Если вы поспешили испробовать различные ключевые слова в Google, не утруждайтесь: профессиональные поставщики таких услуг не так легко доступны. Конечно, в Интернете можно несложно найти любительские инструменты, предназначенные для проведения атак DDoS против сайтов, или уроки, как что-нибудь взломать. Но все это лишь детские игры – арендовав за несколько долларов в день сеть botnet, можно разве что проверить, готов ли сайт отразить атаки такого характера (некоторые инструменты даже называют легальными и их рекламируют).
Чтобы подготовиться к крупномасштабной кибератаке, придется побольше поинтересоваться основными лазейками хакеров, форумами или каналами разговоров. Помимо этого, не хватает только найти их – нужно еще завоевать доверие этих людей. Или заинтересовать их. Допустим, всемирное объединение хакеров Anonymous принимает различные предложения атак, так что те, кто заинтересует их, своих злостных целей могут достигнуть и бесплатно.
Рекламу хакерских услуг также можно найти в YouTube, а переговоры часто проходят по обычным каналам – в социальных сетях, Skype, по электронной почте. Рассчитываются с хакерами в виртуальной валюте (например, Bitcoin, Webmoney, LibertyReserve, реже - PayPal).
Важно подчеркнуть, что хакеры, занимающиеся нелегальной деятельностью, заботятся о своей анонимности, а заботятся ли об этом заказчики, не выследят ли их секретные службы – не их головная боль. Так что одних денег для злых намерений не хватает – нужны и знания, опыт, знакомства.
Крупные атаки – только для надежных клиентов
Руководитель отдела сетей и решений безопасности компании Blue Bridge Сигитас Бичюнас утверждает, что атаки, привлекшие большое внимание Литвы на прошлой неделе, были только тренировкой хакеров. Такие атаки DDoS среднего масштаба – рутина для специалистов, правда, в большинстве случаев они длятся короче.
Цена атак такого масштаба, если они заказываются, может быть различной и зависит от мишени атаки, характера заказа и умения самого заказчика договариваться. Но появившиеся в СМИ слухи о том, что якобы она стоила несколько сотен тысяч литов, высосаны из пальца – реальная сумма может достигать нескольких тысяч литов.
По оценке С.Бичюнаса, особенно мощная атака в подполье стоит около 100-200 долларов в час. Но в таком случае посылается поток не нескольких (как в последнее время), а нескольких десятков или даже сотен гигабитов в секунду.
Цена атак , если они заказываются, может быть различной и зависит от мишени атаки, характера заказа и умения самого заказчика договариваться.
«Крупные атаки также распространены, но они доступны только постоянным и уже проверенным заказчикам. Атака 100 гигабитов в секунду уже никого не удивляет. Хотя размеры сегодняшних сетей botnet достигают сотен тысяч компьютеров-зомби, DDoS чаще всего проводят из 2000-3000 IP адресов, и этот список меняется каждый час или два, поэтому попытка блокировать бессмысленна. Никогда не атакуют из всех компьютеров сети botnet одновременно, поскольку это осветило бы весь объем нелегальной сети», - заметил эксперт в области информационных технологий.
Правда, важно учитывать не только масштаб атаки, но и ее характер. Тактика сегодняшних атак – микс из атак по совершенно разным направлениям и принципам (если говорить на профессиональном языке, то атакам подвержены SMTP, DNS, HTTP, SSL). «Для них часто хватает меньшего потока сети и количества запросов. Во время атаки на уровне приложений часто хватает 500-1000 мегабитов в секунду. Межсетевой экран (Firewall) часто может эффективно справиться только с атаками на уровне сети», - сказал представитель Blue Bridge. С такими атаками могут справиться только специальные защитные решения против атак DDoS и опытный, квалифицированный персонал.
Стоимость хакерских услуг
Знающие где и что искать могут найти множество различных услуг, начиная от взломов и заканчивая созданием вируса. Компания по безопасности Trendlabs провела исследование и выяснила разнообразие и стоимость услуг, которые оказывают российские хакеры.
Начнем с уже упомянутых атак DDoS (англ. distributed denial of service), во время которой сеть зараженных вирусом компьютеров (botnet) направляет в мишень огромное количество запросов, а серверы, которые не выдерживают поток, «ломаются». Слабая или средняя атака, которой хватило бы, чтобы «сломать» небольшой сайт или личную страницу, стоит 30-70 долларов в день. Арендовать эту сеть botnet на неделю стоит около 150 долларов, на месяц – более 1000 долларов.
Планируя такую атаку против портала мирового уровня, кошелек придется распахнуть пошире – такая атака может стоить более десяти тысяч долларов в день.
У желающих самим управлять сетью botnet есть два выбора: приобрести уже сформированную, или создавать свою. В первом случае хакеры просят от 200 долларов за 2 000 зараженных вирусом компьютеров (цена зависит от места компьютеров, активности, мощности и других факторов). Желающие сами создать сеть botnet, даже не умеющие программировать, могут купить предназначенную для этого программу – различные хакеры предлагают ее за 200-500 долларов и дороже. Однако в этом случае придется подождать, пока ваша сеть botnet сформируется (т.е. вирусом будет заражено достаточное количество компьютеров), также будет стоить и поддержание программы.
Купить можно и специфические вредительские программы. Один хакер объявляет: «Пишу и продаю «трояны» и другие вредительские программы. «Троян» для кражи банковских данных – 1300 долларов, для взлома браузера пользователя – 850 долларов. Вot DDoS – 350 долларов, программа проверки кредитных карт – 70 долларов».
Предлагается купить и незаконные услуги. Допустим, миллион писем со спамом можно распространить за 10-500 долларов, 10 тысяч SMS стоят всего 150 долларов, перегрузка телефонной линии на день стоит 20-50 долларов.
Аргументы
Основное и наиболее часто упоминаемое объяснение, почему они занимаются этой деятельностью, очень простое – деньги.
Портал WhiteHat Security недавно опубликовал интервью с анонимным хакером, который занимается незаконной деятельностью. Мужчина, представившийся Адамом, не скрывает, что эта деятельность невероятно прибыльна: «Недавно получил предложение работать специалистом по кибернетической безопасности в довольно крупной компании. Какая зарплата? За год я бы там заработал столько, сколько сейчас получаю за несколько недель».
Иногда я не сплю в течение нескольких суток и думаю, когда у меня будет рейд. Я чувствую себя хорошо, зная, что если у меня будут проводить рейд, то я хотя бы не буду спать.
Хакер рассказал, что заработать деньги можно не только взламывая сайты, воруя данные кредитных карточек или арендуя сети botnet для атак DDoS. «Часто используется шантаж. Ломаешь сайт на час, отправляешь им электронное письмо или звонишь и требуешь заплатить несколько сотен долларов, иначе сайт останется недоступным. Чаще всего они платят. Если нет, их бизнес останавливается на несколько дней, недель или даже месяцев», - сказал он.
Между тем хакер удивлялся, почему большинство компаний не заказывают защиту от атак DDoS, которые уже становятся рутиной в Интернете. В качестве примера он привел услугу Cloudflare, которая за 200 долларов в месяц, по его оценке, предоставляет очень надежную защиту. «Если я от тебя требую несколько сотен или тысячу долларов в день, почему за ту же сумму не купить иммунитет на месяц?» - риторически спросил Адам.
Еще одна ошибка компаний – нанимаются системные администраторы без реального опыта работы. «Они никогда не были «плохишами», кушали серебряной ложкой, поступили в университет на деньги мамочки и папочки. Если бы я был руководителем компании, то я бы лучше нанял человека, который имеет судимость за взломы, чем выпускника университета. У того, кто был пойман, есть опыт, он знает, как думают настоящие хакеры, а не только то, что об этом пишут в книгах», - считает хакер.
Правда, в конце интервью он признается, что никогда не чувствует себя в безопасности и словно ждет, когда его схватят правоохранительные органы: «Возможность быть пойманным всегда вызвала беспокойство, если бы я об этом не думал, то был бы круглым дураком. Иногда я не сплю в течение нескольких суток и думаю, когда у меня будет рейд. Иногда работаю по ночам, а днем сплю. Я чувствую себя хорошо, зная, что если у меня будут проводить рейд, то я хотя бы не буду спать». Мужчины упомянул, что в ближайшее время намерен изменить свою жизнь – отказаться от деятельности хакера и легально устроиться на работу экспертом по безопасности. Хотя возможно это – только пустые обещания.