Как отбиться от хакера

Полное искоренение хакерских атак, блокирующих работу сайтов жертв на дни, недели, а иногда и месяцы, заняло в Германии меньше года. Три месяца полиция вычисляла основные хакерские группировки, а потом за полгода упрятала их за решетку – заказала "подложные" атаки и взяла преступников с поличным. В России такое может и не сработать, предупреждают эксперты: здесь хакеров больше, они хитрее и наглее.

В прошлом году рунет пережил настоящее "DDoS-обострение", констатировала в декабре 2011 г. "Лаборатория Касперского". DDoS – Distributed Denial of Service, или распределенная атака типа "отказ в обслуживании". Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры – само собой, не спрашивая разрешения у их владельцев, – в единую сеть-ботнет (от "робот", или, для краткости, "бот"), и та засоряет "мусорным" трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.

Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет – "Коммерсанта", "Ведомостей", – а также на сервис блогов Livejournal.com ("Живой журнал", ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.

Но страдают не только журналисты и блогеры. По данным "Лаборатории Касперского", в 2011 г. две крупные атаки пережили сайты турфирм: один – перед началом летних отпусков, другой – перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.

Контрольная закупка по-немецки

Уникальный опыт борьбы с DDoS есть у Германии – эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group-IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. – вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.

В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик – $2,7 млн., эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил Федеральный офис информационной безопасности (BSI).

Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов – от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.

О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист – сотрудник компании, специализирующейся на компьютерной безопасности.

Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.

К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. "Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год", – уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.

Есть нюансы

Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error ("Фатальная ошибка системы"), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, – их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь "мулов" – так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.

Другая особенность России, о которой пишет Менн, – коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты – совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5 000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела "К" УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела "К" областного УВД.

Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: "Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются".

В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали – впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.

В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн.; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.

Российский опыт

Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.

Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами – причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. "Новая газета". Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. "Фактически российских граждан осудили по законам Великобритании", – говорил "Новой газете" адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.

Менн рассказывает, как именно следователи вычислили российских "дидосеров". Дело в том, что один из них – Иван Максаков – использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.

В 2012 г. до суда должно дойти еще одно громкое дело – о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте "Аэрофлота". Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в ст.272 (о неправомерном доступе к компьютерной информации) и ст.273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса РФ. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в СИЗО максимально возможное время содержания под стражей.