Кибервойны будущего. 08.08.08: как зовут хакера, который атаковал грузинские сайты?

Пока гуманисты говорят об обществе, свободном от войн, милитаристы старательно наращивают производство оружия, однако и те и другие стремятся избавить мир от насилия.

В борьбе с этим самым насилием интернет предлагает свои методы: подпортить репутацию, лишить информационной подпитки, снабдить ложными сведениями и даже устроить теракт по Сети. Немудрено, что американские спецслужбы хватаются за голову и готовятся мониторить переписку всех 11 млн подписчиков World of Warcraft.

Добро пожаловать в армию, сынок!

На самом деле террористы могут устраивать заговор буквально в шаге от вас. Представьте себе разговор двух друзей в любой онлайновой игре:

WAR_MONGER.В следующий четверг мы собираем большой рейд! Хотим устроить прогулку по Когтистым горам. Но на этот раз я хочу ударить по Крепости!

TALON238.Вау! Значит, у тебя уже есть заклинание «огненного шара дракона»?!

WAR_MONGER.Да, на прошлой неделе появилось и уже готово к бою! Ну, договорились, назначаем рейд на 11:30.

Дальше два боевика обсуждают тактику действий: сначала надо зачистить окрестности, потом применить «огненный шар», после чего « сто лет туда никто ступить не осмелится ». Разумеется, под Крепостью подразумевается Белый дом, а под заклинанием — ядерный боезаряд.

Скажете, дешевая шпионская драма, тридцать три утюга на подоконнике? Нет, это доклад аналитика Пентагона, профессора Университета национальной обороны США (National Defense University) Дуайта Тоувса (Dwight Toavs). В сентябре ученый заявил, что онлайн — удобное место для общения террористов, и не преминул продемонстрировать это в чате World of Warcraft. Еще бы, ведь члены Аль-Каиды могут разговаривать на игровом сленге, и ни один сотрудник ЦРУ в жизни не поймет, что на самом деле они готовят теракт.

А пока вы чешете затылок и думаете, где же Пентагон выискивает таких ученых, мы расскажем вам еще несколько шпионских интернет-баек.

Сам ты нуб, я — сотрудник ЦРУ!

На самом деле Дуайт Тоувс вовсе не похож на анимационного сумасшедшего профессора, каким кажется на первый взгляд. Еще в 2004 году небольшая компания MetaCarta при знаменитом Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT) начала разработку специального шпионского софта по заказу Минобороны США и ЦРУ.

Это программное обеспечение массачусетских умельцев отслеживает электронную переписку, проверяет сайты, чаты, блоги и интернет-пейджеры. Цель — поиск по ключевым словам и фразам типа « kill the president of the United States » или « buy a nuclear weapon ». Предполагается, что система MetaCarta будет использоваться спецслужбами по борьбе с террористами. Если программа засекает заданные ключевые слова, она начинает контролировать переписку, пытаясь обнаружить названия улиц, ближайших кафе, номера телефонов — в общем, любую информацию, которая позволит определить, где находится автор. Результат анализа отображается на карте.

В 2004 году создатели MetaCarta были уверены, что не пройдет и трех лет, как их софт будет использоваться повсеместно. На дворе без пяти минут 2009 год. А значит, не исключено, что система уже работает, а страница, которую вы сейчас читаете, успела засветиться на столе не одного высокопоставленного американца. Здесь ведь есть ключевые слова « buy a nuclear weapon ».

Фейк-сайты долго не живут

Интернет-войны ведут не только террористы и спецслужбы — не Counter-Strike же это, в самом деле. Киберпространство все увереннее осваивают политики.

Политизация интернета началась с примитивного слива компромата, когда интернет-сообщество готово было съесть любую сплетню. Например, в 1999 году в рунете появился фальшивый сайт мэра Москвы Юрия Лужкова: некто в расчете на высокую посещаемость зарегистрировал в Сети страницу www.lujkov.ru (сейчас не существует). Разумеется, на фейк-сайт была слита вся грязь, которой только смогли облить мэра Москвы, и посетителей тут было гораздо больше, чем на настоящем сайте www.luzhkov.ru (он здравствует и поныне, но дизайном не блещет). Прознав про чехарду с сайтами, Лужков написал обращение следующего содержания: « Просто поразительно, как быстро русский интернет обрел национальную специфику посредством фальшивки, компры, дезы и прочей, как теперь говорят, мочиловки. Наемные информкиллеры, группы быстрого политического доноса и фас-тренинга — все это зримые части безумного проекта стратега-манипулятора, возомнившего менять царей на Руси ». Знал бы московский князь, что ждет рунет через несколько лет!

Мэр Москвы — не единственный государственный деятель, которому напакостили интернетчики. В 2003 году от этого пострадала и Генеральная прокуратура РФ (настоящий сайт — www.genproc.gov.ru ), которая тогда особенно усердно боролась с олигархами. На поддельную страницу www.gprf.info (сейчас по этому адресу живет порносайт) выложили тонны компромата на прокуроров. Впрочем, олигархам это не особенно помогло.

Что такое DDoS-атака?

Если объяснять очень просто, DDoS-атака (Distributed Denial of Service — работающая на нескольких компьютерах программа, нарушающая нормальное обслуживание пользователей) выглядит так. На сервер-жертву одновременно обрушивается огромное количество запросов — от сотен тысяч компьютеров. В результате сервер становится недоступным для обычных пользователей: он тратит все свои ресурсы на обслуживание запросов злоумышленников.

Не исключено, что ваша машина тоже участвует в чужой DDoS-атаке, отправляя запросы на сервер-жертву, а вы об этом даже не подозреваете. На жаргоне хакеров это называется зомбированием компьютера — заражение его программным кодом-ботом.

Бот позволяет человеку, запустившему его в интернет, использовать мощности чужого компьютера. В сущности, это вирус, который способен заражать множество машин. В результате появляются большие зомби-сети — группы компьютеров, которые незаметно для хозяев может использовать хакер.

Гугл-бомба: взрывается на весь интернет

Но со временем методы политической интернет-резни становились все изощреннее, и многие стали бороться за власть не только чужими руками, но даже используя вполне законные методы. Так, например, появился гугл-бомбинг (google-bombing). Сетевики умело использовали алгоритм поиска: когда много сайтов ссылается на одну и ту же страницу, «привязывая» ее к одним и тем же ключевым словам, то в поисковых системах эта страница начинает пробиваться вперед, пока не выбирается на первое место.

Именно так в конце 2003 года была взорвана гугл-бомба, зацепившая всю мировую прессу: на поисковый запрос « miserable failure » (« жалкий неудачник ») Google откликался официальным сайтом с биографией Джорджа Буша-младшего. Шум поднялся такой, что представителям Google пришлось выступить с официальным заявлением, вмешаться в работу своей системы и ликвидировать последствия бомбардировки. Случилось это, конечно, не просто так: на носу были выборы президента Америки.

Но это далеко не единственный случай! Сотрудникам Google приходится вмешиваться в работу системы все чаще, на форумах даже шутят по этому поводу: вот, снова оптимизируют результаты поиска. В 2006 году на запрос « враг народа » Google выдавал официальный сайт Владимира Путина, а в Яндексе сайт президента Белоруссии Александра Лукашенко выскакивал на фразу « аццкий сотона ». В 2007 году приоритеты сменились: теперь под раздачу Google попал Блок Юлии Тимошенко, который интернетчики емко охарактеризовали как « капец стране ». Догадайтесь зачем? Да просто в этот момент Украина была с головой погружена в очередную предвыборную кампанию, которые происходят в этой стране едва ли не чаще, чем государственные перевороты в маленьких латиноамериканских государствах.

На этом фоне совершенно безобидным выглядит «подрыв» репутации поэта-песенника Аркадия Укупника. Его страницу вы прямо сейчас можете отыскать в Google по ключевым словам « официальный сайт бога ».

Точка Ru против точки Ge

Но и это все детские шалости. Настоящие войны в интернете разгораются, когда большой конфликт назревает в реальном мире.

Возможно, первой на постсоветском пространстве стала армяно-азербайджанская хакерская война. Взлом «вражеских» сайтов с размещением воинственных призывов начался еще девять лет назад и с переменным успехом продолжается до сих пор.

Однако самый свежий и выдающийся пример — интернет-сражение, которое развернулось во время пятидневной войны на Кавказе. Атаки на сайт президента Грузии начались еще до того, как прозвучал первый выстрел. Как утверждают аналитики фонда ShadowServer , первая серьезная DDoS-атака была зафиксирована еще 20 июля (военные действия, напомним, начались 8 августа).

А когда загремела артиллерия, сетевики активизировались с небывалой силой. В первый же день войны на сайт Госкомитета по информации и печати Южной Осетии обрушилась мощная DDoS-атака. Контрнаступление не заставило себя долго ждать: на главной странице МИД Грузии вечером того же дня хакеры повесили коллаж из фотографий Адольфа Гитлера и президента Грузии Михаила Саакашвили.

Кстати, этот коллаж не может не напомнить о похожей атаке на пропагандистский ичкерийский сайт «Кавказ-центр» в 1999 году. Целую неделю всякого заходящего на веб-страницу «Кавказ-центра» встречал портрет Михаила Юрьевича Лермонтова в десантной форме и с автоматом наперевес. Впрочем, то был не взлом: хакеры и не думали портить сайт. Они просто сделали его невидимым для рунета: запросы пользователей перенаправлялись на страницу с классиком русской литературы.

Но вернемся к пятидневной войне. На второй день, 9 августа, упали сайты грузинского президента, МВД, Минобороны и парламента Грузии. Дальше счет неработающим веб-страницам пошел уже на десятки. Были атакованы и выведены из строя сайты информационного агентства Грузия-Online ( www.apsny.ge ) и сайт правительства Абхазии в изгнании (ранее находился на странице http://abkhazia.gov.ge ). Не работал практически ни один сайт грузинского домена .ge : www.nsc.gov.ge , www.government.gov.ge , www.parliament.ge , www.gncc.ge , www.internews.ge , www.acnet.ge — все они пали жертвой неизвестных хакеров.

А теперь вопрос: были ли вообще эти неизвестные хакеры? Есть ли кого чествовать и кого хулить?

Культ дохлой коровы — за свободу китайцев!

Хакерские группировки — вовсе не миф. Разумеется, они существуют. Правда, романтические беззаконные времена остались в далеком прошлом. Как хиппи в свое время превратились в респектабельных офисных яппи, так и хакерские команды теперь — не вольные пираты, а органично влившиеся в общество борцы за права человека.

Самые известные в западном мире группировки хакеров — Hacktivismo ( www.hacktivismo.com ) и Cult of the Dead Cow («Культ дохлой коровы», www.cultdeadcow.com ). Но заняты они не взломом банков, а мирной борьбой за интернет, свободный от цензуры. Последнее их достижение — создание программы для обхода государственного контроля над интернетом в Китае.

А что же русские? Русские снова играют в мафию и пугают мир. Есть в Сети закрытая группировка, известная под названием Russian Business Network (RBN). Общественность услышала об этой группировке после расследования газеты Washington Post в октябре 2007 года: газета якобы выяснила, что это якобы широкая сеть хакеров, которой якобы руководят из Петербурга. Мол, боссы этой сети известны только по никам и связаться с ними можно только через доверенных людей на форумах. По утверждению Washington Post, RBN принадлежит «значительная доля» в бизнесе самых крупных мировых спамеров, администраторов «зомби-сетей» и взломщиков банковских счетов.

В атаках на грузинские сайты загадочную RBN и подозревали. Это даже стало поводом для нервных заявлений нескольких официальных лиц Грузии: « Посмотрите, RBN контролируют ФСБ и ГРУ!» Однако эти конспирологические заявления ничего не дали: после окончания войны эксперты расставили все точки над i.

В поисках виртуального Зорро

По трезвому размышлению оказалось, что грузинские сайты завалили вовсе не таинственные хакерские группы и не правительственный киберспецназ. На самом деле боевая слава здесь принадлежит всем и никому одновременно: постаралось русскоязычное интернет-сообщество в целом.

Если бы рунет мог посмотреться в зеркало, он обнаружил бы героя сотен новостных заметок, бравого парня с красными глазами и клавиатурой наперевес. Однако коварные взломщики, «работающие на правительство РФ», не профессиональные хакеры. Это сотни тысяч пользователей блогов и форумов, мирных пользователей, которым киберсекс всегда был как-то ближе, чем киберпреступления.

Громче всех здесь прозвучал голос директора исследовательского центра по компьютерной экспертизе Университета Алабамы Гэри Уорнера (Gary Warner): он заявил, что российские власти не причастны к атакам на грузинские сайты. По его словам, « на сотнях российских форумов и блогов был размещен такой же скрипт для DDoS-атак, как и для атак на эстонские сайты ». («Эстонская» кибервойна разразилась в апреле 2007 года в ответ на снос советского военного мемориала; тогда как минимум шесть сайтов, в том числе МИДа и Минюста Эстонии, оказались практически недоступны.)

В конфликте с Грузией об организованной акции и речи быть не могло: многие эксперты отметили слабую скоординированность атак — видно, что пользователи действовали хаотично и не ведая, что творят.

А ты чем помог фронту?

Не нужно быть директором исследовательского центра в Алабаме, чтобы заметить то, что заметил Гэри Уорнер: в августовских DDoS-атаках на грузинские сайты участвовали почти все активные интернетчики, в том числе и я.

Перевоплощаться в хакера и учиться зомбировать чужие компьютеры для этого не пришлось. Строчки кода, отправляющего запрос на грузинские сервера, выкладывали всюду: постили на форумах и в блогах, писали в бесчисленных комментариях на новостных и развлекательных сайтах. Сообщения разлетались по Сети как лесной пожар. Кстати, речь идет не только о российских, но и о многих украинских, белорусских, прибалтийских, молдавских, среднеазиатских русскоязычных форумах.

В это же время по файлообменникам путешествовал bat-файл, который существенно упрощал процедуру «задергивания» грузинских серверов (файл до сих пор можно найти здесь http://newfilez.nnm.ru/internetvojna_nuzhna_tvoya_pomosch ).

Что характерно, все было совершенно законно. Никому ведь не запрещено пропинговать (проверить на доступность) тот или иной сервер, правда? Но когда одни и те же сервера проверяются сотнями тысяч и миллионами пользователей одновременно… Совершенно верно, получается типичная DDoS-атака, которую ведут все вместе и каждый по отдельности.

* * *

Кажется, именно это и называется «народная война». И именно такими будут интернет-войны будущего. Не диверсии спецслужб, не работа нескольких хорошо оплачиваемых специалистов, а массовые атаки веб-сообщества, неподконтрольные единому центру, спонтанно возникающие под давлением общественного мнения.

Правда, общественное мнение тоже можно организовать, но это уже совсем другая история.