Конфликт между Россией и Грузией показал: отныне виртуальные войны могут иметь для экономики противоборствующих государств далеко идущие последствия. В результате военных действий золотовалютные резервы Банка Грузии сократились на $341 млн. По самым смелым предположениям десятая часть этих потерь вызвана последствиями DDoS-атак.
Обмен ударами
Атака Грузии на Южную Осетию началась в ночь с 7 на 8 августа. Сражение на виртуальных просторах развернулось чуточку ранее: за несколько дней до начала событий точечные DDoS-атаки уже имели место по обе стороны баррикад, но первым под наплывом вражеских пакетов лег сайт, сообщавший о конфликте очевидцами — жителями Северной Осетии, — osinform.ru. Новостной ресурс получил за полдня немыслимое количество обращений, после чего заглох около 13 часов по московскому времени. Параллельно с этим вдруг заработал сайт с адресом, отличавшимся на одну букву, полностью повторявший дизайн жертвы и освещавший события уже с грузинской точки зрения. В помощь утопающему был создан еще один ресурс — tskhinval.ru, вскоре также атакованный, на этот раз вместе с сайтом осетинской телерадиокомпании. На этом нашествие на интернет-ресурсы Северной Осетии прекратилось за неимением последних: непризнанное государство не обладало большим набором новостных сайтов.
Ответная реакция не заставила себя ждать: новостные сайты Грузии newsgeorgia.ru, civil.ge и apsny.ge не справились с возросшей нагрузкой, по всей видимости, также связанной с DDoS-атаками, и отключились. В ответ на это Грузия заблокировала доступ к интернет-ресурсам, размещенным в доменной зоне .ru. Наконец, начиная с 10 августа хакеры не могли оставить в покое сайт президента Грузии Михаила Саакашвили, в результате чего ресурс в целях защиты от DDoS перенесли на серверы американской компании Tulip Systems.
Конфликт между Грузией и Россией стал показательным во многом благодаря тому, что стороны не ограничились DDoS-атаками и применили друг против друга целый комплекс виртуальных ударов. Запись выступления девочки из Южной Осетии в эфире телеканала CNN была кем-то перемонтирована таким образом, что ведущий стал якобы обрывать рассказчиков на полуслове. В свою очередь, видеохостинг YouTube заблокировал счетчик посещений этого ролика. А Google и вовсе убрал из открытого доступа карту Грузии.
Найти виновных в многочисленных атаках невозможно: след злоумышленников потерян. Впрочем, в Russia Today утверждают, что атака велась с грузинских IP-адресов. Неизвестно, правда, как это соотносится с фактом блокирования доступа ко всей зоне .ru в Грузии.
Политолог и эксперт Фонда эффективной политики Павел Данилин полагает, что за атаками на российские и грузинские ресурсы стояли украинские хакеры: "То, что украинцы работали против наших ресурсов, — признанный факт. Во время грузинской агрессии ресурсы Фонда эффективной политики также подвергались атакам, исходящим из ряда киевских институтов. И пожалуй, именно украинцы, а не грузинские специалисты, которых в республике раз-два и обчелся, внесли основной вклад в обрушение российских серверов. Так что они работали на две стороны сразу — это нормально. Украинские хакеры делали это в основном за деньги, тогда как русские хакеры занимались атаками грузинских ресурсов на чистом энтузиазме".
Западные эксперты по безопасности, напротив, обвинили в организации атак сеть Russian Busines Network. Специалист компании SecureWorks Дон Джексон в одном из интервью заявил, что иногда атаки запускались с компьютеров, входящих в эту сеть. Это, впрочем, уже не первое обвинение в адрес базирующейся в Санкт-Петербурге компании RBN. Специалисты давно считают ее рассадником цифровых преступников: считается, что она предоставляет услуги "непробиваемого" хостинга киберпреступникам. При этом у компании нет своего сайта, юридические координаты организации неизвестны, а связаться с ней можно только на некоторых русскоязычных интернет-форумах.
Схема атаки
Обмен виртуальными DDoS-ударами — явление, ставшее обычным в бизнесе и политике. Небольшие компании тысячами страдают от атак конкурентов. Косвенные убытки от одной подобной атаки несколько лет назад посчитала крупная букмекерская контора: оказалось, что потери крупных корпораций в случае ведения DDoS-атаки могут составлять $200 тыс. в день. Нередко атакам подвергаются новостные и аналитические ресурсы: в 2006 году под прицел сети из 11 тыс. атакующих компьютеров попал ресурс "Компромат.ру".
В марте 2008 года потери ИД "Коммерсантъ" в связи с блокировкой сайта DDoS-атаками, по словам генерального директора Демьяна Кудрявцева, исчислялись "десятками или даже сотнями тысяч долларов".
Причина неувядающей популярности DDoS-атак в качестве криминального инструмента кроется в относительной простоте и дешевизне организации атаки. Сначала хакер с помощью вредоносных программ получает контроль над компьютерами, создавая так называемую зомби-сеть. При этом массовые заражения злоумышленнику не нужны: когда зомби-сеть достигает нужного объема — десятка тысяч зараженных машин, — вредоносная программа изымается из открытого доступа. При этом структура зомби-сети включает в себя промежуточные звенья между управляющей консолью и конечными компьютерами. В случае, если делом займутся правоохранительные органы, они придут к ничего не подозревающим пользователям зараженных машин.
Типичная схема атаки выглядит следующим образом: управляемый преступником компьютер посылает "заказ" для ботнета. Приговор ресурсу проходит через прокси-сервер, обеспечивающий анонимность хакера, после чего немедленно приводится в исполнение. Десятки тысяч компьютеров посылают постоянные запросы на атакуемый сервер, который не справляется с нагрузкой. В результате сайт недоступен, а задача выполнена. Создание зомби-сетей с нуля практикуется, но не слишком популярна: программное обеспечение также стоит немалых денег, и, что немаловажно, развертывание ботнета требует времени, тогда как желающим насолить конкуренту, как правило, нужен блицкриг. "Обычно в ботнет входит не одна тысяча компьютеров. В час Х все зараженные машины получают команду и начинают атаковать определенный сервер. Атака заключается в формировании большого количества запросов к серверу, ответы которого будут просто игнорироваться. Легальные клиенты либо получат от сервера ответ с большими задержками, либо не получат его вообще",— утверждает Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского".
Владимир Гайкович, генеральный директор компании "Информзащита", полагает, что в случае войны с Грузией речь шла о следующих цифрах: "Подобные DDoS стоят до $3000 в день. Проблема в том, что защита от них обойдется уже в $200 тысяч, и без каких-либо гарантий противодействия. Стоимость одного дня атаки и время "обрушения" сайта зависит от большого числа факторов: выявленные средства защиты на атакуемой системе, пропускная способность канала и прочих".
Имиджевые потери
Убытки, которые несут пострадавшие стороны, подсчитать крайне сложно: косвенный ущерб может в десятки раз превышать прямой. К примеру, атака на интернет-магазин, длящаяся сутки, означает существенные потери в средствах для владельцев магазина: нет доступа к сайту — нет покупателей, нет покупателей — нет денег. Та же атака продолжительностью несколько недель способна создать серьезную угрозу бизнесу и даже привести к закрытию ресурса. В случае же с виртуальной войной DDoS-атаки наносят куда более значимый имиджевый урон, чем материальный, считают эксперты.
"Смысл атаки на официальные сайты властных органов очевидны — продемонстрировать слабость структур безопасности, отвечающих за сохранность серверов,— комментирует Павел Данилин.— Это грандиозная имиджевая потеря, в том числе и лично для президента Грузии".
Но не стоит также преуменьшать силу информационного влияния официальных сайтов. "Новости с сайта президента России являются обязательной составляющей для всех информагентств, аналогичная ситуация и с сайтом Саакашвили. Блокируя такой ресурс, пресекается поступление через него информации, идет вызов грузинским специалистам по сетевой безопасности. Вариант с "самострелом" — будто грузины сами обрушили себе сайты, чтобы вызвать сочувствие у общественности,— я полностью исключаю",— говорит Павел Данилин.
С ним согласен Владимир Гайкович: "DDoS-атаки на сайты не наносят особого урона, кроме имиджевого. В этом случае стоимость ущерба зависит лишь от того, кто во сколько свой имидж оценивает. Гораздо хуже, если такие атаки будут вестись на DNS- и почтовые серверы: в этом случае у госучреждений из средств связи останутся лишь телефон и факс".
Понижение рейтинга
Но виртуальные столкновения могут также стать причиной и нанесения ущерба экономике государства. В первые дни российско-грузинского конфликта ведущие аудиторские конторы получили спам, компрометирующий экономическую деятельность Грузии. В результате Standard & Poor's и Fitch понизили рейтинг, обозначающий инвестиционную привлекательность государства. Финансовые аналитики утверждают, однако, что экономические последствия для сторон конфликта ощутимы, но не столь значительны. Заметный невооруженным глазом обвал индексов, заставивший паниковать мировую общественность, отразился и на России: с момента начала войсковых операций до закрытия последних торгов прошедшего августа на фоне осложнений отношений с Западом и оттока иностранного капитала из финансовой системы РФ индекс РТС снизился на 27,5%. Ощутимые последствия были и в инвестфондах: участники ПИФов, сорвавшие куш в июне, ликуют, остальные пытаются пристроить куда-нибудь свои стремительно обесценивающиеся накопления. Впрочем, подобная ситуация скорее всего продлится до октября, когда закончится финансовый год и ведущие компании предоставят свои отчеты. Поскольку в Грузии рынок акций находится в зачаточном состоянии, влияние фондового кризиса на страну было еще меньшим. "Единственная публично торгуемая на западных биржах бумага — акции Bank of Georgia (GDP), которые с 8 августа подешевели на 30%,— замечает Александр Осин, главный экономист УК "Финам Менеджмент".— Надо отметить, что эти активы к концу прошлого месяца уже с начала текущего года теряли в цене порядка 100%, при этом американские бумаги финансового сектора в этот период оставались стабильны. Поэтому 80-90% указанного снижения я бы отнес на счет влияния южноосетинского конфликта".
Тем не менее, по мнению Александра Осина, даже для страны с неликвидным фондовым рынком последствия на других фронтах крайне существенны: "В августе 2008 золотовалютные резервы Национального банка Грузии сократились на $341 893 600, или на 26%. Очевидно, что часть этого сокращения вызвана общемировой финансовой конъюнктурой, сложившейся под влиянием ипотечного кризиса в США. Однако, учитывая, что весьма значимый для американских компаний полугодовой сезон отчетности в тот период уже подходил к концу, военный конфликт с Россией стоил Грузии порядка 80-90% этой суммы". Александр Осин считает, что, если объем нефти, поступающей транзитом через трубопровод, расположенный на территории Грузии, сократится, вооруженный конфликт может стоить грузинской стороне еще от $100 до $300 млн. Именно такие суммы корпорации, пользовавшиеся данным маршрутом ранее, заплатят российским транзитерам. Эксперт также сообщил, что платежный дефицит Грузии составляет порядка $750 млн, или около 5% ВВП, что с точки зрения глобальной статистики довольно много.
Виртуальные войны
Были и попытки спекуляций на войне: например, спам, разосланный от имени Джорджа Сороса, призывал получателей ни в коем случае не читать книгу "Проект Россия". Впрочем, подобное поведение спамеров не редкость: как только в реальном мире происходит заслуживающее внимания событие, в ящики пользователей сыплется спам с соответствующими заголовками для привлечения внимания.
Но редко кто задумывается о том, что от информационных войн в интернете выгода иногда бывает даже для компаний, действующих полностью легально. Многие из них, обладающие широкой способностью пропускных каналов (например, известнейшая американская телекоммуникационная корпорация AT&T), предоставляют за определенную плату защиту от DDoS-атак. Весь вредоносный трафик перенаправляется на сервер AT&T благодаря системе фильтрации, а атакуемый сайт остается доступным для пользователей. Надо отметить, что в России подобные услуги также существуют — и, что неудивительно, пользуются спросом, поскольку развертывание собственной защиты от атак стоит крайне дорого.
В арсенал желающего самостоятельно бороться со злоумышленниками должно входить отказоустойчивое программное обеспечение для фильтрации пакетов, мощные каналы доступа в интернет и сервер, способный обрабатывать миллионы мусорных запросов в минуту. Как и в случае с развертыванием зомби-сети, здесь требуется время, которого у владельцев атакуемого ресурса чаще всего нет: атаку нужно отразить сразу, поэтому покупка разовой услуги экономически выгоднее. Другой хороший пример — антивирусы: ни для кого не секрет, что во время любой эпидемии вирусов количество покупок программного обеспечения для защиты от вредоносных программ резко растет. "В августе продажи одного из популярных антивирусов в Грузии подскочили чуть ли не в десять раз",— сообщает нам анонимный источник.
Автор доклада "Виртуальная криминалистика" Айан Браун в своем исследовании заявляет, что в компьютерное противостояние друг с другом вовлечено более 120 стран. "По сути, настоящей виртуальной войны мы еще не видели,— говорит Александр Гостев, аналитик "Лаборатории Касперского".— Это были лишь шалости отдельных недовольных граждан или же групп киберпреступников. Но настоящие виртуальные войны ждут нас впереди. Тогда уже не надо будет искать виновных в DDoS-атаках: все военные действия в киберпространстве будут вестись открыто".