Есть десятки инструментов и методов, доступных в Интернете, чтобы помочь любому выполнить DoS или DDoS-атаку. Просто введите «DDoS-инструменты» в интернет-браузере. Большинство из них действуют как законные тестеры. Некоторые примеры: Low Orbit Ion Cannon (https://sourceforge.net/projects/loic0/), DLR (https://sourceforge.net/projects/dlr/) и Hulk (https://packetstormsecurity.com/files/112856/HULK-HttpUnbearable-Load-King.html). Хакеры должны использовать эти инструменты только против сайтов, которые дали им на это разрешение. Многих начинающих хакеров арестовывают, поэтому, чем быстрее вы присоединитесь к хакерам «в белой шляпе», тем лучше.
Есть даже десятки услуг, доступных в Интернете, с помощью которых вы можете запустить DDoS-услуги. Многие из них стоят не больше 100 долларов. Как и в случае с инструментами DDoS, большинство из них утверждают, что тестируют сервисы (которые просто не проверяют, чтобы убедиться, что у пользователя есть разрешение использовать их против конкретного сайта). К сожалению, некоторые услуги, которые заявляют, что они анти-DDoS-услуги, на самом деле были их частью. В отношении подобных служб ведется расследование, некоторые закрыты, а другие продолжают процветать. Следственный репортер Брайан Кребс написал несколько отличных статей на эту тему, в том числе и эту: https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure.
Существует множество средств защиты, которые можно использовать для борьбы с DDoS-атаками.
Все люди, участвующие в работе ваших сайтов и услуг, должны быть осведомлены о DDoS-атаках и способах их предотвращения. Образование – первый шаг на пути к их выявлению и профилактике.
Проводите стресс-тестирование ваших сайтов, потенциально используя некоторые из тех же инструментов, которые могут применить хакеры. Думайте как хакер и атакуйте все ссылки и уязвимые места, необходимые для взлома вашего сайта или сервиса. Узнайте, что нужно, чтобы «выбить себя из Интернета» и определить, какие у вас уязвимости. Как только вы их найдете, спроектируйте простые ссылки и определите соотношение затрат и выгод.
Убедитесь, что ваши сайты и службы защищены брандмауэрами и маршрутизаторами, которые способны обнаруживать и останавливать DDoS-атаки. Убедитесь, что все задействованные хосты настроены на защиту от них с минимальными сбоями. Кроме того, у многих компаний есть соглашения с другими вендорами и даже конкурентами, чтобы иметь возможность перемещать или заимствовать ресурсы, если они окажутся под угрозой DDoS-атаки. Некоторые из них связаны со свободными ресурсами или минимальной структурой возмещения расходов.
При создании услуг думайте обо всех потенциальных точках для DoS-атак. Например, в Microsoft поняли, что подключение удаленного рабочего стола (RDP) часто может быть сделано в Microsoft Windows с незащищенными соединениями и при этом эффективно использовать все имеющиеся ресурсы. Microsoft изменила RDP, чтобы авторизованный сеанс сначала использовал большое количество средств, и ограничили число попыток подключения, которые могут быть сделаны одновременно из всех источников. Эти новые функции делают его очень трудной мишенью для DoS-атаки.
Есть много премиум-анти-DDoS-сервисов, в том числе Imperva (https://www.incapsula.com/) и Prolexic/Akamai (http://www.prolexic.com/). Большинство защищают клиентов, используя многоуровневую комбинацию огромной, избыточной пропускной способности и средств защиты, специально предназначенных для смягчения DDoS-атак. Недостаток в том, что эти услуги довольно дорогостоящие, многие компании не могут позволить себе такие расходы. Тем более нападение может и не произойти. Если вы когда-нибудь решите использовать услуги защиты от DDoS-атак, внимательно изучите все варианты, чтобы убедиться, что вендор – не один из тех, кто их вызывает.
Так же, как DDoS-атакующих, в мире много «белых» специалистов по DDoS. При обдумывании и планировании DDoS-атаки могут быть менее разрушительными, чем без планирования и защиты.
В главе 29 представлен профиль Брайана Кребса, репортера информационной безопасности и исследователя, человека, наиболее выделяемого среди DDoS-атакующих.
Однажды, когда Брайан готовился к небольшому званому обеду у себя дома, в дверь позвонили. Это оказался отряд спецназа с черным тактическим снаряжением, штурмовыми винтовками и дробовиками, направленными на него. После того как спецназ задержал его, Кребс понял, что это обычный день в его жизни, ведь он борется с хакерами в качестве ведущего интернет-репортера и следователя. Он усердно препятствует спамерам, скиммерам и хакерам всех разновидностей уже более десяти лет. Он участвовал в нескольких расследованиях и рейдах, в результате которых те же самые хакеры потеряли миллионы долларов и были арестованы. В отместку хакеры отправляли ему все виды незаконной контрабанды, в том числе наркотики и поддельные валюты, наряду с многочисленными угрозами смерти ему и его семье. Истории, похожие на описанный инцидент, вы можете прочитать здесь: http://arstechnica.com/security/2013/03/security-reporter-tells-ars-about-hacked-911-call-that-sent-swatteam-to-his-house/.
Полиция приезжала в дом Кребса так часто, с тех пор как анонимный «добрый самаритянин» дал наводку, что местные правоохранительные органы в итоге стали получать как физические, так и электронные уведомления, чтобы не слишком реагировать на звонок. В итоге Кребс устал от преследований и решил на некоторое время отойти от дел. Он считал, что его семья заслуживает отдыха от постоянных угроз, впрочем, как и он сам. Но это не было победой хакеров. Кребс продолжает свои ежедневные расследования, чтобы одержать верх над теми, кто наносит вред другим.
Так было не всегда. В течение многих лет Кребс работал простым репортером в газете Washington Post. Но расследования компьютерных преступлений были настолько запутанными и подробными, что руководство газеты уволило его. Он сразу же создал свой блог (https://krebsonsecurity.com/) и продолжил исследования с еще большим рвением и вниманием. Его блог один из самых популярных в Интернете, он выпустил потрясающую книгу-бестселлер Spam Nation (https://www.amazon.com/Spam-Nation-Organized-Cybercrime-Epidemic/dp/1492603236/), а Голливуд даже подумывал снять о нем фильм.
Репортажи Брайана о расследованиях первоклассны. Когда Кребс решил, что лучшие в мире спам-компании расположены в России, он научился читать, писать и говорить по-русски, а затем отправился туда, чтобы взять интервью у богатых и влиятельных русских, стоящих за этими компаниями. После я разговаривал с ним и сказал, что не могу поверить, что он рискует жизнью, чтобы рассказать эту историю. Брайан ответил, что он, очевидно, так не считал, но несколько друзей сказали ему то же самое. Публичное разоблачение, сделанное Кребсом, лишало преступников десятков миллионов долларов, и теперь он посещает их на их родине, где у него очень мало прав. Многие из нас были готовы прочитать о безвременной кончине Кребса во время визита в Россию. Вместо этого он вернулся с достаточным количеством фактов, чтобы написать книгу (Spam Nation), а некоторые люди, с которыми он беседовал, попали в тюрьму.
Большинство журналистов по ИБ лишь повторяют факты, освещенные Кребсом. Кребс исследует и узнает новое. В своем блоге он говорил: «Я не писал об этих историях главным образом потому, что у меня не было оригиналов некоторых документов или другого фактического подтверждения моих слов. Поэтому я решил не писать просто занимательную историю, а сосредоточиться на киберпреступности и информационной безопасности».
Хотя Кребс расследует многие виды взлома, его основные направления – финансовые преступления, спамеры, скиммеры и отказ в обслуживании. Кребс с легкостью может отследить транзакции денег и данных. Он обнаружил людей, стоящих за многими из крупнейших в мире хакерских организаций и атак. Нередко случалось так, что после того как Кребс идентифицировал кого-то, его арестовывали и обвиняли в преступлениях. Кажется, будто правоохранительные органы читают его блог и ждут, когда он раскроет настоящую личность преступника, чтобы получить ордер. Я уверен, что это не совсем так, но очень на то похоже. Один из лучших показателей успеха Кребса – явление, которое последователи назвали «Циклом Кребса». Он часто узнает о взломах и утечках данных за несколько дней до того, как это произойдет. Цикл Кребса – это промежуток времени между тем, когда он рассказывает миру правду о последнем взломе, и тем, когда вендор публично его признает.
Кребс не боится разоблачать организации, которые мы считали хорошими. Он обвинил компании кредитных карт и банки в том, что те помогают в совершении финансовых преступлений. Он обличил онлайн-налоговиков, помогающих облегчить преступникам подачу ложных налоговых деклараций. Он сделал прозрачно ясным, что крупные фармацевтические компании разрешают незаконную продажу лекарств, потому что не хотят признавать, что их оригинальные лекарства (а не подделки) продаются за меньшие деньги. Он доказал, что некоторые фирмы, которые утверждают, что защищают нас от хакеров, сами либо проводят хакерские атаки, либо защищают хакеров. Он обозначил интернет-провайдеров и пуленепробиваемые услуги хостинга для обслуживания хакеров в качестве бизнес-модели. Кребс следует за деньгами, куда бы они ни пошли.
По этой причине веб-сайт Кребса постоянно подвергается DDoS-атакам (см. предыдущую главу). DDoS-атакующие часто включают личные насмешки над Кребсом в свой вредоносный трафик и требуют, чтобы новые сотрудники проявляли себя, атакуя его сайты. Часто Кребс вычисляет преступника, и он попадает в тюрьму.
Брайан способен сделать то, чего многие другие люди и правоохранительные органы, похоже, не могут – идентифицирует хакера. Для его блога затишье в несколько недель не редкость, но когда Кребс снова начинает писать, он непременно выдает имя очередного злоумышленника. Он часто узнает их личность, следуя по цифровым «хлебным крошкам», которые связывают секретную личность хакера с его публичной онлайн-идентификацией. В итоге вы видите этого очень злого и неэтичного вредителя в отпуске со своей семьей, обнимающего жену и детей, и понимаете, что его беззаботные дни сочтены. Многие хакеры, которых Кребс разоблачил, стали международными беглецами, в то время как другие, похоже, пользуются коррумпированностью местных чиновников. В любом случае все они ненавидят Кребса, в то время как остальной мир любит его. Я думаю, Брайан Кребс настоящий американский герой!
Помимо выявления конкретных хакеров и сомнительных предприятий, труды Кребса позволяют читателям увидеть крупный бизнес «черных» хакеров. Мир хакерства – это не какой-то подросток, сидящей за компьютером с хлопьями в тарелке и колой в стакане; это огромный бизнес с различными отделами, генеральными директорами, а иногда и публично продаваемыми акциями. Порой это даже законный бизнес, которому мы доверяем. Мир взлома так же сложен, как и сама жизнь. Следственные отчеты Кребса пробудили мой личный интерес к этому вопросу. Эту «таблетку» трудно проглотить, но нам всем лучше от того, что мы ее приняли.