Примерное время чтения: 15 минут
11825

«Если заплатят $150 тыс., то я и Mail.ru положу»: интервью с хакером о DDoS-атаках

После DDoS-атак на ЖЖ, которые называют едва ли не самыми крупными за всю историю сервиса, только ленивый не узнал о существовании силы, которая может обрушить сайт, даже такой мощности, как ЖЖ. Президент России Дмитрий Медведев назвал атаки на блогосервис возмутительными и незаконными. А через несколько дней атаке подвергся и сайт «Новой газеты», которая на время DDoS «ушла» в заработавший ЖЖ и там выложила свои тексты.

Найти человека, который «положит» по вашей просьбе любой сайт, несложно. Конечно, в «Директе» вы их рекламу не встретите, но на разных форумах она есть. В качестве контактов — номера ICQ, к оплате принимают электроные деньги. Например, в одном объявлении обещают полную анонимность, мониторинг объекта (гарантируют, что объект «внезапно не встанет»), обещают даже научить азам «DDoS-искусства». Чтобы разместить объявление на форуме, нужно пройти своеобразный тест от админа ... завалить парочку сайтов.

DDoS — как они это делают?

Я поговорила на эту тему с человеком, который называет себя специалистом по организации DDoS-атак, он представился как Toxa. z. x. Его реклама в одном из форумов встретилась на первой странице выдачи Яндекса по запросу «DDoS услуга». Он называет это «услуги по устранению сайтов и форумов ваших конкурентов при помощи DDoS-атаки». Постоянным заказчикам предлагает индивидуальные условия, принимает заказы на срок от 12-ти часов. «В среднем, цены на DDoS от $40 в сутки, — написано в форуме, — Принимаем на исполнение любой ресурс. В случае неудачи делаем манибек».

Он говорит, что заказывают разные сайты — и интернет-магазины, и форумы, и сайты типа компромат. ру, и просто конкурентов. В качестве теста для форума он в свое время вырубил сайты «Дома 2» и uCoz. Говорит, что в месяц зарабатывает порядка 600 тысяч рублей, правда, не только DDoS, но и взламыванием почтовых ящиков (эта услуга, по его словам, стоит 1000-2000 рублей за ящик). «По поводу цели заказа — никогда не задаюсь этим вопросом, да и не думаю, что каждый заказчик расскажет о своей цели», — говорит он.

Сколько стоит DDoS?                                                                         

Из хакерских форумов:
30 ботов загружают форум средней посещаемости

300 ботов — средний сайт

1000 ботов — крупный сайт

5000 ботов — кластер с сайтом, даже при использовании антиддос, блокировки и пр.

15-20 тыс. ботов теоретически могут положить «В контакте».

«Стоимость много от чего зависит: 1. Сложность атаки, т. е. от того, как защищен сайт (антиддос сервера и другие защиты). 2. От важности ресурса, т. е. если сайт не частного владельца, а связан тем или иным образом с политикой, государством и прочим, то цена, соответственно, возрастает. 3. Ну и от того, насколько покажет себя ЛОХОМ клиент: ну вот закажете вы мне сайт, который я положу 10 ботами (стоит такая работа максимум 20$ в сутки)... Я ж, соответственно, этого не скажу, я скажу, что сайт сложный и стоить будет от 50$ и выше, если клиент скажет, что его устраивает, то я скажу, что точную цену назову после теста, а после теста я, соответственно, завышу еще и скажу 60$... Если же клиент более-менее понимает что-то, то он скажет, что я завышаю цену и объяснит мне почему... и тогда я скажу реальную цену.

Клиенты всякие попадаются. Некоторые сразу же рассказывают о защите сайта, дают советы как их лучше и легче положить, а некоторым просто нужно, чтобы сайт не работал. Есть клиенты, которые вообще не понимают, что это такое и думают, что DDoS — это какой-то способ взлома сайта, т. е. после они получат админ-доступ к нему». 

Кого «ддосили»?

«Ддосили» крупный информационный портал. DDoS продолжался 2 дня, после начали появляться известия об этом в новостях, в следствии чего от дальнейшей работы отказались. За эти 2 дня нами было получено $900 т. е. по $450 за сутки. После нашего отказа заказчик поднял цену до $4500 в сутки, но мы отказались, и никто так и не согласился. Хотя если считать только по сложности заказа, то стоил бы этот сайт максимум $90 в сутки«.

Почему отказались?

«Потому, что лучше сидеть голым у ноута, чем сидеть одетым на нарах...»

Кто мог стоять за атакой ЖЖ?

«Да, это был DDoS, нет, это не сам ЖЖ, стоять могу хоть я за этим, сложно не очень... По стоимости такая атака могла стоить — если брать из расчета на сутки — от $250 до 400, почасовая атака стоила бы гораздо дороже. Хотя до 400$ это я занизил. Это опять же из сложности исходил... а так + значимость сайта».

Про рынок DDoS-услуг

«В основном много народа, которые скачали паблик ботнеты и ими пытаются работать, в следствии чего просто кидают заказчика. Фирм, отраслей нету. Есть, наверное, в принципе легкие заказы, которые 1 человек и исполняет. Вообще ддосеров, которые способны на исполнение крупного заказа мало. Для меня лично это работа, но не основная, а одна из основных. Вообще я занимаюсь взломом email-адресов, ддосом, ну и по мелочи еще».

Специалист по DDoS-атакам также рассказал — чтобы себя «обезопасить», они оставляют только ICQ в качестве контактов и пользуются сторонними IP-адресами, например, со мной он разговаривал с итальянского IP. «Сам я сижу со съемного винчестера. При малейшем подозрении, что ко мне поднимаются гости, которых я не жду, этот винт будет отключен, разбит на мелкие осколки и закопан в подполье... Банки мы не грабим, миллионы со счетов не воруем, поэтому и не ищут нас пока». Защитить свой сайт, по мнению хакера, можно, только положив его на мощные антидос-сервера, от этого вырастет цена за DDoS, и, возможно, желающих этот сайт «положить» поубавится. «Если мне заплатят $150 тыс. в сутки, то я и Mail.ru положу», — оптимистично закончил разговор Тоха.

После этой ICQ-беседы Toxa. z. x показал на примере, как он взламывает ящики невинных пользователей. Я по его просьбе зарегистрировала ящик на Mail. ru и сказала ему логин. Он прислал мне письмо «от имени администрации портала Mail.ru», внутри была красиво сверстанная страничка, извещавшая о том, что я не получила какое-то письмо, потому что у меня переполнен ящик. И предложение кликнуть на ссылки. Там снова просили ввести логин-пароль, только это была вовсе не страница Mail. ru, а фишинговая страница (то есть похожая на настоящую), и данные, которые я ввела, сразу улетали Тохе. Он отдает их заказчику, тот беспрепятственно смотрит почту конкурента/жены/коллеги, а жертва даже не подозревает об этом. Есть и другие способы, например, посмотреть «Мой мир» человека и прислать ему письмо от имени «друга» со ссылкой на новые фотки. Дальше то же самое. 80% доверчиво кликают. Тоха предложил для подтверждения своей мощи «положить» по моей просьбе какой-нибудь сайт, но от такого предложения я отказалась.

Сайты в Рунете «досят» практически каждый день

«DDoS-атаки на сайты наших клиентов случаются через день, иногда каждый день, иногда и по два раза в день. Их видно через 2-3 минуты после начала атаки», — рассказал «АиФ» Сергей Баукин, руководитель департамента хостинга компании RU-CENTER, который занимает второе место по количеству клиентов среди российских хостинг-провайдеров.

В RU-CENTER стоит система мониторинга, которая отслеживает атаки на сайты клиентов. Если она замечает подозрительную активность, она оповещает об этом сотрудников с помощью писем, звуковых сигналов или выведением на экран. Получив такой сигнал, дежурная группа решает, действительно это DDoS или нет. Если от атаки страдает только один сайт, хостер предупреждает об этом клиента и предлагает ему алгоритм действий, который может помочь уйти от атаки. Но на виртуальном хостинге на одном сервере обычно лежит несколько сайтов, поэтому атака на один сайт может повлечь неприятности и для других. Если это случилось, сайт, на который ведется атака, переносят на отдельный сервер на время атаки, выделают ему отдельный IP, а запросы к этому сайту проводят через специальное оборудование, которое фильтрует DDoS-запросы от естественных. Кроме того, проводится анализ атакующих запросов, они заносятся в блок-листы.

На случай очень серьезной атаки у RU-CENTER есть договоренность с магистральными провайдерами, которые могут помочь отфильтровать запросы на своем оборудовании, разгружая при этом мощности самого хостера.

«Обычно до первого DDoSa клиент не предпринимает никаких действий по защите своего ресурса, — говорит Сергей Баукин, — А по-хорошему, думать о вероятности атаки нужно еще на этапе проектирования сайта, нужно оптимизировать потребление вычислительных ресурсов, памяти, дисковой активности, соединения с базой данных и т. д. При этом нужно соотносить риски возникновения DDoS-атаки и расходы на защиту от нее, потому что на защиту можно потратить очень много денег (вплоть до аренды выделенных серверов), но это будет необосновано. При грамотном подходе на виртуальном хостинге можно сделать относительно защищенную систему от „дешевой“ или „непрофессиональной“ атаки, хотя очень многое зависит от самого сайта».

Защиту ресурсов от DDoS-атак как отдельную услугу предлагает компания Caravan. «Защита ресурсов на сервере клиента организуется путем отсекания паразитного трафика, — объясняют на сайте суть услуги, — При этом защищаемый ресурс может располагаться как в сети компании „Караван“, так и во внешних сетях. В результате использования услуги до сервера клиента организуется „чистый“ канал и отпадет необходимость тратить ресурсы на обработку паразитного трафика». Защитить от DDoS обещает и Kaspersky. Его «DDoS Prevention» поможет любому ресурсу, независимо от хостинг-провайдера, воспользоваться предложением можно так же и тогда, как атака уже началась.

            

DDoS в законе?

«Я искренне считаю, что DDoS-атака не является незаконным действием на территории Российской федерации, — рассказал „АиФу“ Михаил Салкин, юрист из Московского Правозащитного Центра. — Не потому, что это плохо или хорошо, а потому что действующий УК РФ не содержит такой статьи, которая бы предусматривала наказание за такое деяние, равно как и сам критерий DDoS атаки.

Сама по себе DDoS-атака безобидна, в том смысле, что одновременно к серверу организуется несколько обращений (запросов), и невозможно определить, какой запрос настоящий, а какой отправлен без цели получить ответ».

Михаил сравнивает это с почтой: «Если каждый гражданин в один день и в один час пойдет на почту чтобы отправить одинаковую жалобу президенту, то это так же нарушит нормальное функционирование почтовой службы. И не только письма президенту будут доставляться с задержкой, но и вся другая корреспонденция на почте. Однако за это наказывать граждан нельзя, так как иное бы повлекло нарушение права на письменное обращение в органы власти. Но что делать, если неадекватный гражданин пишет и пишет одно и то же — на это разработан регламент — ответить 5 (!!!) раз письменно, а затем можно его запросы игнорировать.

Вернемся к интернету. Преследовать в уголовном порядке владельца компьютера, через который осуществляются DDoS-запросы, недопустимо, так как его компьютер может совершать такие запросы из-за вредоносного программного обеспечения или неправильных действий пользователя. Так как «водительских прав» для входа в сеть не изобрели, допустимо предполагать, что не каждый участник в сети будет вести себя правильно и в соответствии с общепринятыми нормами.

Можно перенять принципы, принятые в зарубежных странах, которые позволяют приостанавливать доступ в сеть, в случае обнаружения таких многократных DDoS-запросов с уведомлением владельца компьютера о данном факте.

Можно ли привлечь к ответственности за атаки на ЖЖ и сайт «Новой газеты», кого в таком случае привлекать и за что?

«Если верить Лаборатории Касперского, что DDoS-атака организована с помощью бот-компьютеров, зараженных вирусами, то ответственность должны понести создатели такого вируса, а также те, кто производили такое распространение и его запуск. В соответствии со статьей 273 УК РФ за это предусмотрено наказание в виде лишения свободы до трех лет со штрафом до 200 000 рублей. А если будет доказано, что создание такого вируса повлекло повлекли тяжкие последствия (например из-за вируса отключился аппарат искусственного дыхания или бортовой компьютер самолета во время взлета, что привело к крушению и т. д.), то создатель вируса отправится за решетку от 3 до 7 лет.

Важный нюанс: уголовный кодекс действует только на территории РФ, его территориальных водах, континентальном шельфе и экономической зоне. Поэтому если вирус написал иностранец не на территории РФ, то оснований для применения уголовного закона нет».

Рынок DDoS-атак стимулируют в том числе сами владельцы сайтов, многие из них начинают искать исполнителей таких услуг, когда их собственный сайт подвергается DDoS, в отместку. Получается порочный круг, в выигрыше остаются только хакеры, которые пополняют свои виртуальные счета. Найти и купить эту услугу так же просто, как оплатить в сети доступ в интернет. Кажущиеся невысокими расценки опускают этот вид «деятельности» в ту же плоскость, где вы заказываете, например, SEO. Заплатил — получил результат, а насколько это морально и законно — дело десятое. И пока это остается «делом десятым» для пользователей, для бизнеса и для государства, нас «ддосят» и будут «ддосить».

Смотрите также:

Оцените материал
Оставить комментарий (30)

Также вам может быть интересно

Топ 5 читаемых



Самое интересное в регионах