Коллектив Авторов - Цифровой журнал «Компьютерра» № 161

Если знать всё это, то понять логику людей, которые свернули разработку браузера Opera, становится проще. Можно предположить, что они решили не цепляться за браузеры, постепенно превращающиеся в тормоз развития компании, и попытаться выжать пользу из реального богатства Opera Software — партнёрских отношений с многочисленными операторами связи и производителями электроники.

В будущем, которое они готовят для компании, никто не будет помнить, что она когда-то занималась браузерами. Opera Software зарабатывает на обслуживании разработчиков мобильных приложений и операторов связи, которым нужна мобильная реклама, аналитика или средства сжатия контента.

Переход на WebKit призван сгладить трансформацию. Какой движок стоит внутри Opera Mobile, скорее всего, заинтересует немногих. Значительная переделка Opera для ПК может ускорить отток пользователей, но даже в худшем случае он не будет мгновенным. Его скроют уменьшение расходов на разработку и рост других источников доходов.

Верна ли моя догадка, и если да, то насколько разумен и дальновиден этот план, мы узнаем совсем скоро.

К оглавлению

Опубликовано 19 февраля 2013

DDoS-атаки сегодня — чрезвычайно распространённое явление. Их достаточно легко организовать, учитывая, что сетевые злоумышленники в последнее время старательно занимались «разведением» сетей заражённых компьютеров — ботнетов. В то же время противодействие DDoS — очень непростая задача. Непростая, но осуществимая. Как и зачем сегодня организуются DDoS-атаки, какими средствами с ними можно бороться и почему борьба может быть неэффективной, «Компьютерре» рассказывает Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention в компании «Лаборатория Касперского».

- Расскажите, пожалуйста, что из себя представляет DDoS-атака — для непосвящённых — и почему о них столько говорят сейчас?

- DDoS-атака — распределённая атака типа «отказ в обслуживании». Что означают такие слова, как «атака», «отказ в обслуживании», «распределённая» — что это такое? Выглядит это примерно так: допустим, у вас есть некий ресурс, сайт. Если на него одновременно заходят два, три, десять пользователей, то он работает стабильно. Но что произойдёт, если к нему одновременно обратятся сто или тысяча человек? Будет ли он продолжать функционировать? Вот в чём вопрос. При этом наряду с реальными людьми на этот ресурс могут заходить роботы. То есть некий специально созданный программный код, который эмулирует или симулирует действия пользователя. При этом он не будет запускать браузер, однако может проявлять какую-то активность: «тянуть» графику, устанавливать соединение с этим веб-сервером и так далее. Фактически идея DDoS-атаки заключается в том, что огромное количество таких вот паразитных запросов к ресурсу рано или поздно приводит к исчерпанию его полосы пропускания, мощности оборудования и он становится недоступным для легитимных пользователей.

Поскольку физически сайт размещён у какого-то хостера, ресурс-провайдера и так далее, то могут быть исчерпаны ресурсы веб-движка, на котором работает сайт, и даже ресурсы самого железа.

- Что значит «распределённая»?

- Это значит, что один пользователь в большинстве случаев не может создать нагрузку на ресурс с таким большим количеством запросов. К тому же сайты обычно имеют ограничения по количеству одновременных рабочих сессий. Если вы скачиваете какие-то файлы с одного сервера или файлообменника, то, как правило, можете установить несколько одновременных сессий, но не бесконечное их количество. Точно так же и здесь: если один пользователь или робот с одного и того же IP-адреса будет запускать несколько параллельных сессий, то рано или поздно это закончится неудачей – для него. Однако если запросы будут идти с разных компьютеров, находящихся в разных географических локациях, то определить, кто является их автором, реальный пользователь или робот, ведущий «нелегитимную» активность, достаточно сложно.

Именно поэтому важнейшие черты DDoS-атаки – это её распределённость и паразитная активность, радикально отличающаяся от действий реальных пользователей.

- По поводу масштабов угрозы: по вашим оценкам, каковы они? Если взглянуть на какую-нибудь криминальную хронику, то возникает ощущение, что преступники — везде и повсюду, несть им числа, хотя потом выясняется, что это изолированные события, которые могли происходить на довольно большом географическом разбросе. С DDoS-атаками как обстоит дело?

- Пожалуй, самое основное отличие электронных преступлений от «реальных» заключается в том, что киберзлоумышленник может совершать свои действия удалённо. Например, похищать деньги, переводить их, прятать или наоборот, доставать из электронного кошелька и обналичивать.

Простой пример: сегодня, если мы хотим купить какую-то вещь, то, как правило, сначала ищем её в интернете. Поисковик дает ссылки на различные магазины, например Amazon. Однако на самом деле это не сам магазин, а некая торговая площадка, которая перекупает товар у локального магазина в Штатах. А тот, в свою очередь, имеет эксклюзивные права в Китае. Соответственно покупка сначала из Китая едет сначала в Штаты, и только потом в Москву. Таким образом, мы видим пересечение цепочек реальной и виртуальной логистики. В виртуальной логистике требуются минуты, чтобы определиться с покупкой, совершить оплату с помощью электронных денег и осуществить заказ. Реальный же товар будет перемещаться намного дольше. Злоумышленники очень часто пользуются такими безналичными платежами, чтобы моментально проводить транзакции и рассылать команды на включение и выключение DDoS-атаки, которая может идти откуда угодно. Кроме того, ботнет может быть очень быстро перепродан и перенацелен на другую жертву. Соответственно, когда правоохранительные органы приходят в предполагаемое «гнездовье» киберпреступников, там уже никого нет.

- Но какова плотность бомбардировки в целом? По количеству инцидентов за какой-то период?

- В целом это вопрос бизнеса. Чаще всего атакам подвергаются мелкие фирмы, небольшие интернет-магазины. Как мы об этом узнаём? У нас есть специальный ресурс – ферма серверов, которая «слушает» интернет и вылавливает команды центров управления ботнетами. Мы не можем их заблокировать, но мы можем их «слышать» благодаря тому, что у нас имеются сэмплы ботов, которые регистрируют услышанное и позволяют понять статистическую ситуацию.

Соответственно перед глазами у нас есть «новостная лента» атак, производимых практически по всему миру. Естественно, мы видим и слышим не абсолютно всё, но значительную часть. И по результатам анализа происходящего в российской зоне мы можем сказать, что в день осуществляется несколько сотен атак — включение активности и выключение таковой. Более того, есть очень продолжительные атаки, к которым подключаются различные ботнеты. То есть видно, что одни ресурсы перестают работать и сразу начинают работать другие.

Если говорить о количестве таких атак на мелкие и средние компании, то их осуществляется по несколько сотен в день. То есть суммарно в год получается какое-то огромное количество. Другое дело, что какая-то доля их успешна, а какая-то нет – какая именно, мы не можем сказать. Чтобы получить достоверную информацию, нужно проверять каждый конкретный случай.

У нас есть система по предотвращению DDoS-атак, рассчитанная преимущественно на крупных клиентов (или бизнес, связанный с сетью), для которых интернет важен не только для имиджевой составляющей, но и для ведения бизнеса в целом. Такие клиенты имеют хорошую сетевую инфраструктуру, но нередко становятся мишенями: обычно это одна-две атаки в квартал.

Но эти атаки, как правило, уже построены конкретно под них. Это уже не хулиганская атака на магазин. Речь идёт о бизнес-войнах, которые воплощаются вот в такую активность. Мы видим, что, когда у наших клиентов высокий сезон — например, в конце года, когда у банков появляются новые кредитные предложения, когда начинается сезон повышенных продаж в сетевых магазинах, — количество DDoS-атак стремительно возрастает. В конце весны начинается туристический сезон. Соответственно мы наблюдаем повышение DDoS-активности, направленной на сайты туристических компаний. Как только какой-нибудь банк выходит с ценовой политикой или с новыми рекламными акциями и предложениями, часто бывает так, что буквально на следующий день или в тот же день организовывается DDoS-атака на этот ресурс. Это лишний раз показывает, что такие атаки – экономически эффективный инструмент давления на конкурента, давления на тот или иной бизнес.