных компьютеров, которые выполняют удаленно команды, в том числе по команде могут подключаться и загружать любые страницы с любого WEB сервера. Такой управляемый компьютер называет ботом. Множество таких управляемых компьютеров называется бот сетью. Каждый такой компьютер в этой сети — зомби, который всегда готов выполнить команду своего повелителя. В составе такой бот сети может быть одновременно до нескольких сотен тысяч компьютеров.

DDos-атака. Кто, как, почему... А вы случаем не участвуете?

 

Кто предоставляет компьютеры для бот сети

Реальные владельцы компьютеров чаще всего не подозревают, что кто-то может управлять их компьютером удаленно. Сейчас троянские программы работают незаметно и мы, не замечая этого, позволяем неизвестным людям использовать ресурсы наших компьютеров для их собственных целей. Люди, которые управляют такой большой бот сетью могут шантажировать крупные компании, владельцев интернет магазинов, интернет-казино, новостных сайтов, платежных систем и других популярных ресурсов, предлагая заплатить выкуп за то, что они не будут атаковать их при помощи своей бот сети.

Определенно, такие вычислительные ресурсы представляют явный практический интерес. Можно не только проводить DDoS атаки, но и рассылать спам или проводить распределенные вычисления, например подбор пароля. Поэтому, очень часто проводятся попытки украсть бот сеть. Чтобы зомбированный компьютер воспринял команду от хозяина нужно доказать, что ты хозяин, например при помощи пароля. Если этот пароль подобрать, то есть шанс стать хозяином небольшой стаи компьютеров. Например, это возможно для сети на основе ботов BlackEnergy, которые защищены только паролем.

Пример 1. Самые большие бот сети
Обнаружена новая бот сеть под названием Kraken, включающая порядка 400 тысяч компьютеров. Размеры бот сети превосходят всемирно известную бот сеть Storm, размер которой около 100 тысяч компьютеров. Источник: компания Damballa на конференции RSA 7.04.2008

Спросите у самого себя: а какие у меня гарантии, что мой компьютер не входит в бот сеть? Дает ли такие гарантии установленный сигнатурный антивирус? Непохоже. По статистике 40% компьютеров входящих в бот сеть имеют антивирус, который не определяет, что компьютер заражен. Дает ли гарантии установленный поведенческий антивирус или система предотвращения атак? Возможно, но многие люди даже не знают что это такое. И, слово специально, уходя с работы никогда не выключают компьютер.

Любой может стать соучастником DDoS атаки

Для того, чтобы ваш компьютер стал участником DDoS атаки совершенно необязательно, чтобы на нем была уязвимость или установлен какой-то злонамеренный код. Код для атаки может быть у вашего соседа в сети или на популярном сайте в Интернете. Так Trojan-Downloader.JS.Agent вставляет вредоносный javascript во все соседние компьютеры при помощи атаки ARP spoofing, пока они грузят странички в своим браузером из Интернет. Это может быть любой код, включая код для проведения DDoS атаки. Вот этот код в вашем браузере выполнит 10000 соединений с любым сайтом.

…..

Если вы читаете какую-то страницу через WEB браузер, например страницу с этой статьей, и в ней будет внедрен этот javascript код, то вы становитесь соучастником DDoS атаки и 10000 раз нападете на выбранный автором скрипта сайт. А если эту статью прочтет 10000 человек, то на сайт уже будет осуществлено уже 100 000 000 (100 миллионов) соединений. Другой вариант, если один из пользователей вставит этот javascript в сайт, где контент сайта заполняется самими пользователями (форумы, блоги, социальные сети), то помогать в осуществлении атаки будет любой человек зашедший на сайт. Например, если это будут odnoklassniki.ru, где уже 20 миллионов пользователей, то теоретически можно осуществить атаку на сайт при помощи 200000000000 (200 миллиардов) соединений. и это не предел Так что вы уже представляете себе масштаб угрозы. Защищаться надо. Как владельцам сетевых ресурсов от атак, так и пользователям

Пример 2. Как осуществить DoS атаку на WEB сервер при помощи двух отверток и браузера.
Запускаете Internet Explorer, вводите адрес необходимого сайта, одной отверткой фиксируете кнопку Ctrl, другой F5. Количество запросов в секунду, которые будет посылать ваш Internet Explorer может затруднить работу сайта и даже помешать другим людям посетить это же ресурс.

 

К DDoS атаке надо готовиться заранее

Интернет достаточно агрессивная среда, чтобы начинать в нем бизнес, не позаботившись о своей защите. Но многие компании живут в нем согласно поговорке: пока гром не грянет, мужик не перекрестится. DoS и DDoS атаки отличаются тем, что с ними невозможно бороться без предварительной подготовки. И вдобавок, и это еще хуже, с ними все равно сложно бороться, даже если вы подготовились заранее. Если сейчас страдают DNS и WEB сайты, то на подходе угроза таким все более популярным сервисам как VoIP и IPTV.

Пример 3. DDoS атаки на правительственные сайты Эстонии и Грузии
Атаки против эстонских и грузинских правительственных сайтов начались после переноса властями статуи Бронзового солдата из центра Таллина на окраины и начала боевых действий между Грузией и россией на территории Северной Осетии. В результате многие правительственные сайты этих стран перестали работать. Пики атак представляли собой лавину запросов, иногда до 5 миллионов в секунду против обычной посещаемости 1-1,5 тыс. в день. В этих атаках обвинили Россию, тем более, что некоторые российские хакеры брали на себя ответственность за эти действия.
DDos-атака. Кто, как, почему... А вы случаем не участвуете?

К сожалению, многие сервера выставляются в Интернете даже без защиты межсетевым экраном, не говоря уже про более сложные системы защиты типа систем предотвращения атак. В итоге, в тот момент когда начинается атака, выясняется, что защищаться нечем и компании вынуждены тратить драгоценное (в момент атаки) время на простые вещи, такие как установка межсетевого экрана на сервер, установка системы предотвращения атак или переход к другому провайдеру. Но, поскольку DDoS атаки даже с установленными системами защиты сложно остановить, а в момент атаки у вас не будет времени на выбор верного способа защиты, то вы сможете положиться лишь только на средства защиты своего провайдера.

Денис Батранков
консультант по информационной безопасности IBM Internet Security Systems, batrankov@ru.ibm.com
•••
Сколько зарабатывают на DDoS-атаках

DDoS– атаки — это сегодня прибыльный мировой бизнес, целая индустрия со своей инфраструктурой, службами и иерархиями.

То и дело в Интернете можно услышать: «Liberty Reserve лежит, Pecunix под DDoS-ом, E-gold вырубили на несколько часов» и т.д. Во всемирной паутине сегодня разгораются настоящие войны между владельцами ресурсов и организаторами ДДоС-атак.

И порой побеждает в них не закон и порядок, не ум и совесть а, тот, кто лучше позаботился о безопасности своего сайта. DDoS– атаки — это сегодня прибыльный мировой бизнес, целая индустрия со своей инфраструктурой, службами и иерархиями.

В ней есть лидеры и аутсайдеры, профессионалы и новички, пришедшие попробовать себя в деле так называемой «нейтрализации» сайтов. С одним из таких специалистов по DDoS- атакам нам удалось связаться и впервые публично в Интернете обсудить деятельность ДДоСеров и все что связано с этой экзотичной профессией. Естественно, что специфика его деятельности не позволяет ему раскрывать своего лица, так что наш собеседник предпочел называть себя ником 911.

TJ: Насколько сегодня популярен метод устранения конкурентов с применением ДДоС атак?

Этот способ эффективен, поэтому и популярен. Интернет уже достаточно плотно «обжит» бизнес- сообществом, конкуренция высокая и, чтобы уверенно работать и зарабатывать стандартных бизнес моделей не достаточно.

TJ: Увеличивается ли количество заказов, может, и постоянными клиентами располагаете?

Да, со временем заказов становится больше, причем львиная доля заказчиков — постоянные клиенты.

TJ: О, с Вами приятно беседовать, хорошо говорите на русском языке ( От редакции — текст интервью подвергся минимальной редакторской обработке). А какое образование у сегодняшнего ддосера?

Среда ДДоС- специалистов неоднородна. Последнее время на рынок вышли деятели вообще без образования — школьники и студенты, которые пытаются «заколотить копеечку», однако методы их работы отличны от профессионалов, но и цены на их услуги во много раз ниже.

TJ: Что изменилось в ценовой политике за год, цены на услуги растут?

Все зависит от конкретного исполнителя и заказчика. В этом бизнесе очень много посредников и каждый пытается откусить от пирога как можно больший кусок. За год ситуация изменилась, но незначительно. Для постоянных заказчиков цены у ддосеров понизились, но и жертвы ДДос-а налаживают оборону, соответственно ДДоС против них становится дороже

TJ: Расскажите, а как формируется цена?

В первую очередь цена зависит от «таргета» (атакуемый ресурс):

• от ширины полосы пропускания его хостинга
• датацентра
• наличия защитного программного и аппаратного обеспечения
• от уровня технической подготовки и опыта специалистов хостинговой компании.

Чем шире канал у таргета, тем проблематичнее реализовать атаку и тем сложнее продержать ее в течении необходимого заказчику времени. К этой цене прибавляются гонорары исполнителей и посредников, которые ведут переговоры с заказчиком и принимают деньги.

TJ: Важным является вопрос цены на защиту от DDoS- атак. Пролексис обещает за 20к хоть атомную бомбу отразить…Реально ли, выражаясь Вашим языком, «уронить» такую защиту?

Реально, но очень сложно и дорого, нужен очень большой ботнет. Цены на такие атаки начинаются от 10000$ в день.

TJ: В какой сфере бизнеса чаще всего производят DDoS- атаки на сайты? Проще говоря, что заказывают?

Естественно, заказывают чаще всего ДДоС компаний, бизнес которых максимально переплетается с электронной коммерцией. Но ДДоС индустрия живет не только заказами, большие деньги ддосерам приносит вымогательство.

TJ: Да, это сегодня очень актуально. Расскажите, каковы доходы от такого рода деятельности и кто может выступать объектом вымогательства?

Проще всего вымогать деньги из компаний, которые занимаются нелегальным бизнесом, как например, HYIP-ы, которые не могут обратиться за помощью. Однако, они умеют бороться с ДДоС-ом, так как в этой среде такое явления обычное.
Далее следуют: букмекерские конторы, Интернет- казино, Интернет- процессинги.

TJ: Каков средний доход вымогателя с одного ресурса?

Порядка $40к. Но, компаниям проще заплатить эти деньги, чем терпеть огромные убытки.

TJ: Поступают ли заказы на обменные пункты электронных валют, платежные системы, Интернет- банки? Вымогают ли ДДоСеры у них?

Поступают, но что касается «обменников» и «платежек», то заказчиками скорее являются их конкуренты, а не вымогатели

TJ: Какую платежку сегодня, на Ваш взгляд, тяжелее всего атаковать?

Не стоит связываться с теми, у кого длинные руки — кто работает и имеет контакты со спамерами, кардерами, ботнетчиками, балкхостерами и другими представителями нелегального бизнеса в сети. Те кто стоит за такой платежкой, могут с легкостью вычислить ДДоСера.

TJ: То есть, получается, что чем масштабнее и известнее платежная система, тем труднее ее вывести из строя. Соответственно напрашивается вывод, что тяжелее всего «уронить» E-gold и PayPal?

Не совсем так. Если бы у меня было два заказа равные по прибыльности: E-gold или, например, Fethard, то я бы занялся ДДоС-ом Е-gold, так как в кругах андеграунда руки у «Фета» длиннее.

TJ: Какой бюджет может составлять ДДоС крупной платежки. Например, во сколько бы Вы оценили недавнюю атаку Pecunix , длившуюся более месяца?

На вскидку не скажу, нужно изучить инфраструктуру их сети и т.п.
Предполагаю, что себестоимость месяца такого DDoS-a обошлась опытному специалисту не более 20k- 30k USD.

TJ: Допустим, ДДоСер делает кратковременную атаку сайта, а потом приступает к вымогательству денег с его владельца. Какова для него себестоимость такой «мини- атаки»?

Себестоимость кратковременного ДДоС-а ничтожна. Однако ДДоСер должен поддерживать свой ботнет в рабочем состоянии, да и атаку нужно тоже провести в нужное время.

TJ: Просто, если наш читатель владелец Интернет- магазина, у которого начинают вымогать деньги, он задается вопросом: «Что делать?» Далее, начнется психологическая война. Или он захочет переждать, надеясь, что ДДоСерам надоест тратить деньги и время, или ддосеры будут ждать, когда у атакуемого субъекта кончится терпение.
Посоветуйте, как себя вести такому владельцу магазина? Особенно если он не может позволить себе защиту за 20000$.

Думаю, такому владельцу Интернет- магазина можно только посочувствовать. Хотя, есть мнение, что уже через год появится достаточное количество антиДДоС хостингов, которые будут решать проблемы ДДоС-а своих клиентов не за 20к, а намного дешевле.

TJ: Можно ли поставить 100% защиту от ДДоСа?

Я думаю вполне можно, но дорого

TJ: И Какой на вскидку будет бюджет? Ведь, например, сервера Пентагона «уронить не возможно». Интересно, сколько такие структуры тратят на защиту от ДДоС — а?

Все зависит от общей суммарной ширины каналов. Думаю, если поставить такую задачу, то пара сотен тысяч долларов в месяц защитит от любого ддоса.

TJ: Сколько в среднем зарабатывает ДДоСер или ДДоС- контора в годмесяц?

Все зависит от конкретной конторы. Не каждый программист будет писать мощный ДДоС- софт, а тот кто пишет, хочет сверхвысокую ЗП, такая же ситуация и с остальными специалистами. Затратная часть выходит очень высокой, хотя этот бизнес в любом случае сверхприбылен. Норму прибыли я оцениваю на уровне 40-70%.

TJ: Можно ли как-то юридически наказать ДДоСера? Известны ли случаи, когда представителей Вашей профессии официально отдавали под суд и давали срок?

Конечно, это же уголовное дело, тем более, если присутствует факт вымогательства.
Тех же школьников, про которых я упомянул в начале, довольно таки часто карают законом. Ведь их не составляет труда поймать при получении денег и, кстати сказать, та же система WebMooney рада посодействовать в этом.

TJ: А были ли курьезы в работе?

Конечно! Это веселая и интересная работа! Был случай, когда атакуемый узкоспециализированный Интернет- магазин заказал ДДоС своего конкурента, который, как оказалось, сам дал заявку на ДДоС заказчика, причем сделал это первым. В итоге, почти неделю оба магазина были недоступны, а мы получали деньги.

TJ: Да, история действительно комична. А есть ли кодекс чести у ДДоСера? Конкретно у Вас?

Я этим занимаюсь только ради получения прибыли и никогда не связываю работу с какими-то личными амбициями. Известно много случаев когда ДДоСеры атакуют кого-то из мести, например «платежку», которая заблокировала их деньги. Я резко отрицательно отношусь к таким поступкам.

TJ: Ну все-таки, есть ли заказы которые Вы никогда не примите по принципиальным соображениям? Имею ввиду, есть ли черта, которую не переступите? У каждого, конечно, свои нравственно- этические понятия, но все же… Ну например, возьметесь ли за ДДоС религиозного сайта, способны ли Вы провести ДДоС- атаку сайт президента РФ по заказу США?

Я не религиозен, поэтому в этой области ограничений быть не может. А вот в политику я стараюсь не лезть, так как это может быть действительно опасным. Но пока, в моей практике не было заказов, от которых бы я отказался по каким-то нравственным соображениям.

TJ: Не было ли идеи пойти чисто на добровольных патриотичных началах на ДДоС эстонских сайтов во время конфликта из- за бронзового солдата?

Я осуждал эстонские власти в том конфликте, но на добровольных началах я не пошел на ДДоС, так как рисковать ради идей я не собирался. И потом, это уже не заказная атака, а кибер- терроризм

TJ: Ну и в завершении нашей беседы, все таки хотелось бы узнать Ваше мнение, есть ли перспективы у ДДоС- индустрии или она скоро умрет, ввиду появления средств защиты?

У хостеров увеличивается ширина каналов, но и у обычных пользователей-носителей вредоносного ПО также расширяется пропускная способность. Так что, перспективы у DDoS-а есть, и этот вид нелегального бизнеса будет только развиваться, попутно развивая рынок защиты от ДДоС-а…

•••

Вот так просто, мы, не ведая, можем содействовать той или иной кибер-группе в их благих или корыстных целях.
Желаю удачи и будьте бдительны на просторах Интернета!

источник1 | источник2
Copy-paste статей разрешен только в данном виде с указанием имени и ссылки на сайт автора.
Реклама