LiveJournal недооценивает масштаб угрозы от DDoS-атаки - эксперты
6 апреля 2011 года
Иван Шадрин. Блог-сервис LiveJournal ("Живой журнал", ЖЖ) действительно подвергается мощнейшей DDoS-атаке, и его руководство недооценивает масштаб угрозы, считают эксперты в области информационной безопасности, опрошенные в среду .
Ранее в ряде СМИ появилась информация о том, что, заявляя о DDoS-атаке, руководство LiveJournal пыталось скрыть ошибку инженеров сервиса, которые неправильно установили новое оборудование и программное обеспечение (ПО) при обновлении системы блог-хостинга. Такие выводы делались, в том числе, из-за того, что руководство LiveJournal до сих пор не подало заявление в правоохранительные органы и не обратилось за помощью к специализированным компаниям.
Эксперты, опрошенные , считают, что истинной причиной недоступности сервиса действительно является мощнейшая DDoS-атака.
"С такого рода акцией не смогли бы справиться и многие другие популярные сервисы, так как это была действительно очень мощная атака по плотности генерации вредоносного трафика относительно "ЖЖ", - сказал директор Центра вирусных исследований и аналитики ESET Александр Матросов.
По оценкам компании Group IB (специализируется на информационной безопасности), интенсивность атаки на LiveJournal составляла 20 Гбит/сек. При этом по официальным данным "ЖЖ" может "отдавать" трафик в ответ на запросы только со скоростью 2 Гбит/сек. По словам Матросова, варианты противодействия DDoS-атаке есть, но их не так много.
"В первую очередь это правильная балансировка пропускной способности канала и использование резервного канала для случаев атаки, когда нужна дополнительная пропускная способность. В процессе атаки можно выделить образцы трафика, с использованием которого осуществляется атака, и пытаться отсечь их", - пояснил эксперт.
Однако он добавил, что, как правило, если атака осуществляется опытными злоумышленниками, то они меняют свою тактику в процессе.
Так и вышло в случае с LiveJournal. По его словам, для усложнения атаки злоумышленники периодически меняли тактику и использовали слабые стороны со стороны защиты для усиления ее эффекта.
Примером такой смены тактики стало то, что характер атаки на прошлой неделе отличается от того, как действовали хакеры на этой. Изначально атаке подвергались конкретные блоги, на этой неделе целей стало больше. По мнению Матросова, скорее всего, такая смена тактики связана с желанием хакеров "размыть" атаку. В этом случае IT-специалистам LiveJournal гораздо сложнее определить и отсечь "шаблоны" трафика, атакующего сервис.
АЛЬТЕРНАТИВНЫЕ СПОСОБЫ БОРЬБЫ
Помимо борьбы с атаками "собственными силами", существует возможность привлечь сторонние компании, профессионально занимающимися отражением DDoS-атак.
"Существует следующий механизм защиты от DDoS-атак: c помощью тривиального изменения маршрутизации в интернете. Весь трафик вместо сервера, на который осуществляется атака, перенаправляется на сервера компании, специализирующейся на отражении подобных атак", - пояснил генеральный директор компании Group IB Илья Сачков. После этого трафик "прогоняется" через многоступенчатую систему очистки.
"Данный программно-аппаратный комплекс может с высокой степенью вероятности отличить вредоносный трафик, создаваемый зараженными компьютерами по команде хакера, от легитимного трафика, создаваемого обычными пользователями. Благодаря фильтрации трафика, вредоносный трафик блокируется, а легитимный направляется на сервер атакуемого веб-ресурса. В итоге на сервер приходят только легитимные запросы", - добавил Сачков.
В России работает целый ряд компаний, предоставляющих подобного рода услуги. Стоимость услуг таких компаний зависит от объема очищаемого трафика. По словам представителя рынка услуг по очистке трафика, пожелавшего остаться неназванным, стоимость может варьироваться от тысячи долларов за месяц обслуживания, "и до бесконечности".
Как сообщила пресс-служба LiveJournal, представители сервиса пока не обращались к аутсорсинговым компаниям, занимающимся очисткой трафика, но не исключают такой возможности.
"К сожалению, большинство представителей российского и западного бизнеса довольно неохотно инвестирую деньги в безопасность", - отметил в беседе с директор по маркетингу компании SecurIT (специализируется на информационной безопасности) Александр Ковалев.
НЕЯСНЫЙ МОМЕНТ
Впрочем, есть в реакции руководства LiveJournal на атаку и трудно объяснимые моменты, отмечают эксперты.
Одним из вариантов противодействия DDoS-атаке является обращение в правоохранительные органы, чего руководство LiveJournal пока тоже не сделала, но "не исключает такой возможности". Этот факт весьма удивил специалистов "Лаборатории Касперского", опубликовавших во вторник результаты своего исследования атаки на LiveJournal.
Как рассказали представители "Лаборатории Касперского", обычно в случае обращения к правоохранительным органам возбуждается уголовное дело, на основании которого эксперты, сотрудничающие с правоохранителями, выясняют местоположение управляющих серверов бот-сети или сетей, участвовавших в атаке, и связываются с хостинг-провайдерами, на чьих площадках размещаются серверы. Как правило, владельцы большинства хостинг-площадок отключают серверы управления после первых жалоб.
Эффективность обращения к правоохранительным органам признали и в компании SecurIT.
"Реально с серьезными DDoS-атаками можно бороться только через суды, так как по большому счету в ответ на любое улучшение системы безопасности, направленное на защиту, можно улучшить параметры атаки, например, создать еще большую бот-сеть", - сказал директор по маркетингу компании Александр Ковалев.
По словам представителей "Лаборатории Касперского", в атаке на LiveJournal совершенно точно участвовали десятки тысяч зараженных компьютеров.
ДЕЛО ТЁМНОЕ
Специалисты "Лаборатории Касперского" считают, что значительная часть этих компьютеров была включена в бот-сеть Darkness\Optima - весьма популярной в данный момент на черном рынке русскоязычной киберпреступности.
По мнению Александра Матросова из ESET, Darkness\Optima обеспечил основную часть атаки, в которой, кроме этой, участвовало еще несколько бот-сетей. По оценкам Матросова, всего LiveJournal атаковало несколько сотен тысяч зараженных компьютеров.
Специалисты "Лаборатории Касперского" отметили, что, несмотря на популярность бот-сети среди киберпреступников, выявить серверы управления Darkness\Optima сложно, не имея полной информации об атаке, которая сейчас есть только у LiveJournal, и которую сервис пока по каким-то причинам не раскрывает.
В среду в официальном блоге LiveJournal появилась информация о том, что атаку удалось отбить, и сервис работает корректно. Ранее такое сообщение уже публиковалось руководством сервиса, но вскоре он снова подвергся атаке. Не исключено, что и на этот раз атака возобновится.
Остаются неясными и ее цели: сейчас в СМИ и блогах обсуждаются две основных теории: либо атака была организована неизвестными лицами с целью "заставить замолчать" ряд политически активных блогеров, либо чтобы подорвать позиции "Живого Журнала" на рынке, где у него становится все больше конкурентов.
Большинство опрошенных экспертов воздержались от комментариев о целях, которые преследовала атака. Александр Ковалев придерживается "конкурентной" теории.
"Возможно, российский интернет уже вступил в ту стадию, когда DDoS-атака является лишь инструментом маркетинга. В любом случае пора активно использовать УК РФ для привлечения виновников такой конкурентной борьбы к серьезной ответственности", - считает эксперт.