Хакеры власти

5 апреля 2007 года, утро

Сайт Гарри Каспарова (kasparov.ru), сайт Объединенного гражданского фронта (www.rufront.ru), сайт «Другой России» (www.theotherrussia.ru) и официальная страница «Марша несогласных» (www.namarsh.ru) подвергаются массированной DDoS-атаке из неустановленных источников. Сайты не загружаются или, проще говоря, «лежат». Марина Литвинович, советник Гарри Каспарова, говорит «Интерфаксу»: «Сегодня положение вряд ли можно исправить, хотя провайдер делает все необходимое».

Информация о готовящемся марше тем временем доступна в LiveJournal-сообществах namarsh_ru и kasparov_ru. Суммарное число их подписчиков, однако, не превышает тысячи человек — слишком мало для полноценного информационного ресурса.

Комментируя ситуацию с атаками на оппозиционные сайты, многие специалисты явно побаиваются последствий. Бывший IT-сотрудник Фонда эффективной политики попросил называть его Артемом:

— Если вкратце, то DoS-атака — это Denial of Service. Смысл заключается в том, чтобы сгенерировать очень много фальшивых запросов к серверу, исчерпав его ресурсы. Тогда он не сможет отвечать на настоящие запросы пользователей.

Администратор четырех упомянутых оппозиционных сайтов Дмитрий тоже просил не называть его фамилию:

— Не могу точно сказать, какие пакеты данных передавались, но двухмегабитный канал был моментально забит.

Здесь есть несколько тонкостей. Во-первых, такая атака достаточно дорога в исполнении: забивающий сайты трафик (несколько мегабайт в секунду) стоит ощутимых денег, по оценкам организаторов «Марша несогласных» — около 150 тысяч долларов в сутки. Во-вторых, как говорит Артем, «проследить непосредственные источники — IP-адреса, с которых велась атака, конечно, можно». Но собственные адреса светят только дилетанты. «Существует популярный вариант DoS-атаки: DDoS (Distributed Denial of Service), когда троянскими программами, по сути — вирусами, заражают много подключенных к интернету компьютеров мирных пользователей, а потом уже ведут атаку через них» — так обеспечивается стопроцентная анонимность атакующего. Именно этим способом и были обрушены сайты оппозиции.

— Когда нас атаковали перед мартовским маршем в Питере, с одного IP-адреса шло примерно по тысяче запросов — мы успевали их блокировать, и сайт иногда работал. Сейчас сотня запросов — и сразу идет переключение на другой IP. Мы пытались их отследить и поняли, что не в силах: это огромная сеть зараженных компьютеров — Россия, Мальта, США, другие страны. Такого раньше не было, — в голосе администратора атакованных сайтов Дмитрия слышатся даже некоторые восхищенные нотки.

Единый провайдер всех четырех сайтов, американский Firecom, не оправдал ожиданий владельцев сайтов.

— В ближайшее время мы будем менять не только провайдера, но и архитектуру сайтов, что даст нам возможность защищаться от дальнейших DoS-атак, — делится планами Дмитрий. Артем вдогонку замечает, что размещать все четыре сайта на одном сервере в любом случае неправильно — любые профилактические работы могут привести к отключению веб-страниц.

Несмотря на это, очевидно: сайты подверглись скоординированной атаке, а не нападению хулиганов-одиночек. Для оппозиционных ресурсов это уже традиция. Антон Носик, руководитель службы блогов компании «Суп», говорит:

— Закономерно, что в один прекрасный день додумались привлекать хакеров для глушения оппозиционных голосов. Мне известно о нескольких эпизодах, когда хакеров нанимали на подобную работу пиарщики. Я не исключаю, что и спецслужбы ведут в интернете свою работу по созданию и задействованию глушилок для «вражеских голосов».

23 февраля 2007 года

За 8 дней до первого «Марша несогласных», прошедшего в Санкт-Петербурге 3 марта, DDoS-атаке подвергся уже знакомый нам www.namarsh.ru — этот адрес был указан в бесплатной агитационной газете, распространявшейся на улицах города. Неделей позже таким же способом выведен из строя сайт питерского отделения НБП (www.nbpiter.ru) — еще одной организации — участника марша.

5 апреля 2007 года, вечер

Три из четырех атакованных сайтов оппозиции возобновляют работу — недоступен только www.namarsh.ru, который продолжают бомбардировать фальшивыми запросами извне. На момент подписания номера в печать, через пять дней после московского «Марша несогласных», сайт по-прежнему не подает признаков жизни.

Организаторам марша сразу стало очевидно, что основные усилия неизвестных хакеров направлены именно против www.namarsh.ru. Дмитрий, ответственный за администрирование оппозиционных сайтов, говорит:

— Американский провайдер, как только начались атаки, моментально включил защитную систему Firewall, чтобы не пострадало «железо» (серверы. — Прим.ред.) и соседние сайты. В результате официальная страница марша окончательно пропала из виду.

Оставив на время провайдера в покое, www.namarsh.ru в тот же день перенесли на резервную площадку — уже на российском сервере. Но, по словам Дмитрия, DDoS-атаки продолжились и на новом месте: «Пришлось закрыть сайт окончательно, машина физически перестала выдерживать». Сейчас оппозиционеры в спешном порядке работают над увеличением мощности серверов — атаки по обоим IP-адресам (и американского провайдера, и резервной российской площадки) продолжаются с неослабевающей силой, из-за чего даже случился конфликт с Firecom: американцы не хотят включать сайт, пока не прекратятся атаки, а они продолжаются по сей день. Существует, кстати, теоретическая возможность участия провайдера в DDoS-атаках, но здесь Дмитрий категоричен: «Это точно не они, мы специально проверяли по логам».

11 апреля 2007 года

«Эхо Москвы» сообщает, что начальник управления по работе с органами обеспечения безопасности правительства Москвы Николай Куликов настаивает на том, что митинг оппозиции пройдет на Тургеневской площади. По его словам, проведение марша в центре Москвы «не может быть согласовано с учетом дорожно-транспортной ситуации» и «нарушит права других граждан». Ранее правительство Москвы уже пыталось перенести мероприятие в Тушино, на окраину города.

12 апреля 2007 года

До марша остается два дня. Организаторы марша проводят пресс-конференцию, на которой Гарри Каспаров уточняет: «Марш несогласных», как и планировалось, пройдет от Пушкинской до Тургеневской площади. Тем не менее многие участники марша дезориентированы. Все это время www.namarsh.ru недоступен. Организаторы советуют обращаться за последней информацией в соответствующие LiveJournal-сообщества.

При наличии соответствующих ресурсов DoS-атаки — эффективный способ «положить» неугодный сайт. Но по части элегантности такое воздействие сравнимо с ударом кувалдой. Есть куда более тонкие способы воздействия — например, дефейс.

— Можно получить несанкционированный доступ к системе, — говорит веб-программист Артем, — стереть всю информацию или вывесить жопу вместо главной страницы. Но это просто хулиганство или доказательство мастерства — надолго не канает, потому что быстро чинится.

Однако все зависит от того, какие цели ставят перед собой взломщики.

8 апреля 2007

На главной странице американской общественной организации National Security Advisory Council, www.centerforsecuritypolicy.org, обнаруживается явно несанкционированная картинка с надписью: «Пашли фсе на х…й!!!» Ссылка быстро расползается по русскоязычному интернету, в скором времени на сетевых новостных лентах и в некоторых блогах появляется новость (повторяемая, кстати, от ресурса к ресурсу почти дословно): в числе советников этой организации, занимающейся вопросами национальной безопасности США, обнаруживается лидер Объединенного гражданского фронта и «Другой России», один из организаторов «Марша несогласных» Гарри Каспаров.

Дефейс остается в неприкосновенности несколько часов, прежде чем спохватывается администрация сайта.

Дефейс, и в особенности дефейс сайта американской организации, связанной с геополитикой и безопасностью, требует уже совсем другой квалификации, чем DDoS-атака. Артем уточняет:

— Для дефейса нужна прежде всего низкая квалификация сисадмина сервера. Потому что хакеры высокой квалификации находят более-менее стандартные дыры и пишут для них exploits — инструменты для взлома.

Вопрос о том, что делает Каспаров в NSAC, обсуждает весь российский интернет. Наиболее внятная дискуссия по этому поводу случилась между Максимом Кононенко и Антоном Носиком в ЖЖ последнего (dolboeb.livejournal.com/913588.html?thread=28487860#t28487860). Первый озвучивает позицию, которую явно имели в виду авторы дефейса: оппозиционный политик давно состоит во враждебной политической организации. Второй говорит, что должность абсолютно номинальная — в сущности, свадебный генерал. Сам Каспаров утверждает, что в 2001 году был награжден дипломом этой организации за вклад в дело борьбы за торжество демократии в России — и тогда же, шесть лет назад, закончились его взаимоотношения с National Security Advisory Council. В истории с дефейсом есть еще следующее совпадение: написанные на картинке слова — вариант слогана ныне закрытого контркультурного сайта Fuck.ru «Бля, пашли все на х…й, му…аки!!!». Как бы там ни было, есть все основания полагать, что в предвыборный год дефейс станет популярным пиар-развлечением.

Тем временем цифровые атаки на «Марш несогласных» продолжились с совершенно неожиданной стороны.

14 апреля 2007 года, 11.46

В день проведения «Марша несогласных» многие возлагают большие надежды на веб-камеру, установленную в Москве на Пушкинской площади в здании «Известий» (изображение можно посмотреть по адресу 213.243.80.55:8383) — предполагается, что с ее помощью можно будет в реальном времени отслеживать происходящее на марше. Изображение на странице обновляется ежеминутно, но не автоматически — нужно руками нажимать «Рефреш».

Однако в 11.46 картинка перестает обновляться и возвращается к жизни только на следующий день. Здесь любопытнее всего то, что камеру не закрыли и не выключили физически — просто заблокировали поступление информации на веб-страницу. Иными словами, речь может идти не о внешнем давлении, а о действиях системного администратора редакции «Известий».

Помимо DDoS-атак, дефейсов и блокирования веб-камер, поступали сообщения о том, что пользовательские системы антивирусной безопасности обнаруживали неавторизованные EXE-файлы на компьютерах людей, заходивших на оппозиционные сайты, — иными словами, якобы кем-то предпринимались попытки заразить компьютеры посетителей вирусами. Это, впрочем, не подтвердилось. Собеседники БГ в один голос говорят: при такой скоординированной атаке никто не стал бы тратить ресурсы на подобные мелкие пакости. Согласно другой популярной теории заговора, количество ссылок, выдаваемых российским «Яндексом» на запрос «марш несогласных», существенно ниже, чем показывает интернациональный Google. Строго говоря, это правда: 18 апреля «Яндекс» показывал 1 463 448 страницы, а Google — 2 770 000, почти вдвое больше. Но, во-первых, оба результата — это чрезвычайно много, а во-вторых, как говорит экс-фэповец Артем, у этих поисковых систем «разные системы индексирования, так что на самом деле результат примерно одинаковый».

Но даже если не принимать во внимание истории с вирусами и поисковыми системами, несомненно одно: впервые в российской истории оппозиция подверглась такой скоординированной и мощной кибернетической атаке. Вопрос «Кому выгодно?» здесь представляется достаточно простым.

— Мне легко представить себе, — говорит Антон Носик, — что атака оплачивалась из пиар-бюджетов. На эти нужды выделяются ежемесячно внушительные суммы, которые расходуются с широтой и фантазией. Ведутся «правильные» блоги, пишутся «идеологически выдержанные» комментарии в ЖЖ и на форумах, вбрасывается разнообразный компромат на тех, кого в нынешнем сезоне принято считать оппозицией.

Судя по тому что хакеры достигли почти всех целей, которые перед собой ставили, сохранив при этом полнейшую анонимность, электронная война с оппозицией будет продолжаться.