DDoS-атака на интернет-сайт может стоить заказчику всего несколько сотен долларов. А атакованный ресурс потеряет тысячи и десятки тысяч долларов недополученной прибыли
Зимой правоохранительные органы устроили обыск в главном офисе известной российской интернет-компании, изъяли документы, в том числе договоры и деловую переписку с потенциальными партнерами, рассказывает представитель этой компании. Все компьютеры были конфискованы. Через некоторое время компания заметила странный отток клиентов к конкурентам. А на этапе заключения стратегически важного для нее договора (информация о нем содержалась в изъятых бумагах) началась массированная DDoS-атака, парализовавшая работу серверов на целый день. Ущерб от атаки собеседник «Ведомостей» оценивает в сотни тысяч долларов. Компания подала заявление в МВД и ждет возбуждения уголовного дела.
DDoS по-русски
DDoS означает Distributed Denial Of Service Attack («распределенный отказ обслуживания»). С технической точки зрения это поток сетевых пакетов, идущих от атакующих компьютеров к серверу-жертве. Атаке подвергается либо сервер, либо канал, связывающий его с интернетом. Если сервер не справляется с нагрузкой, веб-страницы, которые он поддерживает, начинают загружаться медленно и становятся вовсе недоступны. Первые DDoS-атаки зарегистрированы в середине 1990-х гг., но первый серьезный прецедент случился в 1999 г.: почти одновременно были парализованы серверы Amazon, Yahoo!, CNN, eBay. По данным Arbor Networks, 1–3% всего мирового интернет-трафика приходится на DDoS-атаки, а в периоды пиковой загрузки этот показатель вырастает до 6%. На всю электронную почту в мире приходится лишь 1,5%.
Зачастую DDoS-атаку как раз и заказывают, чтобы навредить конкуренту, заблокировав работу его интернет-ресурса на определенный срок, рассказывает директор по маркетингу Perimetrix Денис Зенкин. Другие причины — терроризм, хулиганство, месть политическим противникам или недовольство освещением тем в СМИ.
Политика в интернете
Прошлый год ознаменовался целой серией «политических» DDoS-атак. Зимой 2006-2007 гг. массовым атакам подверглись сайты «Марша несогласных» и петербургского отделения национал-большевиков, на которых сообщалось о времени и месте проведения марша. А весной 2007 г. в течение двух месяцев активно атаковались сайты, связанные с запрещенной в России Национал-большевистской партией Эдуарда Лимонова. Пострадал и популярный блогхостинг LiveJournal.com. Представители компании SixApart, которой тогда принадлежал ЖЖ, говорили: атакуют сообщество ru_nbp. В июне 2007 г. мощным атакам подверглись калифорнийские серверы ЖЖ — жертвами были сообщества dрni, ru_рolitics и ru_nаzbol. А в апреле китайские хакеры атаковали сайт CNN в знак протеста против негативных комментариев о политике КНР и будущей Олимпиаде.
Откуда убытки
Атакованный сайт не просто недоступен для посетителей, но и не в состоянии показывать им рекламу, а это для компании прямой материальный ущерб. Гендиректор ИД «Коммерсант» Демьян Кудрявцев оценивал ущерб, нанесенный DDoS-атаками на сайт kommersant.ru в марте этого года, в «десятки и даже сотни тысяч долларов». Некоторые участники рынка связывали ту атаку с прокремлевским молодежным движением «Наши», якобы мстившим газете за нелицеприятную статью.
В сумму ущерба, объяснил «Ведомостям» Кудрявцев, входит недополученная прибыль от продаж рекламы на сайте, а также расходы на защиту от атаки: покупку оборудования, привлечение временных специалистов. После того как система защиты сайта была улучшена, основная атака прекратилась, но перед майскими праздниками было несколько новых всплесков. «Коммерсант» подал заявление в прокуратуру, но ответа пока не получил, говорит Кудрявцев.
Минус репутации
Последствия DDoS-атаки связаны и с нанесением урона имиджу пострадавшего ресурса. В сентябре 2007 г., через неделю после официального открытия делового портала rb.ru, он был атакован, рассказывает представитель портала Ася Мелкумова. Атаки продолжались с сентября по ноябрь, а самые интенсивные случились в октябре в 12.00-18.00, т. е. в период наибольшей посещаемости. «Гасили» атаки вручную — ограничивая возможное число одновременных соединений с одного IP-адреса и контролируя black-лист сервера, говорит Мелкумова.
«Прямого ущерба у нас не было, мы договорились с рекламодателями и “докручивали” их рекламу на других местах сайта в другие дни», — рассказывает главный редактор сайта mobile-review.com Эльдар Муртазин, чей ресурс подвергался массированным атакам в апреле этого года. Он уверяет, что заказчиков атаки обнаружили, ими оказались сотрудники компании, недовольной публикациями на сайте. По словам Муртазина, они компенсировали затраты на организацию защиты (несколько десятков тысяч долларов), а администрация сайта пообещала не жаловаться в правоохранительные органы.
Из опрошенных «Ведомостями» жертв DDoS-атак правоохранители помогли лишь платежной системе ОСМП: по словам представителя ОСМП, сотрудники Управления «К» МВД РФ нейтрализовали прошлогоднюю кибератаку в течение суток. Заказчиков и организаторов атаки не нашли, но следствие идет.
Атака за $150
Существует два способа организовать DDoS-атаку, рассказывает Зенкин из Perimetrix. Программируемый — когда создается управляемая зомби-сеть из зараженных компьютеров («ботнет»), атакующих указанную цель по команде. И автономный — зомби-сеть работает по неизменной программе: например, атакует конкретный узел. Недавно считалось, что самая крупная зомби-сеть — Storm из 200 000 машин, рассказывает гендиректор российского офиса BitDefender Дмитрий Кондаков, но в апреле была обнаружена сеть Kraken, более чем вдвое превосходящая Storm по масштабам. Вредоносная программа, создающая эту сеть, заразила ПК минимум 50 компаний из списка Fortune 500.
Стоит DDoS-атака относительно недорого — в десятки и сотни раз меньше прибыли, которая могла быть получена жертвой за время простоя ресурса, говорит ведущий вирусный аналитик «Лаборатории Касперского» Виталий Камлюк. Стоимость атаки с 10 000 зараженных компьютеров начинается от $150 в сутки; столько компьютеров могут заблокировать среднестатистический веб-сервер, рассказывает Камлюк. Жестких тарифов на проведение атак нет, уточняет Зенкин: услуги начинающего хакера могут стоить 2000-3000 руб. за день атаки, а профессиональная «бомбардировка» сайта профессионалом средней руки — 7000-10 000 руб. Ну а масштабная атака на хорошо защищенный сервер может обойтись заказчику в несколько десятков тысяч долларов.
Кто в ответе
Выявить и поймать организаторов и заказчиков кибератак сложно, за решетку попадают единицы. Единственное известное громкое дело о DDoS относится к 2003 г. Тогда группа российских хакеров атаковала сайты девяти британских букмекерских контор и шантажировала их, угрожая отключением серверов. Чтобы не впасть в убытки, некоторые конторы платили хакерам. Следственный комитет МВД поймал вымогателей, а в 2006 г. трое из них получили по восемь лет колонии и заплатили по 100 000 руб. штрафа. О помощи МВД тогда просило Национальное агентство по борьбе с преступлениями в сфере высоких технологий Британии.
