Алексей Кузнецов: Сегодня мы обсудим обострившиеся проблемы с доступом к различным сайтам, как к блогам, так и просто информационным. А внести ясность в этот сложный вопрос мы пригласили Антона Носика, директора службы блогов компании «СУП».
Итак, Антон, на самом ли деле кто-то, как говорят, «валит» сайты оппозиционеров или, как говорится, у страха глаза велики?
Антон Носик: Ну, то, что сайты «валят», это некая реальность, которой столько же лет, сколько и сайтам. В работе тех или иных сайтов и программных решений, на которых они работают, есть определенные уязвимости, как в любом механизме, и эти уязвимости эксплуатируются вандалами. Это общемировая традиция, которая существует столько лет, сколько существует интернет. Другой вопрос, что время от времени вандалы, которые получили в свои руки эту вот фомку, этот технический инструмент для эксплуатации уязвимости тех или иных сайтов, в какой-то момент могут возомнить себя не обыкновенными киберпреступниками, место которым в правовом обществе в тюрьме, а могут возомнить себя проводниками каких-то политических идей или ценностей, или идеалов. Они могут заниматься тем же самым обычным вандализмом под различными лозунгами и выбирать в качестве мишеней для своего вандализма какие-то такие цели, удар по которым не вызовет недовольство властей.
Это случай не уникальный, это не первый случай в России и не первый случай в мировой истории. Существует много довольно известных кибервойн, когда хакеры определенной страны или определенной идеологии атакуют сайты другой страны или другой идеологии. Это случается достаточно регулярно. Надо понимать, что везде, где это случается, будь это Израиль, исламский мир, Российская Федерация или Америка, в любом случае мы имеем дело с преступниками, которые осуществляют преступные действия, рассчитывая на безнаказанность в связи с тем, что их действия попали в какую-то идеологическую струю.
Екатерина Пархоменко: Тут сразу возникает два вопроса. Ты сказал только что об эксплуатации уязвимости сайтов. Насколько я понимаю, в данном случае идет речь об атаке, которая называется Denial of service , когда запросов так много, что сервер не справляется.
Антон Носик: Да.
Екатерина Пархоменко: А есть ли от нее какая-то защита?
Антон Носик: Безусловно, от атак Denial of service существует защита для тех сайтов, которые подверглись этой атаке. Защита эта достаточно сложная и многоуровневая, и в установке защитных программ участвует не только владелец, администратор сайта, но и также его хостинг-провайдер, по инфраструктуре которого приходится первый удар. Но надо понимать, что DDoS -атака не эксплуатирует в реальности уязвимость сайта web -сервера, она эксплуатирует другую уязвимость, о которой очень интересно было бы поговорить. Дело в том, что если бы хакеры осуществляли DDoS -атаку, то есть присылали бы десятки тысяч запросов в секунду со своего сервера, то…
Екатерина Пархоменко: … поймать их, в общем, ничего бы не стоило.
Антон Носик: Дело не в «поймать». Дело в том, что зафильтровали бы IP этого сервера, и атака бы продлилась те несколько секунд, которые были бы нужны для того, чтобы увидеть этот IP и вставить его в фильтр. Проблема заключается в том, что запросы при DDoS -атаке идут с тысяч разных адресов. Люди, которые сидят за компьютерами по этим разным адресам, даже не имеют представления и понятия о том, что их компьютер в данный момент используется для DDoS -атаки. Потому что их компьютеры заражены «троянским вирусом», троянской программой, которая, собственно говоря, и посылает эти запросы. Поэтому неэффективно фильтровать по адресам, потому что это случайные люди в случайных сетях, и другие люди, сидящие в тех же сетях, не участвуют в атаке, а те люди, которые участвуют, даже не знают, что они в ней участвуют, поэтому фильтрация по IP неэффективна. И в этом смысле самая смешная цитата – это Пентагон, февраль 2007 года. Самая серьезная DDoS -атака случилась 6 февраля, когда были выведены из строя три магистральных сервера всего мирового интернета (всего их 13). В Пентагоне эту крупнейшую в истории человечества кибератаку, крупнейший в истории человечества DDoS прокомментировали так: «У нас есть техническая возможность, и если наш главнокомандующий (то есть президент Буш) нам прикажет, то мы можем, во-первых, произвести киберконтратаку на злоумышленников, а также и физически разбомбить источник атаки». Вот как!
Алексей Кузнецов: То есть разбомбить все те тысячи людей, которые не представляют себе, что они в данный момент атакуют?
Антон Носик: Ну, тот человек в Пентагоне, который сказал эту глупость, он не понимал, что речь идет о зараженных компьютерах. Он думал, что где-то там… То же самое, кстати, эстонские власти сказали по поводу атаки, которой подверглись эстонские серверы. Они тоже представили дело так, что где-то там, в мрачных подвалах Лубянки, стоит жуткий компьютер со своим IP , который ни с чем не спутаешь, и оттуда лупит эстонские серверы. Тогда напрашивается вопрос: почему же не помогла фильтрация Лубянки?
Екатерина Пархоменко: Всего-навсего, да, это очень просто.
Алексей Кузнецов: Фильтрация Лубянки – это звучит гордо, я бы сказал.
Я предлагаю дать слово слушателю. Александр из Москвы до нас дозвонился. Александр, здравствуйте.
Слушатель: Здравствуйте. Я не понимаю, господа, чего вы удивляетесь. Идет война, а на войне главное – достижение победы. Никого ведь не удивляло, когда америкосы во время агрессии против Сербии и Ирака вырубали там информационные сеты. Естественно, что те, кто против Америки, отвечают тем же и ей самой, и ее местным союзникам.
Алексей Кузнецов: Александр и прочие наши слушатели уважаемые, те, кто до нас дозвонятся, я попрошу вас соблюдать максимальную корректность в эфире, иначе я, как тот самый сервер, буду подвергать вас «кибератаке», проще говоря, отключать микрофон. Это я имею в виду разные слова и определения, на мой взгляд, не вполне корректные. Но – на войне как на войне – мнение Александра понятно. Мне кажется, нас-то больше интересует вопрос не технический в данный момент, а общественно-политический. Действительно, есть некие силы, оппозиционные, такие, сякие, и они могут сегодня, насколько я понимаю, вполне уже технически обеспеченно вступать в злонамеренные, так сказать, акции друг против друга. Предположим, есть некая политическая сила (не будем называть и показывать пальцами), она может завалить сервер или несколько серверов, или сайты своих политических оппонентов? И ей ничего за это не будет, если это властная политическая сила?
Екатерина Пархоменко: Да, вот этот вопрос меня тоже очень интересует. Есть ли у нас хоть какое-нибудь правовое регулирование подобных вещей?
Антон Носик: Да, разумеется. У нас есть 272-я статья Уголовного кодекса и 273-я статья Уголовного кодекса, глава «Преступления в сфере компьютерной информации». И есть правовые основания для того, чтобы людей, которые создают эти троянские вирусы, используют эти троянские вирусы, заражают компьютеры людей, рассылают спам, упечь на достаточно долгое время за решетку. Поэтому то, о чем мы можем с уверенностью говорить, это то, что питательной средой для этих вот атак, питательной средой для этого разгула кибербандитизма является попустительство со стороны властей и отказ правоохранительных органов принимать меры к киберпреступникам. Это то, что мы можем с уверенностью констатировать. Дальше о том, что власть это инициирует в смысле, что она это финансирует, что она предоставляет свою инфраструктуру для этого, что в кибератаках задействованы какие-то люди, находящиеся в должности, при исполнении, - все это есть пустые разговоры, без единого доказательства, без единого свидетельства. Это гадание. Но что попустительство власти вкупе с разжиганием определенных эмоций является необходимым и достаточным условием для того, чтобы подобные атаки происходили и расширялись, это безусловно.
Надо заметить все-таки – я бы хотел вернуться к тому, откуда ноги растут, – это бандитизм, и в данном случае имеющий характер вандализма. То есть не преследующий цели обогащении, а преследующий цели разрушения. Как правило, понятно, что это происходит от умственной неполноценности и сексуальной неудовлетворенности тех, кто это делает. Потому что если бы им было чем заняться в своей жизни, они бы этим не занимались. Они бы работу работали, что-нибудь создавали. А так от неспособности что-то создать и от неспособности нормально развлечься, по-человечески, люди занимаются тем, что сделали другие люди, затыкают рты.
Но, как всякий вандализм, как всякий бандитизм, эта тупая, бессмысленная агрессия осмысленных целей, которые могут стоять перед властью, достичь не может. То есть можно завалить сервер такой-то, такой-то и еще такой-то, можно завалить три сервера, можно завалить триста серверов – воспрепятствовать распространению информации в интернете таким способом невозможно. Цель, как правило, достигается противоположным. Каждый сайт, про который начинаются разговоры о том, кто его кто-то гасит и валит, он на этом зарабатывает очень много себе популярности. Поэтому если мы поставим себя на место Кремля как заказчика каких-то акций подавления, понятно, что он стал бы действовать другим путем, не обращаться к помощи этих неуправляемых отморозков и кибершпаны.
Но при этом мы знаем, что всякая власть, которая делает ставку на культ силы, всякая власть, которая делает ставку на сильную, так сказать, вертикаль, и не важно, это власть маоцзедуновская или гитлеровская, сталинская, - она всегда опирается на социально близких, на какие-то элементы шпаны, хунвейбинов, гитлерюгента в обществе.
Алексей Кузнецов: Ну, штурмовиков, условно их назовем.
Антон Носик: Ну, штурмовики, хунвейбины… Эти люди, которых никто не ловит, никто не преследует, и которые в этой связи как бы чувствуют, что они помогают любимой власти…
Алексей Кузнецов: … делать хорошее дело.
Антон Носик: … делать хорошее дело, да. Кстати, собственно, а что, мы забудем царскую власть и Союз Михаила-архангела, черную сотню и другие лоялистские организации, занимавшиеся бандитизмом в форме погромов? То же самое. В общем, правильная аналогия с Николаем Вторым и его поведением в отношении погромщиков. Реально там было бы, естественно, для власти деятельность этих организаций пресекать, они не особо прятались, не особо скрывались, но было чувство, что они делают правильное дело, поэтому власть попустительствовала.
Екатерина Пархоменко: У меня тут вот еще какое есть соображение. Во-первых, правильно ли я понимаю, что в России не было прецедента, чтобы кто то ни было был осужден за подобный компьютерный бандитизм?
Антон Носик: Из всех известных серьезных атак хакерских на российские сайты не было ни одного случая не только осуждения, но и расследования до такой стадии, которое бы позволило передать обвинительное заключение в суд.
Екатерина Пархоменко: Однако я покопалась немножко в памяти и вспомнила историю, как были осуждены, по-моему, саратовские хакеры. Там речь не шла ни о какой политике, так речь шла о том, что они атаковали серверы какой-то букмекерской компании в Лондоне, в Англии, и когда они завалили там несколько раз подряд там эти сервера, они прислали: «А теперь, ребята, если вы не хотите больше, чтобы у вас так происходило в пик обращений, переведите-ка на этот счет такую-то сумму (я точно не помню)». И, насколько я помню, процесс был доведен до конца, потому что англичане решили, что это попускать нельзя.
Антон Носик: Но тут же надо понимать, что такое оказания правовой помощи в рамках международных договоров иностранным коллегам. Это для нашей доблестной милиции ценные подарки, сувениры и командировки за казенный счет в приятные страны. Особенно приятно педофилов ловить по заказу ФБР, потому что это в Вашингтон командировки. И естественно, что они охотно окажут правовую помощь по любому запросу зарубежных коллег, будь то ФБР или Скотланд-Ярд, и будут искать хакеров, потому что правовую помощь оказывать легко и приятно. По собственной инициативе разбираться с такими делами… им проще не принимать заявления.
Екатерина Пархоменко: Тут, на самом деле, вещь, на которую я хотела обратить внимание. И из нее проистекает мой следующий вопрос. Собственно, вот эта история саратовская – хакеры попались ровно потому, что они, так или иначе, дали какие-то о себе сведения, когда они послали эти письма с требованием перевести деньги. Собственно, по ним-то их и разыскивали.
Алексей Кузнецов: Нужно было указать, куда деньги переводить, а иначе смысла нет.
Екатерина Пархоменко: Ну, конечно, хоть как-то надо было объявиться, да, и это было для них решающим обстоятельством, в том, что они были пойманы. Но, насколько я понимаю, если коммерческой составляющей в этом преступлении нет, то пойди найди. Насколько я понимаю, нет технической возможности выловить этого злоумышленника, если это распределенная атака, и, как ты только что объяснял, с тысяч компьютеров, хозяева которых и не подозревают о том, как используются их машины.
Антон Носик: Тем не менее, их машины используются. Для того чтобы их машина исполнила приказ об атаке того или иного сервера, этот приказ откуда-то должен поступить. Источник этого приказа прописан в троянской программе. Простой анализ троянской программы позволяет увидеть, откуда управляется этот «ботнет» - так называется сеть этих роботов, зомбированных компьютеров. Просто увидев IP , откуда он управляется, можно эту точку накрыть. И тут есть международно-правовая помощь. И на этом «ботнет» просто перестанет работать, потому что все эти зомби потеряют командира. И это значит, что мы можем дальше спокойно жить и не беспокоиться.
Екатерина Пархоменко: А скажи, пожалуйста, вот еще одна деталь, когда Марина Литвинович на прошлой неделе громко жаловалась на то, что негодяи валят сайты, которыми она так или иначе занимается, - сайт «Каспаров.Ру», «На марш.Ру», «Руфронт», по-моему, там был еще сайт, и я помню, что блогеры активно занялись так называемой трассировкой (здесь хорошо бы от тебя пояснение какое-то, что это такое) и ничего криминального не нашли. Хотя жалоб на то, что у людей не было доступа к этим сайтам, в общем, тоже было достаточно.
Антон Носик: Не все сайты оказываются недоступными, потому что на них напали злые хакеры. Некоторые сайты оказываются недоступными, потому что их администраторы или хостеры какую-то ручку не туда повернули или ввели какие-то ограничения на доступ. В частности, в данном случае это было связано с попытками хостинг-провайдера ограничить именно DDoS -атаки. Поскольку эти сайты на предыдущей неделе подвергались атакам, то была какая-то сделана фильтрация входящих потоков, сделан некоторый дополнительный протокол, верифицирующий, что запрос от браузера является запросом от живого человека, а не DDoS -атакой. Вот этот вот фильтр, который описан в специальной литературе, он был настроен достаточно криво, поэтому половина пользователей, получив вот этот отлуп, адресованный атакующим DDoS -зомби, их браузер отказывался дальше разговаривать с этим сайтом, он просто получал информацию, что сайта нет.
Екатерина Пархоменко: Тут складывается такая интересная, на самом деле, коллизия, потому что многие блогеры подозревали, что Марина Литвинович просто строит свой пир, привлекает внимание таким образом к своим сайтам. Из твоих объяснений я понимаю, что какие-то атаки на них были, просто они так неловко от них защищались.
Антон Носик: Одно другого совершенно не отменяет. Когда Марина Литвинович ничего не знала, кроме того факта, что ее сайты недоступны с нескольких русских провайдеров, она опубликовала списки этих провайдеров предполагала, что они поставили фильтры, это было добросовестное заблуждение. Примерно прошло 15 минут, полчаса или час, за который люди, технически компетентные и грамотные, разобрались и констатировали: вот, проблема здесь, исправляется она на вашей стороне, исправляется она в Америке, на площадке хостера. То, что Марина Литвинович после этого не перестала разговаривать о фильтрах, цензуре и публиковать списки провайдеров, как будто провайдеры виноваты в том, как у нее сконфигурирован сервер, это, в общем, разумеется, была попытка поддерживать уровень вот этого пиарного шума на пустом месте.
Екатерина Пархоменко: Внимания, да, понятно. Но несколько часов спустя мы получили такую же жалобу, что сайт завален, от господина Илларионова, директора Института экономического анализа. Я как раз в этот момент пошла проверять сайт Литвинович «Каспаров.Ру» и прочие – и они все отзывались. А сайт института лежит, по-моему, по-прежнему.
Антон Носик: Ну, не исключено, что сайт Илларионова кто-то захотел завалить. Также не исключено, что произошли какие-то технические сбои на сайте Илларионова. Понимаете, тут бывает ровно три причины, по которым сайт может оказаться недоступен, если говорить, скажем так, и о технологии, и о мотивации. Сайт может быть недоступен, потому что на него, действительно, кто-то напал и вывел его из строя. Сайт может быть недоступен, потому что его собственная администрация допустила какие-то ошибки или есть какие-то сбои в программном коде, и тогда они могут быть исправлены только силами владельцев сайта, администратора сайта. И третий вариант, - действительно, я помню еще в 1995 году такие истории, - есть довольно знаменитый среди интернет-пиарщиков способ привлечь внимание к иначе никому не интересному сайту, как сообщить о том, что он взломан, и дать адрес. Тогда все люди пойдут проверять, как…
Екатерина Пархоменко: Как его именно взломали.
Антон Носик: … его именно взломали. В частности, Фонд эффективной политики таким способом раскручивал персональный сайт тогда председателя Государственной Думы Геннадия Селезнева.
Екатерина Пархоменко: Да, точно, я помню.
Антон Носик: Информация о том, что сайт Селезнева был взломан, была вброшена ФЭПом для того, чтобы пиарить этот сайт. А через год вброшена снова с использованием статей годичной давности, в которых указывалась дата, но не указывался год.
Екатерина Пархоменко: У нас не очень много времени остается, и мне очень хочется тебя спросить вот еще о чем. Поскольку компания «СУП» является партнером компании « Six Apart », хозяев, собственно, «Живого Журнала», то последнюю неделю, наверное, тоже идут оттуда какие-то сигналы, что серверы «Живого Журнала» атакуются, пара комьюнити просто стала недоступна в связи с этим, и так далее. Может быть, ты как-то прокомментируешь, что там происходит, насколько это сказывается на жизни «Живого Журнала», я имею в виду его русской части?
Антон Носик: Было две крупных DDoS -атаки в конце мая – начале июня. Первая атака закончилась, сошла на нет к 25 мая. Это была атака в основном на сообщество «РуНБП». Вторая атака, которая началась в последний день весны и продолжилась в начале лета, была атака и на национал-большевистские сайты, и на сообщество «ДПНИ», и на сообщество «РуНацбол», и на сообщество внепартийное для обсуждения политических вопросов «РуПолитикс». Был установлен фильтр на уровне провайдера доступа, который позволил… Там шла атака интенсивностью 50 тысяч запросов в секунду.
Екатерина Пархоменко: Ого!
Антон Носик: Был установлен фильтр, позволяющий отсекать те запросы, которые были частью DDoS -атаки. Этот фильтр использовал вычисленные из текста запросов общие в них сочетания букв. Эти сочетания были, в частности, «ДПНИ». Благодаря тому, что запросы со словом «ДПНИ» перестали доходить до серверов «Живого Журнала», удалось избежать падения всех серверов и недоступности «Живого Журнала» для миллионов его пользователей. Но при этом те пользователи, которые связаны с ДПНИ, стали сразу кричать о том, что введена цензура…
Екатерина Пархоменко: Ну, цензура, не цензура…
Алексей Кузнецов: Некоторое ограничение было.
Екатерина Пархоменко: … но ограничение, тем не менее, существует.
Антон Носик: Ну, альтернативой было ограничение доступа ко всему «Живому Журналу».
Екатерина Пархоменко: И такой же жертвой пали и нацболы, насколько я понимаю.
Антон Носик: Были слова, которые были выужены компьютерной программой из текста DDoS -овых хакерских запросов. Эти слова, просто сочетание букв, не разбираясь в их смысле, но понимая, что 50 тысяч запросов в секунду можно отсечь, если блокировать сочетание этих букв.
Екатерина Пархоменко: То есть это похоже на то, как человека, которому угрожают убийством, запрятать в камеру, потому что там он надежнее всего спрятан от злоумышленников.
Антон Носик: Существует федеральная программа защиты свидетелей (смеются).
Алексей Кузнецов: «Спрячьте меня в бронированную камеру», - говорили герои «Мастера и Маргариты». Ну, что делать, если, действительно, такие вещи происходят. А, в принципе, хоть какое-то подобие системы уже есть, вы назвали три четкие причины, - то есть, есть надежда, что в этом можно будет со временем хоть как-то разобраться и достаточно быстро и четко реагировать на подобные атаки, на другие, может быть, еще не придуманные.
Антон Носик: Ну, тут же дело не в том, чтобы реагировать. Тут вопрос заключается в том, что на сегодняшний день практика правоохранительных органов такова, что организация подобных атак является социально приемлемым действием. Пока она является социально приемлемым действием, будут тысячи желающих этим заниматься. Пока будут тысячи желающих, эти атаки будут продолжаться и расширяться. Что важно понять слушателям, что независимо от их политической ориентации, независимо от того, что они думают про «америкосов», «пиндосов», «жидов» и так далее, первая стадия распространения «ботнета», первая стадия DDoS -атаки – это атака против нас с вами, это заражают наши компьютеры. И наши компьютеры заражают программами, которые не только позволяют валить «Другую Россию», они также позволяют красть пароли, красть деньги, красть нашу персональную информацию.
Алексей Кузнецов: В общем, это часть целой большой системы, и с ней надо бороться, по крайней мере, какие-то решительные меры принимать, и с точки зрения власти в том числе.
Антон Носик: По крайней мере, не одобрять.
Алексей Кузнецов: Спасибо. Вывод оптимистичный, и надеюсь, что так что-то и получится. Антон, большое спасибо.
