- По поводу масштабов угрозы: по вашим оценкам, каковы они? Если взглянуть на какую-нибудь криминальную хронику, то возникает ощущение, что преступники — везде и повсюду, несть им числа, хотя потом выясняется, что это изолированные события, которые могли происходить на довольно большом географическом разбросе. С DDoS-атаками как обстоит дело?

- Пожалуй, самое основное отличие электронных преступлений от «реальных» заключается в том, что киберзлоумышленник может совершать свои действия удалённо. Например, похищать деньги, переводить их, прятать или наоборот, доставать из электронного кошелька и обналичивать.

Простой пример: сегодня, если мы хотим купить какую-то вещь, то, как правило, сначала ищем её в интернете. Поисковик дает ссылки на различные магазины, например Amazon. Однако на самом деле это не сам магазин, а некая торговая площадка, которая перекупает товар у локального магазина в Штатах. А тот, в свою очередь, имеет эксклюзивные права в Китае. Соответственно покупка сначала из Китая едет сначала в Штаты, и только потом в Москву. Таким образом, мы видим пересечение цепочек реальной и виртуальной логистики. В виртуальной логистике требуются минуты, чтобы определиться с покупкой, совершить оплату с помощью электронных денег и осуществить заказ. Реальный же товар будет перемещаться намного дольше. Злоумышленники очень часто пользуются такими безналичными платежами, чтобы моментально проводить транзакции и рассылать команды на включение и выключение DDoS-атаки, которая может идти откуда угодно. Кроме того, ботнет может быть очень быстро перепродан и перенацелен на другую жертву. Соответственно, когда правоохранительные органы приходят в предполагаемое «гнездовье» киберпреступников, там уже никого нет.

- Но какова плотность бомбардировки в целом? По количеству инцидентов за какой-то период?

- В целом это вопрос бизнеса. Чаще всего атакам подвергаются мелкие фирмы, небольшие интернет-магазины. Как мы об этом узнаём? У нас есть специальный ресурс – ферма серверов, которая «слушает» интернет и вылавливает команды центров управления ботнетами. Мы не можем их заблокировать, но мы можем их «слышать» благодаря тому, что у нас имеются сэмплы ботов, которые регистрируют услышанное и позволяют понять статистическую ситуацию.

Соответственно перед глазами у нас есть «новостная лента» атак, производимых практически по всему миру. Естественно, мы видим и слышим не абсолютно всё, но значительную часть. И по результатам анализа происходящего в российской зоне мы можем сказать, что в день осуществляется несколько сотен атак — включение активности и выключение таковой. Более того, есть очень продолжительные атаки, к которым подключаются различные ботнеты. То есть видно, что одни ресурсы перестают работать и сразу начинают работать другие.

Если говорить о количестве таких атак на мелкие и средние компании, то их осуществляется по несколько сотен в день. То есть суммарно в год получается какое-то огромное количество. Другое дело, что какая-то доля их успешна, а какая-то нет – какая именно, мы не можем сказать. Чтобы получить достоверную информацию, нужно проверять каждый конкретный случай.

У нас есть система по предотвращению DDoS-атак, рассчитанная преимущественно на крупных клиентов (или бизнес, связанный с сетью), для которых интернет важен не только для имиджевой составляющей, но и для ведения бизнеса в целом. Такие клиенты имеют хорошую сетевую инфраструктуру, но нередко становятся мишенями: обычно это одна-две атаки в квартал.

Но эти атаки, как правило, уже построены конкретно под них. Это уже не хулиганская атака на магазин. Речь идёт о бизнес-войнах, которые воплощаются вот в такую активность. Мы видим, что, когда у наших клиентов высокий сезон — например, в конце года, когда у банков появляются новые кредитные предложения, когда начинается сезон повышенных продаж в сетевых магазинах, — количество DDoS-атак стремительно возрастает. В конце весны начинается туристический сезон. Соответственно мы наблюдаем повышение DDoS-активности, направленной на сайты туристических компаний. Как только какой-нибудь банк выходит с ценовой политикой или с новыми рекламными акциями и предложениями, часто бывает так, что буквально на следующий день или в тот же день организовывается DDoS-атака на этот ресурс. Это лишний раз показывает, что такие атаки – экономически эффективный инструмент давления на конкурента, давления на тот или иной бизнес.

- Вы упоминаете бизнес-войны – это, как правило, сведение счетов или действительно попытки саботировать работу конкурентов?