В прошлом году рунет пережил настоящее «DDoS-обострение», констатировала в декабре 2011 г. «Лаборатория Касперского». DDoS — Distributed Denial of Service, или распределенная атака типа «отказ в обслуживании». Она происходит так: сначала злоумышленники заражают специальным вирусом множество компьютеров по всему миру, затем объединяют эти компьютеры — само собой, не спрашивая разрешения у их владельцев, — в единую сеть-ботнет (от «робот», или, для краткости, «бот»), и та засоряет «мусорным» трафиком каналы, связывающие сервер жертвы с внешним миром. Миллионы зараженных компьютеров генерируют миллиарды технических запросов на сервер, которые тот не в состоянии обработать и выдает тот самый отказ в обслуживании.

Большой резонанс в 2011 г. получили DDoS-атаки на сайты газет — «Коммерсанта», «Ведомостей», — а также на сервис блогов Livejournal.com («Живой журнал», ЖЖ), который не работал в общей сложности более недели. Одной из целей атаковавших был ЖЖ-блог Алексея Навального.

Но страдают не только журналисты и блогеры. По данным «Лаборатории Касперского», в 2011 г. две крупные атаки пережили сайты турфирм: один — перед началом летних отпусков, другой — перед новогодними каникулами. А уже в январе 2012 г. из-за хакерской атаки на три дня вышел из строя сайт Федеральной антимонопольной службы.

Контрольная закупка по-немецки

Уникальный опыт борьбы с DDoS есть у Германии — эта страна год назад начисто избавилась от проблем с кибератаками, рассказывает Илья Сачков, гендиректор компании Group IB, расследующей киберпреступления. Еще в 2009 г. Германия была, по данным антивирусной компании Symantec, на пятом месте в мире по активности местных ботнетов (после США, Китая, Бразилии и Тайваня), а в 2010 г. — вообще на втором после США. (Россия в 2010 г. даже не вошла в первую десятку таких стран.) В 2010 г. на Германию приходилось 10% всей ботнет-активности в мире, оценивала Symantec.

В конце 2009 г. Ассоциация немецкой интернет-индустрии Eco разработала специальную программу Anti-Botnet Beratungszentrum для поиска владельцев зараженных компьютеров, информирования их об опасности и предоставления консультаций о лечении и защите ПК. Бюджет программы был невелик — $2,7 млн, эти деньги выделило в августе 2010 г. немецкое МВД. А техническую поддержку программы обеспечил федеральный офис информационной безопасности (BSI).

Параллельно с этим весной 2010 г. сотрудники правоохранительных органов Германии зарегистрировались в закрытых разделах интернет-форумов немецких хакеров и мало-помалу вычислили основные группы, принимавшие заказы на организацию DDoS-атак против любых сайтов — от конкурентов до политических оппонентов, рассказывает Сачков. В августе 2010 г. борьба с хакерами перешла в активную фазу: сотрудники полиции связались с лидерами хакерских сообществ и, представившись заказчиками, оплатили атаки на несколько сайтов. Дальше дело было за техническими экспертами и юристами: они собрали доказательства атак на сайты жертв, полиция возбудила уголовные дела и выиграла их в суде. К весне 2011 г. в Германии были осуждены 20-24 хакерские группы, занимавшиеся DDoS-атаками.

О том, что немецкая полиция проводит спецоперации против организаторов DDoS-атак, знает из общения с экспертами из Германии и другой российский специалист — сотрудник компании, специализирующейся на компьютерной безопасности.

Полиции помогали все крупные немецкие интернет-провайдеры, отмечает Сачков: они делились с ней статистикой по атакам, при необходимости отключали от интернета узлы с наиболее активными зараженными компьютерами. Помогли и сотрудники университетов, разработавшие специальные методические пособия для полиции и судей, благодаря чему злоумышленников и удалось изобличить.

К весне 2011 г. заказать на территории Германии DDoS-атаку было практически нереально, говорит Сачков: киберпреступники стали остерегаться работать в этой стране и атаковать немецкие сайты с ее территории. Хакеры, оставшиеся на свободе, предпочли перенести бизнес в соседние страны, прежде всего Францию и Польшу. «Если все страны хотя бы Евросоюза примут похожую программу, опыт Германии можно повторить меньше чем за год», — уверен эксперт. Да и в России с помощью аналогичных полицейских операций тоже можно победить DDoS, не сомневается он.

Есть нюансы

Российских организаторов DDoS-атак такими методами не одолеть, уверен журналист газеты Financial Times Джозеф Менн. Он автор книги Fatal System Error («Фатальная ошибка системы»), большая часть которой посвящена российским киберпреступникам и делу о DDoS-атаках на букмекерские сайты, в результате которого трех россиян арестовали. Проблема России в том, что здесь слишком много технически одаренных людей, способных провести DDoS-атаку, — их тысячи, и несколько десятков уголовных дел отпугнут далеко не всех, считает Менн. Уголовные дела, по его мнению, приведут к арестам одних лишь «мулов» — так Менн называет наемных сотрудников, обналичивающих платежи за заказные атаки по поручению настоящих преступников. Те, кто попадется на этом, надолго за решетку не попадут: хакеры наймут множество студентов, и каждый из них будет зарабатывать сумму, которой едва хватит, чтобы стать основанием для возбуждения уголовного дела.

Другая особенность России, о которой пишет Менн, — коррумпированность полиции и связи отдельных полицейских с преступниками. В середине 2000-х гг. в России расследовалось дело о рэкете букмекерских сайтов, в результате которого впервые удалось осудить трех организаторов DDoS-атак. Они шантажировали британские букмекерские сайты — совершали DDoS-атаки на сайты интернет-тотализаторов, после чего вымогали у них деньги ($5000-50 000) в обмен на прекращение атак. Один из обвиняемых, Александр Петров, оказался сыном крупного милицейского чина Астрахани Александра Петрова, бывшего начальника отдела «К» УВД Астраханской области, который как раз и отвечает за расследование киберпреступлений и поимку хакеров. В интернете можно даже найти интервью Петрова, которое он давал еще будучи начальником отдела «К» областного УВД. Он сетовал, что для возбуждения уголовного дела против хакера нужно собрать множество документов: «Вот и получается, что, пока мы собираем все необходимые документы, сроки поиска интернет-преступников увеличиваются».

В книге Менна красочно описано, как дружелюбно Петров-старший встретил следователя из Москвы и британского оперативника, прилетевших в Астрахань арестовывать организаторов кибератак, но поначалу не подозревавших о родственных связях одного из них с милицейским начальством. Сперва он сводил их в ресторан, затем предложил поохотиться (вместо того чтобы отправиться на оперативное задание), а ночью заподозривших неладное гостей ждал сюрприз: в их гостиничный номер едва не ворвались люди, представившиеся охраной. Тем временем сын гостеприимного милиционера исчез вместе с компьютером (впоследствии он сам сдался властям), а отца задержали — впрочем, через месяц отпустили и даже восстановили на службе, хотя и с понижением в должности.

В 2006 г. Петрова-младшего и двух его компаньонов приговорили к восьми годам колонии строгого режима и 100 000 руб. штрафа. Пока шел суд, пишет Менн, судье предлагали взятку в $1 млн; кроме того, из-за коррупции в милиции не удалось доказать вину еще нескольких участников преступной группы из Пятигорска. Не помогло даже вмешательство ФСБ.

Российский опыт

Для рассуждений о том, что в России мешает бороться с DDoS-атаками, пока не хватает статистики. Из всех известных уголовных дел, возбужденных в отношении участников DDoS-атак, до суда дошло только одно, о котором и повествует Джозеф Менн. Оно является уникальным хотя бы потому, что в российском расследовании принимал участие британский оперативник Энди Крокер, который прожил в России несколько лет, а перед этим британцы больше года собирали изобличающие материалы у себя на родине, в США и в Латвии.

Друзья Александра Петрова создали в ЖЖ блог, в котором, в частности, говорится, что вещественным доказательством по делу против трех россиян были якобы изъятые у них лазерные диски с вирусами — причем, возможно, подброшенные оперативниками (мать обвиняемого заявляла, что до обыска этого диска у нее дома не было). Судья отказался провести дактилоскопичекую экспертизу и установить, прикасался ли к диску сам Петров, писала в 2007 г. «Новая газета». Согласно этой статье, защита просила убрать из дела британские вещдоки, полученные в обход российских правил. «Фактически российских граждан осудили по законам Великобритании», — говорил «Новой газете» адвокат одного из обвиняемых Петр Рябов. Представители защиты были настолько уверены в оправдательном приговоре, что некоторые из адвокатов даже не явились в зал суда на его оглашение.

Менн рассказывает, как именно следователи вычислили российских «дидосеров». Дело в том, что один из них — Иван Максаков — использовал для общения в системе чатов IRC регистрационные данные с адресом электронной почты на сайте, зарегистрированном на его реальное имя. Поначалу, пишет Менн, Максаков во всем сознался и даже сдал подельников, которых знал, но после общения с Петровым от своих показаний отказался.

В 2012 г. до суда должно дойти еще одно громкое дело — о DDoS-атаке на платежную систему Assist, из-за которой в 2010 г. несколько дней не работала продажа электронных авиабилетов на сайте «Аэрофлота». Расследует это дело ФСБ. Сперва арестован был исполнитель атаки Игорь Артимович, который сознался в ее проведении и назвал в качестве заказчика основателя и владельца процессинговой компании Chronopay Павла Врублевского. Того арестовали в июне 2011 г., и он тоже признал себя виновным. Врублевского выпустили в декабре 2011 г. после того, как вступили в силу изменения в статьи 272 (о неправомерном доступе к компьютерной информации) и 273 (о создании, использовании и распространении вредоносных программ для ЭВМ) Уголовного кодекса. Врублевский в интервью предполагал, что его выпустили именно благодаря этим изменениям: по новым нормам закона он провел в сизо максимально возможное время содержания под стражей.