DDoS атака - «абсолютна зброя» кібер-гопників?
Від редакції: нещодавно на Інфопорн була здійснена DDoS атака. Ми вважаємо, що викликати її могли в тому числі і матеріали наших авторів, розміщені на ресурсі. Зокрема, йдеться про матеріал Ірини Навольнєвої “Беззубые акулы, или зачем платить“, Андрія Манчука “Незаметный террор, или будни украинского расизма“, Дмитра Корнійчука “Балаган законотворчества. Часть 2” та інші публікації. До речі, аналогічна атака була здійснена на інший ресурс - Durdom.in.ua, редакція якого наполягає на політично-замовному характері атаки. Тим, хто хоче розібратися, що таке DDoS атака, і відповідно уявляти, чи можна її уникнути - ми пропонуємо огляд Андрія Стесіна.
Як тільки в Інтернеті почало з’являтись значуще інформаційне наповнення, з’явились і люди, яких не влаштовує той чи інший ресурс, бажаючі, щоб цього ресурсу в Інтернеті не було. Найбільш очевидний спосіб “вимкнути” інфоресурс - це завалити його таким обсягом паразитного трафіку, який або заб’є канал, яким ресурс підключений до Інтернету, або з ним не зможе впоратись сервер ресурсу. Таке “завалювання сміттям” називається DoS атака - абревіатура є скороченням від англійського Denial of Service, тобто зловмисник домагається відмови атакованого сервісу обслуговувати читачів.
Перша в Україні історія з DoS атакою, яка набула широкого розголосу, відбулась в 1997 році. Стаття Руденка в “Дзеркалі Тижня” по стилю і сформі є доволі смердючою агіткою, але її сумнівний пафос спирається на - в цілому - вірно відображені факти. Російські колеги на цю статтю, пам’ятаю, тоді дуже образились - зокрема, відомий і поважаний російський фахівець, пан Дмитро Завалішин, написав немалого обсягу відповідь-коментар на неї. Врешті решт, професійна солідарність фахівців перемогла, українські і московські (з “Демоса”) інженери зустрілись, помирились, і розійшлись розбудовувати Інтернет далі. Ніхто не здогадувався, що відлік часу вже пішов, і про 97 рік ми будемо згадувати з ностальгічною посмішкою, як про дитячі забавки в пісочниці.
Загалом, в сучасному світі все відбувається швидко. В 1993 році Тім Бернерс-Лі створив перші веб-сервери, і технологія пішла зростати в Інтернет експоненціальним темпом, поширюючись в темпі вибухової хвилі. В 1994 році зафіксовано перші випадки дійсно потужних розсилок незамовленої реклами електронною поштою - спам почав перетворюватись на самостійний вид сумнівного “бізнесу”. В 1995 році Microsoft Corp випустила нову версію Windows, 95-ку. Вона стала першою масовою операційною системою, яка відразу мала в комплекті нормально реалізовані засоби роботи в Інтернет. Кількість Інтернет-неофітів, які не розуміються в комп’ютерах і технологіях, а просто мають Windows’95 на свіжопридбаному в супермаркеті компі, також почала зростати в темпі вибуху. Водночас, програмні продукти Microsoft ніколи не тішили своєю якістю, натомість були відомі абсолютно недбалим відношенням компанії до питань якості і безпеки інформації.
Технологія ж онлайн-спілкування IRC (Internet Relay Chat) прекрасно зарекомендувала себе ще 1991 року, завдяки війні в Кувейті і серпневому путчу в Москві. Саме на IRC програмісти відпрацювали концепцію так званих “ботів” (скорочено від “робот”), тобто програмних автоматів, які могли автоматично підключатись до IRC-каналу, і виконувати по команді з каналу певні дії. Ентузіасти розробили силу силенну ботів різної спрямованості. Є навіть боти, які достатньо успішно здатні підтримувати в онлайні бесіду з живим співбесідником. Завдяки потужному штучному інтелекту і базі знань бота, людина (особливо не надто розумна) часто не відразу й розуміє, що “на тому кінці” з нею спілкується автомат-бот.
Отже, 1997 року всі компоненти вибухової суміші були в наявності - мільйони некваліфікованих ідіотів з дірявими системами, вже підключеними до Інтернет; плюс готовність інших позбавлених моралі і совісті ідіотів - бізнесменів - платити за спам-рекламу; плюс відпрацьовані “в порядку хоббі” технології ботів, і плюс потужний інтелект молодих, добре навчених, програмістів, яким потрібні гроші. До того ж, Інтернет за своїми проектними принципами покладає всі функції контролю за змістом комунікацій на кінцеве “листя” мережі, тобто на абонентські комп’ютери. Сама мережа звільнена від будь-яких зайвих функцій, окрім передавання пакетів від хоста А до хоста Б і назад. Тепер настання катастрофи було лише питанням часу.
Джинн вирвався на волю 1998 року, коли стало відомо спершу про комп’ютерну програму NetBus, а трохи пізніше - про програму BackOrifice. Чи були ці програми першими в своєму класі? Коли такого роду програми з’явились вперше? Навряд чи хтось колись дізнається про це. Автори програм декларували їх, як засоби для дистанційного адміністрування і для управління комп’ютером, на якому встановлено цю програму. Проблемою стало те, що ці програми мали вбудований механізм несанкціонованого проникнення на сторонні комп’ютери через “діри” - тобто, завдяки помилкам в їх програмногому забезпеченні. Такі програми називають “троянськими” по аналогії з міфічним конем давніх греків.
Небагато часу знадобилося на появу клонів та аналогів “по мотивах” NetBus та BackOrifice. Невідомі талановиті автори цих потужних програмних комплексів оснащують їх всім комплексом технологій - саморозмноження (вірусне), пошук вразливих систем в Інтернеті, троянське проникнення до них, tealth-маскування в зараженій системі, автоматична модернізація власного коду і тіла програми (щоб антивірусу було важче знайти бот в системі), дистанційне управління через IRC-канал тощо.
Вперше “нагодувати” комп’ютер-жертву екземпляром бота можуть через HTTP-посилання в тексті спамерського листа, або в інший спосіб заманивши жертву на спеціально підготовлений вебсайт. Сучасна технологія Microsoft для відображення веб-змісту сторінок, які генеруються динамічно “на льоту” - називається ActiveX і фактично не має засобів захисту системи від шкідливого контенту, акуратно запрограмованого зловмисником. Ніхто навіть особливо не ховається, в Інтернеті неважко знайти досить детальні інструкції, де взяти готового (нехай не найкращого і не найсучаснішого) бота, як його налаштувати і як запустити - наприклад, ось тут.
Сучасні боти настільки “розумні”, що після “заселення” на комп’ютер-жертву вони перш за все акуратно латають за собою дірку в системі (щоб бот-конкурент не потрапив тим же шляхом), а після того знаходять і винищують всіх інших ботів-конкурентів, які могли “заселитись” на цей комп’ютер раніше.
Неважко зрозуміти, що, якщо на ваш комп’ютер заселився такого класу “чужий” монстр - цей комп’ютер вже фактично не ваш, ви вже не власник ніяких даних і ресурсів компа. Бот підслуховує кожний натиск клавіш на клавіатурі, краде (і відправляє кому треба) ваші паролі і списки електронних адрес ваших співбесідників, номери і пін-коди ваших банківських карток, може передати своєму власнику копії будь-яких ваших файлів (а може їх і видалити без сліду), може нишком ввімкнути мікрофон комп’ютера і транслювати хозяїну розмови з вашого приміщення, загалом що хоче, те і робить. Бот і його хазяїн самі визначають, на що витрачати ресурси процесора, дисків і мережі, ваша думка нікого не цікавить. Ваш комп’ютер перетворився на слухняного зомбі.
Заражені ботом комп’ютери об’єднуються в так звані ботнети, тобто централізовано керовані мережі ботів, Ботнет. Навіщо? звісно, заради доходів хазяїна ботнета. Ботнет, до якого входять декілька десятків тисяч комп’ютерів-зомбі, за своєю сумарною обчислювальною
потужністюперевищує найпотужніші суперкомп’ютери секретних наукових лабораторій. Його можна використати для спам-розсилки (за гроші замовника), або - повернімось до початку - синхронно скомандувати кожному боту розпочати DoS атаку на “замовлений” інформаційний ресурс. Власники ботнетів - розумники, кожний окремий бот поводиться на окупованому зомбі-комп’юрі дуже акуратно, і генерує зовсім небагато шкідливого трафіку, щоб не привертати до себе увагу. Але коли одночасно вмикаються тисячі і тисячі ботів, сумарний потік “електронного сміття” від них дуже легко починає сягати гігабітів, а то й десятків гігабітів на секунду. Ось це і називається DDoS, тобто розподілена (distributed) DoS атака.
В 2007 році ситуація наблизилась до нестерпної. Проблема ботнетів обговорювалась вже навіть на рівні Давосського форуму проте жодних практичних наслідків це не дало. Власники ботнетів відслідковують активність тих, хто намагається з ними боротись, і не гребують залякуванням і кібер-атаками, “виносячи” з мережі цілі корпоративні мережі і датацентри. Навіть такі мегамонстри, як Google, з їх циклопічними датацентрами і сотнями гігабітів каналів, можуть під час DDoS втрачати до 50% потужності каналів. Ми маємо абсолютно сюрреалістичну картину, коли мільйони абсолютно слухняних автоматів-зомбі по всьому світі синхронно, як величезна отара овець, виконують команди невидимого керманича. Розсилають десятки і сотні мільярдів(!!!) спам-листів на місяць, або завалюють зловмисними запитами чийсь вебсервер…
“АААААА!!!” - репетує тут гіпотетичний власник постраждалого вебсерверу, - “Інженери, ви ж розумні, зробіть що небудь, припиніть це знущання, я ж тупий юзер, а ви-то маєте знати, що робити!” Наївна людина! Пересічний користувач чомусь не кличе фахівців, коли купує комп’ютер, і абсолютно не дбає про те, щоби його залатати” і не перетворити на чийогось зомбі. Експерименти показують, що середній час від ввімкнення в Інтернет до зараження трояном-ботом свіжокупленого в магазині нового комп’ютера не перевищує 15 хвилин. Користувач взагалі уявлення не має, що відбувається; так, в Інтернеті є інструкції, як “вичистити” бота з машини але хто ж їх читає? А коли востаннє базу даних антивіруса оновлювали? А ваш сусід по поверху? А якийсь пересічний американець?
В результаті маємо те, що маємо: від DDoS у виконанні потужного ботнету неможливо захиститись технічними засобами. Взагалі немає захисту. Жодного. Тільки вимкнути сервер (чого власне зловмисник від вас і домагався).
Виробники обладнання пропонують пристрої захисту від DDoS - вони дуже дорогі, і не гарантують 100% роззпізнавання і відкидання зловмисних запитів до сервера. Етичний і юридичний аспект фільтрації Інтернет-трафіку також слід брати до уваги. Головна ж проблема в тому, що пропускна спроможність системи фільтрації завжди кінечна. Ну 1 гігабіт. Ну нехай 10 гігабіт. А ось ботнет, навпаки, жодних обмежень зверху не має. Відомі випадки, коли власник ботнету, встановивши наявність у об’єкта DDoS системи захисту, без проблем доводив потужність “сміттєвого удару” до 40 гігабіт на секунду, при цьому лягав і сайт, і система захисту, і канали провайдера… Провайдерам в цій ситуації дещо легше. Ніж фільтрувати (дуже дорогими системами, але з сумнівною ефективністю) потоки трафіку, простіше додати ємності каналів, ще гігабіт 10-20-100 - скільки треба. А для сайту захисту немає.
Загалом, відомі приклади найсучасніших ботнетів, тих же “Шторма” чи MayDay чітко демонструють: як завжди, в війні снаряду супротив броні снаряд - засіб нападу - завжди йде на крок попереду засобів захисту. Дивно лише, чому всі забувають про дуже прості речі: жодних ботнетів не могло б виникнути, якби Microsoft не продемонстрував низьку фахову кваліфікацію своїх програмістів і архітекторів програмного забезпечення, ба більше того: прекрасно знаючи про наявність помилок і дефектів в своїх продуктах, Microsoft продовжував і продовжує продавати лохам всього світу завідомо(!!!) дефектні, неякісні програми. Ще й неринковими методами виносить всіх і будь-яких потенційних конкурентів, і переслідує по закону будь-яких осіб, хто за цю гидоту платити не хоче.
Отже, єдиний спосіб боротьби з DDoS атаками (і ботнетами) - це змусити Microsoft замінити завідомо дефектне ПЗ по всьому світі, у кожного власника будь-якої персоналки, на виправлені версії. В разі ж відмови слід шукати сліди змови між власниками ботнетів і компанією Microsoft, яка з невідомих причин зробила такий прекрасний подарунок зловмисникам, тобто виробник ПЗ є співучасником і натхненником найбільшої з існуючих загроз свободі слова в Інтернеті. І не допускати, щоб Гейтсова імперія відкупалась копійчаними штрафами, а вимагати саме приведення програмних продуктів до такої кондиції, щоби бот не пройшов, а по тому - безкоштовної заміни дефектного продукту, хоч в Індії, хоч в Парагваї, де завгодно.
А хто сумнівається в імовірності змови, то поцікавтесь - можливо, це поважні спецслужби, під видом міфічної боротьби з міфічним тероризмом, свого часу умовили Білла Гейтса перетворити кожний персональний комп’ютер у засіб стеження за його хазяїном?
Просто у спецслужб завжди є проблеми з “кротами” і витоком інформації, от 1998 року ситуація і вийшла з-під контролю. А що, цілком імовірний сценарій, як ви вважаєте?
Андрій Стесін, «Інфопорн»