Заместитель председателя
правления Интернет Ассоциации Украины Александр
Ольшанский считает, что неумолимое усиление атак на
украинские сайты через 3-5 лет приведет к появлению в
Украине рынка безопасности в Интернете.
Каждую неделю по крайней
мере, хотя бы один общественно-политический
интернет-ресурс заявляет о DOS-атаке, которую он
пережил. Проблему DDOS различные сайты решают
по-разному. Одни «отбиваются» своими усилиями, другие –
привлекают провайдеров, третьи – «ложатся» и ждут,
«когда же это все закончится».
Но всех обьединяет одно жгучее желание: найти
злопыхателя. А также - как не допустить DDOS в следующий
раз? И даже если первое желание впоследствии теряет
актуальность, то задача «как защититься от атаки» -
перманентна.
«proIT»
обратился за ответом к заместителю председателя
правления ИнАУ Александру Ольшанскому. Тем более, что
эту проблему он может рассмотреть c разных сторон — как
президент крупнейшего в Украине хостинг-провайдера
MiroHost.net и как член правления ИнАУ — самой
авторитетной организации, которая занимается разрешением
острых проблем в Уанете.
Начали нелукаво:
- Александр, извините за примитивный первый
вопрос, но все же: можно ли с минимальными потерями
«отбиться» от DOS-атаки?
- Можно
- Только не у всех в Украине это получается...
- Почему? Некоторые наши клиенты “отбивались”,
и не один раз. В Украине ведь не бывает атак мощностью
больше миллиона пакетов в секунду. Такого DDOS в
Украине я не видел. Для нашей страны скорее характерны
цифры порядка десятков тысяч пакетов в секунду.
- Миллион - это какие-то запредельные вещи.
- Нет, не запредельные. Для России, например,
характерная величина может составлять порядка одного
мегапакета в секунду (если это серьезная атака). Если
говорить о мире, то мощность атак может быть еще больше.
Поэтому в мире и существуют компании, которые защищают
от DOS-атак. У нас была идея предоставлять такую
услугу в Украине. Но проблема в том, что здесь пока
нет платежеспособного спроса. Большинство атак, с
которыми мы сталкиваемся, направлены на сайты,
оплачивающие виртуальный хостинг за $8-10 в месяц. И
на наше предложение в связи с DDOS перейти хотя бы на
выделенный сервер за $50-70 в месяц отвечают
категорическим отказом. Соответственно, и на защиту от
DOS-атак такие сайты не готовы тратить хоть какие-либо
деньги.
- А если бы вы предоставляли услугу защиты от
DDOS – надо было бы у вас хостится (компания
Mirohost.net- ред)?
- Нет. Это зависит от технологий. Но в общем случае,
это желательное, но необязательное условие.
- А
сколько должно быть заказчиков, чтобы подобная услуга
“заработала”? 10-100-1000?
- Больше 100 при цене
услуги $200-300 в месяц. То есть, на содержание
инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.
- В России такие компании работают?
- Такие компании работают везде. Можно купить
за границей такую услугу прямо сейчас. Только стоить она
будет не $300, а $3-5 тысяч в месяц. Но зато тебя от
DDOS закроют так, что сайту будет страшна только атомная
война.
- А как устроена логика такой защиты? Она
понятна?
- Совершенно понятна. Это известный способ. Допустим,
есть некий провайдер услуг. У него - набор IP-адресов.
Этот провайдер ставит, к примеру, в 100 узловых точках
по миру свои маршрутизаторы и сервера с
файерволом. Соответственно, он тоннелирует свой
трафик закрытыми шифроваными тоннелями до этих точек. И
анонсируется из них во внешний мир (речь идет об анонсах
BGP). То есть, с технической точки зрения это выглядит
так, как будто этот провайдер включен проводами в эти
100 точек напрямую. Допустим, каждое включение может
обработать 10 гигабит трафика, в том числе и
“паразитного” . Соответственно суммарная мощность - один
террабит. Значит, атакующему для того, чтобы “забить”
такую систему, нужно развить один террабит потока (или
около 100 мегапакетов). Далее файерволы на каждой точке
включения фильтруют трафик, выбрасывая “мусор”. И
очищенный от DDOS трафик по шифрованному каналу
доставляется к защищаемому серверу. Я описываю
достаточно упрощенно, но принцип понятен. Подобным
образом, в несколько модифицированном виде защищают,
например, корневые DNS-ы. Их регулярно пытаются
атаковать, условно говоря, в целях «тренировки». Не
помню точных даных, но на 2007 год самая крупная
DOS-атака составила около 40 мегапакетов в секунду.
Думаю, что сейчас эти величины колеблются в районе 100
мегапакетов.
DOS-атаки – это ведь большой криминальный бизнес.
Фактически в большинстве случаев он сопряжен с
вымогательством. У нас на хостинге есть сайты, с
которых, я точно знаю, вымогали деньги. Обычно в
качестве «мишеней» выбирают интернет-магазины,
интернет-казино, крупные информационные ресурсы —
проекты, для которых разрыв контакта с пользователями в
Интернет грозит быстрыми и большими убытками. Так,
накануне 8 марта, большинство украинских сайтов,
торгующих цветами, «лежали». (К чести нашей компании
замечу, что в то же время нам удалось поддерживать в
работоспособном состоянии аналогичный ресурс, хостящийся
у MiroHost.net).
- Для Украины впрочем хватает и маленькой атаки.
-Смотря для кого. Но, понятно, что это вопрос денег.
Атакующему надо потратить значительную сумму денег.
Организация маленькой атаки осуществляется легко и
дешево, например, через какой-то форум. Но создание
по-настоящему большой и крупной атаки – дело очень
рискованное. В мире ведь существует немало платных
сыскных агентств, которые специализируются на Интернете.
-Они ищут атакующего? Каким образом?
- Да, ищут, но как правило не техническими
способами, а через агентуру или, например, предлагая
деньги за информацию об организаторе атаки. И завтра
организатора сдают свои же. Потому что в одиночку это
организовать нельзя.
- Ну, почему же: запустил троянов, наплодил
«роботов» и атакуешь...
- Но ведь кто-то этот троян написал? А кто-то
написал библиотеки, а кто-то написал компилятор, а
кто-то содержит форум, через который общались заказчик с
организатором.
Рассказы о том, что атакующий – невыявляем - неправда.
Да, это дорого, но возможно. Если речь идет о серьезных
мировых интернет-ресурсах, то последствия бывают тоже
очень серьезные. Например, обвинение в данном
преступлении заказчику могут предъявить в стране, где за
это преступление предусмотрено 25 лет тюремного
заключения.
- Когда на нас начинается очередная DOS-атака,
то первая мысль: найти того, кто заказал... ну и дальше
по списку...
- Если речь идет о небольших DOS -атаках, то здесь, как
свидетельствует опыт, зачастую в качестве организатора
оказывается ребенок 15 лет, который решил
«побаловаться». Хотя от этого являение не становится
менее опасным.
- Поставим вопрос по-другому. Если смоделировать
такую ситуацию: напряглась госмашина, к зараженным
компьютерам приходит технический специалист и
милиционер. Они узнают, откуда компьютер заразился,
дальше по цепочке....
- Не поможет
- В связи с тупостью госмашины или от того, что
это в принципе невозможно?
- Нужен очень специализированный инструмент. Именно
потому в мире существуют компании, которые на этом
специализируются. Ходить с милиционером – это ведь тоже
стоит денег. А за эту атаку заплатили $50.
- Ну, $500 все-таки чаще встречается.
- $500 – это уже недешевая атака. И если идти
стандартными методами, то может оказаться, что на поиски
надо будет потратить $500 тыс. Есть два способа, как
найти заказчика: можно за $500 тыс устроить все это
расследование. А можно на том же форуме, где эти DDOS
продают, пообещать $5 тыс за информацию об организаторе.
На самом деле – это один из самых эффективных методов.
Люди, которые продали или сдали в аренду заказчику
бот-нет (сеть компьютеров, зараженных вирусом- прим ред),
сами же заказчика и «сдадут». Поскольку кроме денег, их
ничего не интересует. Ничего личного.
- В том же контексте, но несколько другое. Как
себя чувствует при атаке хостинг-провайдер?
- Плохо себя чувствует. У хостинг-провайдера
следующие альтернативы. А – выключать сайт, который
досят. В – защищать сайт, который досят бесплатно. И С –
защищать его за деньги. В большинстве случаев
принимается вариант А, поскольку В убыточно, а за С
заказчик платить не готов. В свою очередь, MiroHost.net
старается минимизировать воздействие DDOS на своих
клиентов, настолько насколько это позволяет наша
инфраструктура. И во многих случаях нам это удается.
Однако для защиты от крупных DOS-атак необходим
специализированный сервис по цене, значительно
превышающей цену, которую готовы платить сегодня
клиенты.
- А хостинг-провайдер может включиться в схему
защиты за $5000 и защитить все свои сайты?
- За $5 тыс не может, но за $50 тыс. или за
$500 тыс.— это возможно. Я уже говорил, что содержание
минимальной инфраструктуры защиты от DDOS обходится в
десятки тысяч долларов в месяц. А если покупать эту
услугу у стороннего провайдера – то это обойдется еще
дороже. Например, для хостинг-компании нашего уровня по
западным коммерческим расценкам такая услуга будет
стоить больше $200 тысяч в месяц. И опять же, смысла в
этом нет никакого, поскольку большинство клиентов за это
платить не готовы. Ну, скажем, зачем DDOS-защита сайту
“О моей любимой кошке”? Если кому-то захочется потратить
$50 и “выключить” его на 2 часа, то препятствовать этому
нет никакого смысла.
- То есть обычно сайты отключают?
- Еще раз повторюсь: все зависит от самого
ресурса. На Западе хостеры относятся к этому так: если у
тебя интернет-бизнес — плати за анти-DOS защиту.
Фактически - это страховка. Ведь нет компании, которая
может защитить тебя от того, что на голову упадет
кирпич. Но существует компания, предлагающая тебе
страховку. Здесь та же схема. Если у тебя есть сайт, и
ты считаешь для себя важным защититься от атак, то ты
платишь специализированным компаниям, точно также, как
платишь за антивирус.
Хостинг-провайдеры, как правило, к этому отношения не
имеют. Некоторые хостеры, правда, предоставляют такую
услугу в пакете хостинга. Но фактически это две разные
услуги. А поскольку цена анти-DOS защиты, как правило,
существенно выше, то можно считать, что в рамках этой
услуги хостинг предоставляется бесплатно. Так что
создание защищенных сетей – это большой
быстроразвивающийся бизнес в мире. Мы тоже исследовали
в Украине возможность предоставления такой услуги, но,
как я уже говорил, - рынок пока отсутствует.
- Потому что в Украине не было суператак?
-Скороее, потому что в Уанете мало денег.
Затраты на безопасность пропорциональны количеству
денег, которые оборачиваются в Интернете. Как только
твой сайт начнет зарабатывать $300 тыс в месяц, я
уверен, что желающие тебя «подоить» найдутся. Я считаю,
что в Украине по настоящему прибыльных
интернет-проектов (навскидку) не больше 50, но возможно,
их еще меньше. А вот когда таких проектов станет 500 или
5000 - тогда появится рынок. Но это будет не завтра.
Может, года через три или даже через пять.
- Может высокопарно..., но все-таки об
информационной безопасности. Ведь за небольшие деньги
можно положить все госорганы. А может и всю страну.
- Да, в современном мире, это оружие. Вот,
например, если вспомнить войну в Грузии.. Фактически
какой-то период времени грузинские сайты были
недоступны. Если говорить об Украине, то «завалить» ее
так, как «завалили» Грузию или в свое время Эстонию,
нельзя. Украина существенно лучше включена в мировой
Интернет, у нас больше каналов, и они более
разнообразны. А Грузия была подключена всего двумя
каналами. И то один из них был не очень хороший.
Хотя поводов, чтобы расслабиться, я не вижу. Учитывая
наши размеры, такая атака обойдется существенно дороже,
и организовать ее сложнее. Но здесь все зависит от
того, кто «на той стороне». Если это аматоры-любители,
то, скорее всего, с Украиной им не справиться. Но если
рассматривать эту проблему с точки зрения безопасности
государства, то есть, сделать предположение, что атака
будет организована вероятным внешним противником, то
Украина сегодня – «голая». На самом деле «неголых»
стран» очень мало. Понятно, что американцы что-то умеют,
и англичане что-то умеют, и европейцы, и, возможно,
россияне. Но это стоит денег, и больших. У нас
почему-то безопасность в Интернете люди воспринимают как
что-то само собой разумеющееся. А это не так. Никто ведь
не удивляется, что на машину надо поставить
сигнализацию, и купить страховку. А страховка стоит 5%
от стоимости машины. И сигнализация – 1-2 %. Здесь то же
самое. С течением времени люди осознают, что в Интернете
они должны нести такие же затраты на безопасность, как и
в реальной жизни. Я думаю, что в Украине такое время
наступит лет через пять. Кстати, этот рынок свободен.
Любая компания может попытать счастья в данном деле.
Можно даже сильно не спешить. Но я думаю, что через
пять лет это будет большим рынком. Сегодня оборот
Уанета оценивается в $10-20 млн в год, то есть 1-2%
составит $100-200 тыс - и это все, на что может
претендовать рынок безопасности. Это практически ничего.
И на эти деньги построить компанию невозможно. Но вот
если взять, например Россию, где обороты рынка оценивают
в $1 млрд, то 1-2% - это уже $10-20 млн . Так что
следует ждать, пока Уанет вырастет как минимум раз в 20.
Исходя из безусловного права личности на собственную безопасность всем предоставляется
право свободного копирования, распространения
и издания этих материалов, как в полном объеме, так и по частям в любых комбинациях!