Что происходило в течение всего 2011 года с «Живым журналом»? Почему в предвыборный месяц обрушились несколько ведущих ресурсов? Кто стоит за масштабными DDoS-атаками? И почему кибероружие уже вытесняет стратегическое вооружение и банальные танки? Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев в интервью «Фонтанке» назвал также страны, которые могут претендовать на звание сверхдержав в киберпространстве. Ни России, ни США среди претендентов нет.
- Александр, для начала объясните нам, непродвинутым пользователям, в чем отличие DoS-атаки от DDoS-атаки и уж тем более от хакерской атаки.
- DoS и DDoS на самом деле отличаются только тем, как осуществляется атака. По сути, эти термины — синонимы. DDoS - это атака при помощи ботнета (сеть компьютеров, зараженных вредоносной программой. - Прим. ред.). С нескольких десятков тысяч зараженных компьютеров идут множественные запросы. Сервер пытается их обработать, не справляется и зависает. DoS может быть вызван одним-единственным компьютером, который посылает специально сформированный пакет, и сервер его не может обработать. Хакерская атака - это несколько другой вид атаки на веб-сайты. Она заключается в основном во взломе сайта и изменении информации. Подобный случай был с сайтом «Коммерсанта», когда атакующим удалось изменить записи на серверах управления таким образом, что при попытке зайти на сайт «Коммерсанта» посетители попадали на совершенно другой сайт.
- Похожая история была в Петербурге с сайтом «Зенита».
- Да. Совершенно верно. То есть не взлом сайта, а взлом управляющих записей. Это тоже хакерская атака. Сам сайт доступен, а цель атакующих как раз в том, чтобы как можно больше людей увидели результат их работы. Цель DDoS — сделать сайт неработающим.
- Действительно ли в предвыборный период было зафиксировано увеличение числа DDoS-атак, или на них обратили внимание только в силу повышенного интереса к теме?
- Сложная ситуация на самом деле. DDoS-атаки мы видели на протяжении всего года. В России же DDoS-атаки и предвыборный период — это совпадение. Да, мы однозначно видели увеличение числа посетителей, и многие из ресурсов, которые перестали работать в эти дни, на самом деле стали жертвами своей популярности. Они просто не справились с наплывом посетителей на свои страницы. Зачастую эти перебои в работе были расценены как DDoS-атаки. Это как снежный ком все накапливалось, и где слухи, где правда - все перемешалось. Мы сейчас этот клубок пытаемся распутать, где же были действительно DDoS-атаки, а где этих атак не было. Совсем не каждое явление — обязательно DDoS-атака. Например, интересная ситуация сложилась с LiveJournal. В апреле этого года мы видели, что DDoS-атака есть, а сама администрация отрицала, никак не признавала. Но потом в августе, когда мы атак уже не видели, они вдруг сказали, что идут DDoS-атаки. Вот у нас с тех пор идет такое весьма тщательное наблюдение за ЖЖ: мы пытаемся понять, «досят» их или не «досят». Быть может, они пытаются новые технологии внедрить, и у них все виснет. LiveJournal - это такая отдельная тема, где у нас нет пока ответа, что с ними происходят. Что же касается других ресурсов, то мы на своих системах мониторинга в те выходные (3 - 4 декабря 2011 года — выборы в ГД РФ. — Прим. ред.) действительно видели DDoS-атаки на ряд СМИ. Наиболее массивная атака была на сайт «Карта нарушений. Выборы2011».
- «Карта нарушений» не совсем СМИ...
- Скажем так, многие СМИ размещали на своих страницах данные «Карты нарушений». В результате, когда она вышла из строя, волной затронуло и их. С рядом ресурсов, которые пострадали от DDoS-атаки, мы сейчас тесно сотрудничаем: смотрим, анализируем данные (они нам предоставили логи доступа), пытаемся понять, что же это было. Пока мы видим совпадение. С одной стороны, многократно, в 4 - 5 раз, выросло число посетителей, с другой стороны, есть признаки DDoS. Но таких небольших ботнетов с 5 - 10 тысяч компьютеров. Это такой маленький ботнет, и сайт, который не предназначен для обслуживания такого большого спроса, очень быстро выходит из строя. Я думаю, что они бы вышли из строя, даже если бы не было DDoSа. Весьма интересная была ситуация с сайтом «Коммерсанта», который тоже не работал, тоже было объявлено, что произошла DDoS-атака, которую мы не видели. Спустя некоторое время они признали, что никакой атаки не было, у них были последствия взлома сайта, который произошел за 4 дня до того, из-за этого у них велись технические работы, и сайт не работал.
Скажем прямо, DDoS-атаки — это не только средство выведения сайта из строя, но и для многих ресурсов — это явный способ заявить о себе, пропиариться. Я думаю, что такие примеры, к сожалению, существуют. Не знаю, вольно или невольно это происходит, но любые неполадки в работе сайтов сейчас рассматривают только с этой точки зрения, что их, вероятнее всего, атакуют. Хотя зачастую это совсем не так. Гораздо больше атак, более сильных и мощных, происходит незаметно для широкой публики, о них никто не говорит, не пишет, но они существуют. И именно они являются главной проблемой Рунета.
- Какие мотивы могут быть у хакеров, помимо того, чтобы показать всему миру свою крутизну?
- Если говорить о хакерских атаках, то мы возвращаемся к теме хактивизма. Большинство атак совершается just for fun - просто по приколу. Просто им так захотелось, хулиганство, кибергопота. Подавляющее большинство атак происходит по этой причине. Если же говорить о DDoS-атаках, то здесь чаще всего замешаны коммерческие интересы. DDoS в России в основном заказывают, чтобы вывести из строя своих конкурентов. К ним на сайт никто не попадает, у них никто ничего не покупает, все идут к нам. Вот это наиболее распространенная ситуация.
- А если вернуться к предвыборной тематике, были ли в этот период случаи атак на государственные сайты? Например, та же система ГАС «Выборы».
- ГАС «Выборы» атакам не подвергается по той причине, что ГАС «Выборы» не подключена к сети Интернет. Это отдельная закрытая сеть, которую атаковать невозможно. Что же касается сайтов государственных органов, то здесь ситуация гораздо более печальна. Нет, никаких DDoS-атак в период выборов мы не отмечали, но до этого, за месяц, за два, были десятки инцидентов со взломами именно ряда ведомственных ресурсов. Причем взламывались они не с целью вывесить какую-нибудь картинку, а на взломанных сайтах размещались вредоносные ссылки. Человек, попадая на сайт, например, МЧС, на самом деле мог заразиться вирусом. Это весьма тревожная тенденция именно по России. Что киберпреступность взламывает сайты ведомств и размещает там вредоносные программы. Вот такого я, признаться, в других странах не припомню. В последнее время в России это как-то внезапно проявилось. И делается это не с целью навредить госорганам, а с целью заразить как можно большее число компьютеров.
- А это делают из России или из-за рубежа?
- В тех случаях, которые мы видим, это явно дело рук русских. Зарубежные хакеры не были в таких вещах замечены на территории России. Целью является заразить именно российских пользователей. Всегда нужно смотреть, что происходит после заражения, что за вирус остался на компьютере. И вот то, что мы видим, это как раз программы, которые блокируют работу Windows и просят отправить СМС или деньги на некий номер мобильного телефона. А это явно русскоязычная киберпреступность, никакие китайские или латиноамериканские хакеры этого просто не сделают.
- То есть если раньше блокеры-вымогатели можно было поймать на порносайтах, то теперь их легко отловить и на других ресурсах?
- Сейчас можно подцепить вирус где угодно.
- Говоря о протестной волне среди населения, не согласного с результатами выборов, власть утверждает, что «оранжевый» сценарий пишет Запад. Основной аргумент — серверы сайтов, которые призывают к протестам, зарегистрированы за рубежом. Действительно ли этот факт трактуется столь однозначно?
- Я не берусь судить о причинах. На самом деле в большинстве случаев это решение исключительно техническое. Я сам, например, имею веб-сервер. И он находится на территории США. Я это делаю исключительно с точки зрения качества получаемых услуг. Это во-первых, дешевле, чем в России. Это надежнее с точки зрения устойчивости канала и бесперебойности работы. Это обеспечивает гораздо более быстрый доступ к моему серверу для пользователей со всего мира. Только и всего. Не нужно искать черную кошку в черной комнате. Обычная конкуренция на рынке хостинговых услуг. Если западные сервисы предоставляют услуги по размещению сайтов дешевле и качественнее, чем российские, то логичнее размещать их там.
- Полтора года назад в в своем интервью «Фонтанке» вы сказали, что хакеры перестали хулиганить и их действия направлены только на зарабатывание денег. Сейчас ситуация опять изменилась?
- Мы говорим о хактивизме. Мы говорим о том, что это движение сейчас переживает второе рождение. И тут нужно понимать, что хактивизм - это атаки, не несущие явную финансовую выгоду для организаторов. Но киберпреступность, которая создает вредоносные программы, она как была, так и существует. С ней ничего не случилось, и наши с вами компьютеры заражают именно они. И я совсем не исключаю того, что многие из тех киберпреступников, которые пишут те же самые блокировщики, одновременно с этим являются представителями этого движения хактивистов и пытаются при помощи взломов отстоять свои гражданские позиции. Человек в настоящее время может одновременно быть и вирусописателем, и хактивистом, и организовывать DDoS-атаки, и зарабатывать деньги на этом, и делать это just for fun. Я же не сказал, что тенденция меняется. Просто способов поведения людей в Интернете становится больше.
- Сейчас, наверное, еще нельзя в полной мере употреблять термин "кибероружие". Это пока отдельные группы романтиков, мошенников, отстаивающих свои гражданские позиции. Но на пресс-конференции «Вирусные итоги года» вы упомянули, что в ряде стран уже появились специализированные отделы. Россия еще пока к этому не готова? У нее еще нет мысли создать какой-нибудь отряд кибервойск?
- На той карте, которую я показывал, среди названий стран России нет. Но дело в том, что это страны, которые официально объявили о киберактивности. Россия официально не объявляла, но это не отменяет тот факт, что, может быть (я лично не знаю), у нас подобное подразделение уже существует и работает. Я, по крайней мере, очень сильно на это надеюсь. Потому что не иметь инструмента для защиты национальных интересов в наше время весьма чревато.
- Вопрос из области фантастики. Возможно ли, что государство, имея такой отдел, такое оружие, может обрушить его на сайты оппозиции, например на неугодных людей?
- Это политический вопрос.
- Технически это возможно?
- Для этого не нужны хакеры. Для того чтобы отключить неугодный ресурс, государству хакеры не нужны. Посмотрите на Китай, как он решает проблему ограничения доступа своих граждан на ряд ресурсов. В Китае доступ на «Википедию» закрыт, закрыт доступ в «Фейсбук». Стоит фильтрация на государственном уровне. Вы не можете с территории Китая зайти на эти сайты. Все безо всякого DDoS.
- На какие сайты закрыт доступ в России?
- Не знаю. Вроде все открываются.
- Не так давно появился термин «информационная война». Сейчас появляется термин «кибервойна». Если предположить, что в каждой стране уже появилось по отряду кибервойск, как может быть реализована эта кибервойна? Что она вообще собой представляет?
- Кибервойна может существовать параллельно с ведением войсковой операции. Возьмем, например, историю с Ливией. Если бы в Ливии были гораздо более развиты коммуникации, армия была бы более тесно завязана на электронные средства, я думаю, были бы применены средства ведения кибервойны. Если раньше люди придумывали бомбы, которые взрываются, то теперь это локальные бомбы, которые в нужный момент просто по команде парализуют систему транспортных путей, светофоров, железнодорожного полотна. Киберконфликты могут происходить вот еще почему. Предположим, что есть две страны, у которых некая проблема, которая назрела уже до такой стадии, что ее решить уже просто необходимо. Но решить дипломатическими путями не получается, а военный способ исключен. Бомбить нельзя, потому что повлечет за собой весьма и весьма серьезные последствия. При этом делать что-то надо. И вот в этой ситуации кибероружие иногда может эту проблему решить. Если смотреть на то, как разворачивается политическая ситуация в мире, и видеть такие конфликты, когда страны дошли до стадии «воевать нельзя, но делать что-то надо», я думаю, можно будет как раз предсказывать появление классического кибероружия. Но в массе своей мы сейчас имеем дело с программами, которые создаются для шпионажа за соседними государствами и программами логических бомб, которые закладываются, чтобы сидеть и ждать своего момента, чтобы вывести из строя противника в случае серьезного конфликта.
- Получается, что развитие цивилизации, когда все становится автоматизированным и управляется при помощи компьютеров, таит в себе опасность. При желании можно отключить от электричества целую страну, и все, война закончилась.
- Да, это все верно. И знаете, что интересно: кибервойна меняет принципиально всю расстановку сил в мире. Сейчас самое сильное государство то, у которого больше всех армия (численность личного состава, вооружения). А если говорить о кибервойнах, то здесь нет прямой зависимости от большой сильной армии. Совсем нет. Для того чтобы создавать кибероружие, не нужны миллионы солдат и миллиарды долларов. Достаточно иногда даже не очень большой команды, но очень хороших профессионалов. Значимость кибероружия будет все больше и больше расти, и некоторые страны, которые раньше не представляли серьезной обычной военной силы, могут стать серьезными игроками в киберпространстве.
- Например, какие государства могут претендовать на звание сверхдержавы?
- Мне кажется, что нужно отдать должное тем разработкам, которые уже ведутся в плане киберзащиты, кибероружия, в первую очередь в Израиле. У Израиля очень хорошо налажен процесс электронных коммуникаций, и они уже проводили некоторые акции по использованию кибероружия для подавления систем противника. Я бы отдельно отметил Германию и Францию. У них хорошие специалисты существуют в области анализа подобных угроз. Сейчас очень много говорят о растущей угрозе со стороны Северной Кореи, которая осознала, что киберармия может превзойти по своим возможностям обычную армию. Там уже несколько тысяч хакеров. В настоящее время США находится в роли отстающих в гонке, они стремятся поддержать свое реноме, но с каждым годом это делать будет все сложнее и сложнее. Я бы еще с большим вниманием посмотрел на Индию. У нее существует очень хорошая школа программистов, и она постоянно находится в перманентном состоянии политических конфликтов со своими соседями. Причем соседями, которые тоже вступили в кибергонку. Например, Китай. Я думаю, что им волей-неволей придется создавать свои кибервойска, и они могут оказаться весьма качественными.
- Кибервойны - это будущее насколько ближайшее? Десятилетия, столетия должны пройти, прежде чем страны начнут друг друга вырубать из розетки?
- Все зависит от политики. Кибервойны не будут чем-то оторванным от общих процессов в мире. Если будут проходить военные и политические конфликты, то понятно, что составной частью любого подобного конфликта будет кибероружие. Особенно если стороны конфликта имеют соответствующий уровень инфраструктуры и зависят от электронных коммуникаций. Я думаю, это уже стало реальностью. А дальше оно будет зависеть от того, как часто будут происходить подобные конфликты. Но то, что без кибероружия не обойтись, я думаю, это понятно всем.
Беседовала Юлия Никитина, «Фонтанка.ру»