И почему кибероружие уже вытесняет стратегическое вооружение и банальные танки? Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев в интервью санкт-петербургскому изданию «Фонтанка.ru» назвал также страны, которые могут претендовать на звание сверхдержав в киберпространстве.
— Александр, для начала объясните нам, непродвинутым пользователям, в чем отличие DoS-атаки от DDoS-атаки и уж тем более от хакерской атаки.
— DoS и DDoS на самом деле отличаются только тем, как осуществляется атака. По сути, эти термины — синонимы. DDoS — это атака при помощи ботнета (сеть компьютеров, зараженных вредоносной программой. — Прим. ред.). С нескольких десятков тысяч зараженных компьютеров идут множественные запросы. Сервер пытается их обработать, не справляется и зависает. DoS может быть вызван одним-единственным компьютером, который посылает специально сформированный пакет, и сервер его не может обработать. Хакерская атака — это несколько другой вид атаки на веб-сайты. Она заключается в основном во взломе сайта и изменении информации. Подобный случай был с сайтом «Коммерсанта», когда атакующим удалось изменить записи на серверах управления таким образом, что при попытке зайти на сайт «Коммерсанта» посетители попадали на совершенно другой сайт.
— Похожая история была в Петербурге с сайтом «Зенита».
— Да. Совершенно верно. То есть не взлом сайта, а взлом управляющих записей. Это тоже хакерская атака. Сам сайт доступен, а цель атакующих как раз в том, чтобы как можно больше людей увидели результат их работы. Цель DDoS — сделать сайт неработающим.
— Действительно ли в предвыборный период было зафиксировано увеличение числа DDoS-атак, или на них обратили внимание только в силу повышенного интереса к теме?
— Сложная ситуация на самом деле. DDoS-атаки мы видели на протяжении всего года. В России же DDoS-атаки и предвыборный период — это совпадение. Да, мы однозначно видели увеличение числа посетителей, и многие из ресурсов, которые перестали работать в эти дни, на самом деле стали жертвами своей популярности. Они просто не справились с наплывом посетителей на свои страницы. Зачастую эти перебои в работе были расценены как DDoS-атаки. Это как снежный ком все накапливалось, и где слухи, где правда — все перемешалось. Мы сейчас этот клубок пытаемся распутать, где же были действительно DDoS-атаки, а где этих атак не было. Совсем не каждое явление — обязательно DDoS-атака. Например, интересная ситуация сложилась с LiveJournal. В апреле этого года мы видели, что DDoS-атака есть, а сама администрация отрицала, никак не признавала. Но потом в августе, когда мы атак уже не видели, они вдруг сказали, что идут DDoS-атаки. Вот у нас с тех пор идет такое весьма тщательное наблюдение за ЖЖ: мы пытаемся понять, «досят» их или не «досят». Быть может, они пытаются новые технологии внедрить, и у них все виснет. LiveJournal — это такая отдельная тема, где у нас нет пока ответа, что с ними происходят. Что же касается других ресурсов, то мы на своих системах мониторинга в те выходные (3 — 4 декабря 2011 года — выборы в ГД РФ. — Прим. ред.) действительно видели DDoS-атаки на ряд СМИ. Наиболее массивная атака была на сайт «Карта нарушений. Выборы2011».
— «Карта нарушений» не совсем СМИ…
— Скажем так, многие СМИ размещали на своих страницах данные «Карты нарушений». В результате, когда она вышла из строя, волной затронуло и их. С рядом ресурсов, которые пострадали от DDoS-атаки, мы сейчас тесно сотрудничаем: смотрим, анализируем данные (они нам предоставили логи доступа), пытаемся понять, что же это было. Пока мы видим совпадение. С одной стороны, многократно, в 4 — 5 раз, выросло число посетителей, с другой стороны, есть признаки DDoS. Но таких небольших ботнетов с 5 — 10 тысяч компьютеров. Это такой маленький ботнет, и сайт, который не предназначен для обслуживания такого большого спроса, очень быстро выходит из строя. Я думаю, что они бы вышли из строя, даже если бы не было DDoSа. Весьма интересная была ситуация с сайтом «Коммерсанта», который тоже не работал, тоже было объявлено, что произошла DDoS-атака, которую мы не видели. Спустя некоторое время они признали, что никакой атаки не было, у них были последствия взлома сайта, который произошел за 4 дня до того, из-за этого у них велись технические работы, и сайт не работал.
Скажем прямо, DDoS-атаки — это не только средство выведения сайта из строя, но и для многих ресурсов — это явный способ заявить о себе, пропиариться. Я думаю, что такие примеры, к сожалению, существуют. Не знаю, вольно или невольно это происходит, но любые неполадки в работе сайтов сейчас рассматривают только с этой точки зрения, что их, вероятнее всего, атакуют. Хотя зачастую это совсем не так. Гораздо больше атак, более сильных и мощных, происходит незаметно для широкой публики, о них никто не говорит, не пишет, но они существуют. И именно они являются главной проблемой Рунета.
— Какие мотивы могут быть у хакеров, помимо того, чтобы показать всему миру свою крутизну?
— Если говорить о хакерских атаках, то мы возвращаемся к теме хактивизма. Большинство атак совершается just for fun — просто по приколу. Просто им так захотелось, хулиганство, кибергопота. Подавляющее большинство атак происходит по этой причине. Если же говорить о DDoS-атаках, то здесь чаще всего замешаны коммерческие интересы. DDoS в России в основном заказывают, чтобы вывести из строя своих конкурентов. К ним на сайт никто не попадает, у них никто ничего не покупает, все идут к нам. Вот это наиболее распространенная ситуация.
— А если вернуться к предвыборной тематике, были ли в этот период случаи атак на государственные сайты? Например, та же система ГАС «Выборы».
— ГАС «Выборы» атакам не подвергается по той причине, что ГАС «Выборы» не подключена к сети Интернет. Это отдельная закрытая сеть, которую атаковать невозможно. Что же касается сайтов государственных органов, то здесь ситуация гораздо более печальна. Нет, никаких DDoS-атак в период выборов мы не отмечали, но до этого, за месяц, за два, были десятки инцидентов со взломами именно ряда ведомственных ресурсов. Причем взламывались они не с целью вывесить какую-нибудь картинку, а на взломанных сайтах размещались вредоносные ссылки. Человек, попадая на сайт, например, МЧС, на самом деле мог заразиться вирусом. Это весьма тревожная тенденция именно по России. Что киберпреступность взламывает сайты ведомств и размещает там вредоносные программы. Вот такого я, признаться, в других странах не припомню. В последнее время в России это как-то внезапно проявилось. И делается это не с целью навредить госорганам, а с целью заразить как можно большее число компьютеров.
— А это делают из России или из-за рубежа?
— В тех случаях, которые мы видим, это явно дело рук русских. Зарубежные хакеры не были в таких вещах замечены на территории России. Целью является заразить именно российских пользователей. Всегда нужно смотреть, что происходит после заражения, что за вирус остался на компьютере. И вот то, что мы видим, это как раз программы, которые блокируют работу Windows и просят отправить СМС или деньги на некий номер мобильного телефона. А это явно русскоязычная киберпреступность, никакие китайские или латиноамериканские хакеры этого просто не сделают.
— То есть если раньше блокеры-вымогатели можно было поймать на порносайтах, то теперь их легко отловить и на других ресурсах?
— Сейчас можно подцепить вирус где угодно.
— Полтора года назад в в своем интервью «Фонтанке» вы сказали, что хакеры перестали хулиганить и их действия направлены только на зарабатывание денег. Сейчас ситуация опять изменилась?
— Мы говорим о хактивизме. Мы говорим о том, что это движение сейчас переживает второе рождение. И тут нужно понимать, что хактивизм — это атаки, не несущие явную финансовую выгоду для организаторов. Но киберпреступность, которая создает вредоносные программы, она как была, так и существует. С ней ничего не случилось, и наши с вами компьютеры заражают именно они. И я совсем не исключаю того, что многие из тех киберпреступников, которые пишут те же самые блокировщики, одновременно с этим являются представителями этого движения хактивистов и пытаются при помощи взломов отстоять свои гражданские позиции. Человек в настоящее время может одновременно быть и вирусописателем, и хактивистом, и организовывать DDoS-атаки, и зарабатывать деньги на этом, и делать это just for fun. Я же не сказал, что тенденция меняется. Просто способов поведения людей в Интернете становится больше.
(…)
— Не так давно появился термин «информационная война». Сейчас появляется термин «кибервойна». Если предположить, что в каждой стране уже появилось по отряду кибервойск, как может быть реализована эта кибервойна? Что она вообще собой представляет?
— Кибервойна может существовать параллельно с ведением войсковой операции. Возьмем, например, историю с Ливией. Если бы в Ливии были гораздо более развиты коммуникации, армия была бы более тесно завязана на электронные средства, я думаю, были бы применены средства ведения кибервойны. Если раньше люди придумывали бомбы, которые взрываются, то теперь это локальные бомбы, которые в нужный момент просто по команде парализуют систему транспортных путей, светофоров, железнодорожного полотна. Киберконфликты могут происходить вот еще почему. Предположим, что есть две страны, у которых некая проблема, которая назрела уже до такой стадии, что ее решить уже просто необходимо. Но решить дипломатическими путями не получается, а военный способ исключен. Бомбить нельзя, потому что повлечет за собой весьма и весьма серьезные последствия. При этом делать что-то надо. И вот в этой ситуации кибероружие иногда может эту проблему решить. Если смотреть на то, как разворачивается политическая ситуация в мире, и видеть такие конфликты, когда страны дошли до стадии «воевать нельзя, но делать что-то надо», я думаю, можно будет как раз предсказывать появление классического кибероружия. Но в массе своей мы сейчас имеем дело с программами, которые создаются для шпионажа за соседними государствами и программами логических бомб, которые закладываются, чтобы сидеть и ждать своего момента, чтобы вывести из строя противника в случае серьезного конфликта.
— Получается, что развитие цивилизации, когда все становится автоматизированным и управляется при помощи компьютеров, таит в себе опасность. При желании можно отключить от электричества целую страну, и все, война закончилась.
— Да, это все верно. И знаете, что интересно: кибервойна меняет принципиально всю расстановку сил в мире. Сейчас самое сильное государство то, у которого больше всех армия (численность личного состава, вооружения). А если говорить о кибервойнах, то здесь нет прямой зависимости от большой сильной армии. Совсем нет. Для того чтобы создавать кибероружие, не нужны миллионы солдат и миллиарды долларов. Достаточно иногда даже не очень большой команды, но очень хороших профессионалов. Значимость кибероружия будет все больше и больше расти, и некоторые страны, которые раньше не представляли серьезной обычной военной силы, могут стать серьезными игроками в киберпространстве.
— Например, какие государства могут претендовать на звание сверхдержавы?
— Мне кажется, что нужно отдать должное тем разработкам, которые уже ведутся в плане киберзащиты, кибероружия, в первую очередь в Израиле. У Израиля очень хорошо налажен процесс электронных коммуникаций, и они уже проводили некоторые акции по использованию кибероружия для подавления систем противника. Я бы отдельно отметил Германию и Францию. У них хорошие специалисты существуют в области анализа подобных угроз. Сейчас очень много говорят о растущей угрозе со стороны Северной Кореи, которая осознала, что киберармия может превзойти по своим возможностям обычную армию. Там уже несколько тысяч хакеров. В настоящее время США находится в роли отстающих в гонке, они стремятся поддержать свое реноме, но с каждым годом это делать будет все сложнее и сложнее. Я бы еще с большим вниманием посмотрел на Индию. У нее существует очень хорошая школа программистов, и она постоянно находится в перманентном состоянии политических конфликтов со своими соседями. Причем соседями, которые тоже вступили в кибергонку. Например, Китай. Я думаю, что им волей-неволей придется создавать свои кибервойска, и они могут оказаться весьма качественными.
— Кибервойны — это будущее насколько ближайшее? Десятилетия, столетия должны пройти, прежде чем страны начнут друг друга вырубать из розетки?
— Все зависит от политики. Кибервойны не будут чем-то оторванным от общих процессов в мире. Если будут проходить военные и политические конфликты, то понятно, что составной частью любого подобного конфликта будет кибероружие. Особенно если стороны конфликта имеют соответствующий уровень инфраструктуры и зависят от электронных коммуникаций. Я думаю, это уже стало реальностью. А дальше оно будет зависеть от того, как часто будут происходить подобные конфликты. Но то, что без кибероружия не обойтись, я думаю, это понятно всем.
Источник: Юлия Никитина, «Фонтанка.ру»