Полиция не стала возбуждать уголовное дело из-за DDoS-атак на LiveJournal
Полиция не стала возбуждать уголовное дело по факту хакерской атаки на LiveJournal в марте-апреле 2011 года. Как пишет Газета.Ру. об этом говорится в материалах главного управления МВД по Москве.
Проверка по заявлению компании "СУП Фабрик", владельца Livejournal, проводилась отделом уголовного розыска ОВД московского района "Дорогомилово" при участии управления К Главного управления МВД по Москве. Как установили в полиции, "распределенная атака типа "отказ в обслуживании" на сервера http://livejournal.ru и http://livejournal.com" представляет собой ежеминутное отправление более тысячи неправомерных запросов на подключение к ресурсу. Владелец LiveJournal компания "СУП Фабрик" предоставила МВД информацию о подключении пользователей к сайту во время DDoS-атаки – более ста тысяч соединений.
В ходе анализа этих данных оперуполномоченный отдела уголовного розыска ОВД "Дорогомилово" установил, что атака велась из регионов России, стран Азии, Африки, Европы и Южной Америки. Но "идентифицировать неправомерные запросы" в полиции не смогли "в связи с большим объемом пользователей". На этом основании в ОВД "Дорогомилово" приняли решение об отказе в возбуждении уголовного дела "за отсутствием события преступления".
Между тем, по данным полиции, атака продолжается: она началась 30 марта 2011 года и идет по настоящее время. В LiveJournal это опровергают, настаивая на том, что первая серия масштабных атак началась 30 марта и закончилась в апреле 2011 года, а вторая сильнейшая атака началась 25 июля и закончилась 29 июля.
"Официального определения об отказе в возбуждении уголовного дела по факту DDoS-атак на сервис в марте-апреле мы не получали", – заявила Светлана Иванникова, руководитель LiveJournal Russia. "По последним DDoS-атакам на LiveJournal.Com на данный момент ведется расследование, мы предоставляем управлению К МВД России и следственным органам США дополнительную информацию, и решение о возбуждении уголовного дела или отказе пока не принято", – подчеркнула она.
DDoS-атаки, произошедшие в марте, возмутили президента Дмитрия Медведева, у которого также есть блог. Тогда Медведев назвал атаки "возмутительными" и "незаконными" и потребовал у правоохранительных органов разобраться с инцидентом.
Справка
DDoS-атаки
Суть DDoS-атаки
DDoS-атака (distributed denial-of-service attack) - это распределенная атака типа отказ в обслуживании. В настоящее время DDoS-атака становится одним из самых распространенных и опасных видов сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы, нарушая или же полностью блокируя обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак - длительные простои, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер.
Сама технология DoS-атак известна уже достаточно давно. Еще до того, как появились программные средства для распределенных DoS-атак, существовали коммерческие "закрытые" программы, способные управлять распределенными пересылками пакетов с множества машин на один определенный адрес. Таким образом можно было определить, какой объем трафика сеть вообще способна "переварить", выяснить, должна ли пропускная способность адресатов быть улучшена, насколько надежно будет функционировать система при запланированной нагрузке. При разработке инструментария DDoS выяснилось, что наиболее губительной оказывается пересылка пакетов, имеющих ошибочную структуру. Особенно так называемых ICMP-пакетов (Internet control messaging protocol). Эти пакеты предназначены для управления конфигурацией сети. В случае, если подобный пакет оказывается ошибочным, довольно большое время тратится на его обработку и - после принятия решения о его ошибочности - на возврат пакета посылающему. То есть, по сравнению с обычным сетевым пакетом, возрастали как время обработки пакета, так и общий трафик сети.
Большинство DDoS-атак также базируется на использовании уязвимостей в основном интернет-протоколе TCP/IP, в частности, на способе обработки системами запроса SYN. Широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в глобальной Сети технологий обеспечения безопасности. Ситуация усугубляется тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом значительно затрудняется выявление реальных злоумышленников. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и общего роста Интернета. Операционная система Windows - мишень для абсолютного большинства взломщиков. Многие средства DDoS общедоступны, а для их использования не требуется высокой квалификации. Впрочем, типовая атака отказа в обслуживании может использоваться и как компонент весьма замысловатой многоступенчатой атаки.
Типы DDoS-атак
Существует два основных типа атак, вызывающих отказ в обслуживании. Во-первых, взломщик может посылать жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке. Этот тип атаки наиболее эффективен, поскольку сервер можно привести в неработоспособное состояние с помощью всего нескольких сетевых пакетов. И в большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима ее перезагрузка администратором.
Второй (более распространенный) тип атак использует "метод грубой силы": то есть производится настоящее "наводнение" системы или локальной сети большим количеством "мусорной" информации, которое невозможно обработать вовремя. Допустим, система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет вдвое больше. Если "настоящие" пользователи попытаются подключиться к этой же системе, то они, естественно, получат отказ в обслуживании, поскольку свободных ресурсов уже не останется (происходит переполнение буфера). Но при такой атаке злоумышленник должен постоянно пополнять систему "лживыми" пакетами. После того как он перестает это делать, проведение атаки прекращается, и система (в большинстве случаев) просто возобновляет нормальную работу. Как правило, при проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего это сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем (производится их предварительное "зомбирование", например, с помощью разосланных со спамом вирусов или троянов). Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов (с множества компьютеров, разбросанных по всему миру), становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействованы тысячи компьютеров, то блокировать их становится чрезвычайно трудно.
Жертвы DDoS-атак у нас и за рубежом
Сетевое сообщество было вынуждено обратить на DDoS-атаки самое пристальное внимание в начале февраля 2000 года, когда одновременно было атаковано множество крупнейших американских коммерческих серверов - Amazon.com, CNN.com, Buy.com, Yahoo!, ZDNet, E-Trade.com, eBay.com - и еще целый ряд популярных сайтов.
В октябре 2002 года произошла атака на корневые серверы Интернета - семь из тринадцати оказались временно недоступными.
21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое.
10 и 14 октября 2003 года атаки DDoS были организованы на сеть Zenon/Internet компании "Зенон Н.С.П.". К техническим средствам сети, участвующим в оказании услуг пользователям, было направлено огромное число запросов на установление соединения (порядка 500 тысяч в секунду), причем запросы формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов.
Подобным атакам подвергались и продолжают подвергаться сети сотен компаний. Естественно, они не обходят стороной и компании, оказывающие интернет-услуги, вызывают затруднения или невозможность их использования. Эта беда коснулась и сайта microsoft.com, и ресурсов российских компаний - Valuehost, .masterhost и других. С мощными DDoS-атаками порой возникают проблемы у операторов национального масштаба, например, РТКомм.Ру.
В Интернете уже давно бушуют конфликты - от дилетантских взломов сайтов небольших фирм или "неприятных" интернет-изданий до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. В последние годы преступники используют DDoS-атаки также для вымогания денег у онлайновых казино, банков или для атак на конкурентов. Частота DDoS-атак постепенно увеличивает с 1-2 в месяц до 1-2 в неделю. Все чаще DDoS-атаки используют в своих целях организованные преступные группировки. В Рунете уже появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за сотню-другую баксов в сутки. Однако серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют криминальные структуры.
Преступления в сфере компьютерных технологий отличаются прежде всего своей безнаказанностью. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%.
Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего сказывается боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант - опасения топ-менеджеров, что начавшееся расследование вскроет их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес-структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами.
Использованы материалы:
Анатомия DDoS-атаки
Краткое описание DDoS-атак
Распределенные DDoS-атаки: чем одолеть лавину?
Как защититься от DDoS-атак
Цена DDoS-атаки
Информация об атаках на сеть Zenon/Internet
Крупные провайдеры признаны источниками DDoS-атак