Прием против лома. Что может противопоставить офлайн натиску распоясавшихся в Интернете компьютерных преступников?
12.04.2011
С начала марта Рунет сотрясают известия о мощнейших атаках на блог-платформу LiveInternet. Пока блогеры и журналисты живо обсуждали возможных заказчиков атак, а владельцы Живого Журнала раздумывали, стоит ли обращаться за помощью в правоохранительные органы, свое президентское слово сказал Дмитрий Медведев: "Разобраться!" О том, трудно ли разбираться с подобными инцидентами, "Итоги" расспросили Илью Сачкова, генерального директора компании Group-IB. Это единственная в нашей стране коммерческая организация, которая занимается расследованиями высокотехнологичных преступлений в тесной связи с офлайновыми органами правопорядка.
- Илья Константинович, быстро ли пойдет дело с расследованием DDoS-атак на популярный ресурс после указания президента РФ?
- Стоит говорить не только о последнем громком инциденте, а обо всех DDoS-атаках, потому что это один из самых популярных приемов хай-тек-преступников еще с 2008 года. Но вот в чем проблема - пострадавшие обращаются за помощью в правоохранительные органы крайне редко. Владельцы ЖЖ, насколько я знаю, ни к кому не обращались. Более того, мы сами предлагали им свои услуги по аналитике. Прошла неделя. Назначенная встреча не состоялась (не по нашей инициативе), вместо нее произошла следующая атака. Затем еще одна...
- Видимо, кому-то это нужно, чтобы атаку не расследовали?
- Смотрите: ЖЖ - это SUP, российская компания, но это часть международного ресурса, который размещается на серверных площадках в разных странах. По каким-то причинам в тех случаях, когда нашим правоохранительным органам требовались какие-либо сведения от ЖЖ, они крайне редко получали их. Обычно руководство SUP заявляет, что серверы находятся не в России, и необходимая информация будет предоставлена только по решению суда конкретного штата США. И это не единичный случай: большинство организаций, оборудование которых стоит за границей, не помогает нашим правоохранительным органам. Тем более если это зарубежная компания, работающая на нашей территории.
Есть одна такая популярная в России почтовая система, которая работает в разных странах, но ее серверы находятся в США. Она выдает информацию крайне редко, только по особо важным случаям. Чтобы вы понимали, что такое для них "не особо важный" случай, поясню: ущерб до 10 миллионов рублей у них считается мелким происшествием. И хакеры точно знают: если почтовый ящик будет на этом американском сервере, то его переписка не попадет в руки следователей. Ведь никто такой "мелочью" заниматься не будет.
В итоге такая политика транснациональных компаний сыграла с ЖЖ дурную шутку: ведь в случае обращения в правоохранительные органы России им придется опять ссылаться на необходимость постановлений зарубежных судов. На многочисленные согласования, запросы, рассмотрения уйдет огромное количество времени и усилий. При этом вероятность найти виновных будет стремиться к нулю.
- По тем же причинам, думается, зарубежные системы пластиковых карт, например Visa, так ожесточенно сопротивляются открытию процессинговых центров на территории России?
- Конечно. Все хотят все контролировать и при этом самим оставаться максимально бесконтрольными.
- В конкретном случае речь идет о серверах, расположенных в России. Теперь правоохранительные органы смогут приступить к расследованию?
- Статья 140 УПК РФ разрешает в определенных случаях возбуждать уголовное дело (а DDoS-атака - это именно уголовное дело, статьи 272 и 273 УК РФ) по инициативе правоохранительных органов.
Но наше законодательство не говорит, что DDoS-атака - это преступление. Президент РФ вовремя обратил внимание на происходящее: теперь наконец-то правоохранительные органы увидят, что в Рунете сплошь и рядом происходят инциденты, которые непременно следует квалифицировать как преступления.
- Есть мнение, что расследовать компьютерные преступления практически невозможно...
- Это миф. Не скажу, что это легкая работа, обычная наша работа. Расследовать DDoS-атаки можно с вероятностью успеха 95 процентов. Но для такой уверенности очень желательно начинать расследование в день атаки.
- Как оно происходит?
- У нас в нем участвуют разные сотрудники, из трех отделов - мониторинга, аналитики и собственно расследований. Что делают в отделах мониторинга и аналитики? Они годами сидят в Интернете, на хакерских форумах, зачастую на закрытых, элитных, под определенной легендой, которая формируется годами. Некоторые работают под контролем правоохранительных органов, некоторые самостоятельно. Но в целом, конечно, такая работа контролируется государством. Они собирают информацию впрок, работают на опережение. Не фиксируют событие постфактум, а заранее отслеживают тенденции. Поэтому мы понимаем, куда движется рынок киберпреступности, что там происходит. Кроме того, все сообщения об инцидентах мы фиксируем в своей системе, подобной тому, как это сделано в Америке.
- А как там сделано?
- Там, когда к сотруднику ФБР по компьютерным преступлениям приходят новые материалы, он первым делом вбивает всю информацию в компьютер. Зачем? Потому что такими же делами с похожими доказательствами, может быть, занимаются в это же время в других регионах. Для того чтобы деятельность разных групп расследований была скоординированной и максимально эффективной, все данные сводятся в единую базу, с которой работают все следователи. У нас же наоборот: в Москве могут десяток сотрудников из разных структур заниматься одним и тем же делом, даже не зная о существовании друг друга. Представляете: параллельная работа против одной преступной группы!
- С базой понятно. Что вы делаете с новым делом?
- Чаще всего, если вовремя к нам обратиться, в 80 случаях из 100 мы можем сказать, что это знакомая бот-сеть, которая участвовала в таких-то и таких-то атаках, была проведена работа правоохранительных органов и уже известно, кто стоит за этой сетью.
- Вы хотите сказать, что можете указать именно на организатора бот-сети, а не на конкретные компьютеры, участвовавшие в атаке, они ведь каждый раз разные?
- Именно так. Бот-сеть - это ведь что? Набор компьютеров с определенными характеристиками: география, IP-адрес, операционная система. Бот-сеть постоянно модифицируется: добавляются новые компьютеры, отмирают старые. Есть математическая модель (я, кстати, по этой теме защищал диплом в Бауманке), которая позволяет рассчитать изменение бот-сети во времени и сравнивать различные так называемые слепки этой бот-сети. Слепок - это своего рода уникальный "отпечаток пальцев", который включает различные географические и технические параметры. В ходе атаки боты шлют пакеты данных со своих IP-адресов, и на основе этой информации мы рассчитываем слепок.
Так вот. Скажем, атака произошла сегодня, и мы рассчитали ее первый слепок. На следующий день вторая атака - мы рассчитываем второй слепок и сравниваем с уже имеющимся. Важно, чтобы слепок был актуальным: эта математическая модель работает семь дней и дает от 90 до 40 процентов распознавания (в первый и седьмой день соответственно). Но, к сожалению, частенько к нам обращаются, например, через месяц после атаки, и тогда по слепкам расследовать уже не получится. Но получится по-другому. Например, кто-то из хакеров хвастается: я валил то-то! А мы все это видим и запоминаем. Это примитивный пример, он не влечет за собой никакой доказательной базы, но можно уже конкретно наблюдать за этим человеком и обратить на него внимание господ полицейских - возможно, он принимал участие в преступлении.
- Насколько точно можно связать "действия" компьютеров с конкретными людьми?
- Да, в Интернете действуют ники, псевдонимы, которые заказывают домой пиццу, покупают билет на самолет или пластиковую карту. Но мы можем свести все эти данные вместе, проанализировать и сказать, что предположительно под этим псевдонимом скрывается определенный реальный человек, и привести свои соображения. Мы ведь наблюдаем за виртуальными процессами: бот-сети нельзя пощупать, их можно только математически описать. Псевдоним и поведение человека можно описать психологически, это мы тоже используем. Вы знаете, что у каждого человека характерный почерк. И вирусописатели вставляют в вирусы определенные "подписи". Это может быть элемент психологии - "Это я написал!" - или некий признак авторства, которое помогает продавать свой товар.
Сами мы оперативно-разыскной деятельностью не занимаемся, но если полицейские согласны с нашими выводами, они могут поставить этого человека на контроль и на следующем преступлении поймать. Это уже их задачи - обыскивать, допрашивать, собирать вещдоки. Там специфические трудности. Скажем, классический адвокатский прием: "В момент совершения преступления в доме моего подзащитного было 20 человек друзей, и с некоторыми он даже незнаком". И если полиция при обыске не сняла отпечатки пальцев с клавиатуры, то все, дело можно закрывать, этого человека никогда не признают виновным. Опытные опера, конечно, знают все нюансы.
- А если делать слепки поздно, что можно предпринять?
- Есть еще один метод расследования атак, который называется Honey Pot - "горшочек с медом". Это приманка, которую мы ставим на свой компьютер либо виртуальную машину, и на эту машину попадает вирус. Этот компьютер наш, но мы наблюдаем за вирусом: какие команды и откуда он получает и кого он атакует. Так мы можем предупреждать потенциальных жертв, причем делаем это бесплатно.
- То есть вы видите подготовку к атаке?
- И подготовку, и саму атаку в реальном времени. А главное - видим, откуда приходит атака, то есть управляющий центр бот-сети. Это очень важно для расследования, ведь он же находится на каком-то хостинге. Хостинг, конечно, абузоустойчивый (дает гарантию отсутствия доступа к содержимому со стороны любых правоохранительных органов), но все равно кем-то ведь оплачивается. Стало быть, можно уже переходить на какие-то личности.
- А может, в свою очередь, задолбить атаками эту хостингплощадку?
- Нельзя. Это незаконно. На законных основаниях можно, например, заблокировать диапазон IP-адресов, в котором находится хостинг, либо "разделегировать" доменное имя. То есть заблокировать доменное имя, через которое общаются боты. Это вещь законная и эффективная, но это целая процедура. Причем если идет расследование, это будет даже ошибкой, потому что хакер сразу поймет, что напали на его контрольный центр, и просто поменяет свою инфраструктуру.
- Что еще умеет "варить" этот горшочек?
- Есть большой международный проект Honey Net, который поддерживают разные страны и обмениваются информацией. Он позволяет изучать разные виды нового вредоносного ПО, собирать информацию об управляющих центрах. В результате получается, что мы находимся на одном уровне с хакером по скорости получения информации. Если у нас есть технология слепков и в бот-сети находится специально зараженный "горшочек с медом", расследовать инцидент можно очень эффективно.
- Получается, что найден симметричный ответ хакерам с их убийственным оружием - мгновенным заражением множества компьютеров по Сети? Отвечать им можно на таком же уровне?
- Да, ответ найден: получается, что хакер сразу предоставляет свою инфраструктуру для анализа правоохранительным органам. Есть и более хитрые вещи, когда "горшочком с медом" может оказаться хакерский форум. Или - абузоустойчивый хостинг. На него хакеры будут вставать, а он на самом деле находится под контролем. То есть общий подход таков - предоставлять хакерам заранее подготовленную контролируемую среду. Об этом мало пишут в прессе, но хакеры, конечно, об этом знают и стараются создавать вредоносное ПО, которое умеет определять, Honey Pot это или нет. В моде сейчас вирусы, которые не работают на виртуальных машинах, подозревая сразу, что это специальная среда. Если вирус "видит", что запущена определенная программа для анализа, это тоже для него сигнал опасности.
- То есть гонка вооружений между вирусописателями и вирусогонителями не прекращается?
- Гонка вооружений продолжается. Но я думаю, что технология Honey Pot изменит это равновесие. Ведь чем больше ловушек для хакеров, тем больше информации о них, тем, соответственно, более эффективно можно проводить расследования. Классический пример Honey Pot (я думаю, лучший в мире) - проект ФБР. Сотрудники бюро контролировали закрытый кардерский форум DarkMarket.ws, который за время работы в сети собрал под своей крышей тысячи кибер-преступников. Регистрация стоила немалых денег, а главным администратором форума был агент ФБР. За два года система преступных кибер-групп была раскрыта благодаря этому форуму. Очень красивая операция!
- Но это все исполнители. А как выйти на заказчика преступления?
- Это комплексная задача, которая решается вместе с правоохранительными органами. Например, как бы я построил расследование атаки на ЖЖ, если бы был такой заказ и у меня был слепок атаки? Нужно сделать новый ресурс или взять у знакомого какой-нибудь интернет-магазин, поставить ресурс на хорошую защиту. И начать заказывать на него DDoS-атаки. Это будет наш подконтрольный магазин, все происходящее будет документироваться, мы будем снимать слепки всех бот-сетей, которые будут по очереди атаковать ресурс. Тогда у нас будет псевдоним человека, который организовывал атаку, и его платежные реквизиты. Затем просто сравниваем исходный слепок атаки заказчика со всеми тестовыми. (Мы это, кстати, постоянно делаем и базу слепков постоянно обновляем.) Если слепки совпадают, берем платежные реквизиты. Тут уже правоохранительные органы обращаются в соответствующую платежную систему и просят сделать выписку: связь с мобильными кошельками, связь с мобильным телефоном и т. д. Есть мобильный телефон, значит, можно определить местоположение, использовать наружное наблюдение. То есть можно найти человека и взять с поличным.
А по его кошельку и платежным реквизитам можно понять, кто ему недавно переводил деньги. Обычно заказчик это делает за несколько дней до атаки. Но не всегда найти его просто. Может быть так: человек зарегистрировал разовое имя в ICQ, в интернет-кафе чтото написал, перевел деньги через платежный терминал, которые стоят на каждом шагу, хоть бы в метро, и пропал.
- Заказчикам, получается, ничто не грозит?
- Не совсем так. Просто исполнителя можно найти всегда, а заказчика гораздо сложнее. Но и для этих целей есть свои методы работы, скорее детективные. Напрямую они в нашу сферу деятельности не попадают, но мы стараемся подсказать правоохранительным органам, чем можно воспользоваться. Приведу реальный пример в рамках дела уфимских хакеров. Весна - сезон смены шин, и зима - точно такой же сезон "переобувания" автомобилей. И вот что мы наблюдаем: из десяти сайтов, которые продают услуги продажи шин либо шиномонтажа, восемь "лежат" под DDoS-атаками, а два работают. Это реальный пример. Это означает, что либо один из них, либо оба, сговорившись, заказали атаку на своих конкурентов. Точно такой же пример был с бизнесом по продаже окон. Перед покупкой люди обычно просматривают информацию в Интернете: этот сайт не работает, этот не работает, а вот работающий! Знаете, каков результат заказчика? Рост продаж на 400 процентов!
Когда речь идет о конкуренции на рынке, обычно нетрудно понять, кто стоит за атакой. Не так давно валили скидочные сайты - там сейчас острая конкуренция, много конкурентов. Прошла пиар-кампания "Групона", и их сайт стал недоступен, зато в "Твиттере" и на других популярных интернет-площадках одновременно появилась реклама других подобных ресурсов.
- По каким причинам атак больше - экономическим или политическим?
- Экономической подоплеки больше: там всегда есть тот, кто платит деньги за атаку. Например, статистика по 2010 году говорит: чаще всего атаковали банки и интернет-магазины. Почему? Представьте: у юрлица со счета списали деньги. Я как руководитель организации пытаюсь войти на сайт, чтобы узнать, что произошло. Но интернет-банкинг именно в это время не работает! Пока я дозвонюсь до банка по телефону, найду нужного операциониста, платежка будет обработана банком - и деньги уйдут. Атака нужна только для задержки на время операции с деньгами клиента. В этом смысл DDoS-атак на банки. Стоит это от силы 300-400 долларов, а получить можно миллион долларов за день.