- В целом это вопрос бизнеса. Чаще всего атакам подвергаются мелкие фирмы, небольшие интернет-магазины. Как мы об этом узнаём? У нас есть специальный ресурс – ферма серверов, которая «слушает» интернет и вылавливает команды центров управления ботнетами. Мы не можем их заблокировать, но мы можем их «слышать» благодаря тому, что у нас имеются сэмплы ботов, которые регистрируют услышанное и позволяют понять статистическую ситуацию.
Соответственно перед глазами у нас есть «новостная лента» атак, производимых практически по всему миру. Естественно, мы видим и слышим не абсолютно всё, но значительную часть. И по результатам анализа происходящего в российской зоне мы можем сказать, что в день осуществляется несколько сотен атак — включение активности и выключение таковой. Более того, есть очень продолжительные атаки, к которым подключаются различные ботнеты. То есть видно, что одни ресурсы перестают работать и сразу начинают работать другие.
Если говорить о количестве таких атак на мелкие и средние компании, то их осуществляется по несколько сотен в день. То есть суммарно в год получается какое-то огромное количество. Другое дело, что какая-то доля их успешна, а какая-то нет – какая именно, мы не можем сказать. Чтобы получить достоверную информацию, нужно проверять каждый конкретный случай.
У нас есть система по предотвращению DDoS-атак, рассчитанная преимущественно на крупных клиентов (или бизнес, связанный с сетью), для которых интернет важен не только для имиджевой составляющей, но и для ведения бизнеса в целом. Такие клиенты имеют хорошую сетевую инфраструктуру, но нередко становятся мишенями: обычно это одна-две атаки в квартал.
Но эти атаки, как правило, уже построены конкретно под них. Это уже не хулиганская атака на магазин. Речь идёт о бизнес-войнах, которые воплощаются вот в такую активность. Мы видим, что, когда у наших клиентов высокий сезон — например, в конце года, когда у банков появляются новые кредитные предложения, когда начинается сезон повышенных продаж в сетевых магазинах, — количество DDoS-атак стремительно возрастает. В конце весны начинается туристический сезон. Соответственно мы наблюдаем повышение DDoS-активности, направленной на сайты туристических компаний. Как только какой-нибудь банк выходит с ценовой политикой или с новыми рекламными акциями и предложениями, часто бывает так, что буквально на следующий день или в тот же день организовывается DDoS-атака на этот ресурс. Это лишний раз показывает, что такие атаки – экономически эффективный инструмент давления на конкурента, давления на тот или иной бизнес.
- Вы упоминаете бизнес-войны – это, как правило, сведение счетов или действительно попытки саботировать работу конкурентов?
- Да, саботаж.
- А есть ли по этому судебная практика, то есть доказательство того, что вот именно так делается всё это?
- Судебная практика есть, но она пока незначительная. Связано это c недостаточно налаженным взаимодействием между экспертами, интернет-сообществом и правоохранительными органами и отсутствием доверия между ними. Например, наши правоохранительные органы не очень глубоко понимают техническую сторону вопроса. Те, кто понимает, не всегда доверяют экспертному сообществу в интернете. А интернет-сообщество, в свою очередь, с недоверием смотрит на регуляторов и правоохранительные органы. Оттого происходят временные задержки, недопонимания.
Мы принимали участие в круглом столе по поводу DDoS-атак на такие ресурсы, как «Слон», «Эхо Москвы», «Коммерсант» и так далее. И многие из журналистов и редакторов высказывались тогда в таком духе: «Мы подавали документы в правоохранительные органы, но буквально тут же дело закрывали за недостатком улик и ещё чем-то». То есть всем было очевидно, что сайты и ресурсы не работают, но судебная система на собранные документы отвечала: «С чем вы пришли? Где ваши доказательства, что вас заDDoSили, что вы не просто выключили свой сервер?» Отсутствие таких расследований идёт на руку преступникам.
В нашей практике раскрытых преступлений немного. Они есть, конечно, но это скорее исключения из правил, нежели обыденная практика правоохранительных органов. К сожалению, пока это так.
- Как вы считаете, это изменится в ближайшем будущем или так и будет оставаться «воз и ныне там»?
- Я думаю, что это может измениться, если у нас изменится взаимодействие между интернет-экспертами и правоохранительными органами.
- То есть это вопрос главным образом к правоохранительным органам?
- Главным образом, наверно, это запрос ко взаимодействию в целом.
