«Социальные бот-сети»
Раздел: Социальные сети
В последние несколько лет регулярно появлялись статьи о роли социальных интернет-сервисов в так называемых революциях, то и дело вспыхивающих в разных уголках третьего мира (среди них особо выделяется одна, рассказывающая о применении таких технологий как Tor, OpenGSM, mesh networking [1]). Как правило, дальше констатации факта их использования дело не шло. Но в этой статье, с помощью Википедии и здравого смысла, попытаемся копнуть чуть глубже и увидим удивительную схожесть между DDoS-атакой и «твиттер-революциями», а также способы противодействия им. Так как эта статья рассчитана на широкий круг читателей в ней будут даваться определения, объясняющие тот или иной термин. Текст, который взят из Википедии, будет выделен курсивом. Итак, что представляет собой DDoS атака: — атака, выполняемая с большого числа компьютеров на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью, так и одним из шагов к овладению системой. Обычно в атаках участвуют от нескольких тысяч до сотен тысяч зараженных машин. Особо обратим внимание на такую разновидность DDoS атаки как Флуд: Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы. Но для того что бы такую атаку организовать сначала нужно создать ботнет. Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества устройств, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. По получению команды от «владельца» ботнета, начинает исполнять команду. В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу). Исполняемый код — система команд, каждая из которых описывает элементарное действие. То есть, для создания ботнета нужно сначала заразить множество компьютеров вирусом. Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. Заражение компьютерным вирусом (написанным для создания ботсети) происходит в основном двумя путями: либо через спам с вирусом (под видом полезного содержания) либо при посещении сайтов на которых расположен вирус. Теперь рассмотрим упрощенную схему DDoS атаки. Шаг первый: Злоумышленник (далее Центр) создает или покупает VPN сервер. VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи. Обычно VPN сервер с одной стороны, находится под «легальным» контролем Центра, а с другой, как раз по этой причине трудно или вовсе невозможно идентифицировать его владельца. Шаг второй: Центр через VPN подключается к Proxy серверу. Целью использования этой цепочки является сокрытие следов причастности Центра к действиям ботсети. Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе. Шаг третий: Центр через цепочку VPN – Proxy дает команду ботсети о начале атаки на выбранную жертву. Если вы еще не догадались, причем тут twitter (и другие соц. сети) – посмотрите на схему выше и используйте другие термины. Центр – «цитадель демократии»; VPN – общественные и правозащитные организации, рейтинговые агентства, WikiLeaks и т.д; Proxy – так называемые лидеры мнений (drugoi, Навальный, Латынина и т. д. на любой вкус и сферу интересов). Proxy используется для того что бы не компрометировать более дорогой VPN и ценен тем что позволяет выдавать действия Центра за действия резидента нужной страны; Бот – зараженный ментальным вирусом человек. В терминологии твитера – follower (последователь). Из бота можно сделать Proxy. (Достаточно вспомнить историю с блогером «Сухуми»). Ментальный вирус, он же Мем — в меметике, единица культурной информации, распространяемая от одного человека к другому посредством имитации, научения и т.д. Подобно генам, мемы — это репликаторы, то есть объекты, которые копируют сами себя. Для мемов выживание зависит от наличия, по крайней мере, одного носителя, а воспроизводство зависит от наличия того носителя, который пытается распространить сущность мема. Мемы могут видоизменяться (комбинироваться или разделяться), чтобы формировать новые мемы. Свежий пример – «Дворец Путина». Заражение ментальным вирусом происходит тем же путем что и компьютерное: Посещение зараженных сайтов (Эхо Москвы, kavkazcenter, kasparov.ru и др.); Распространение вируса под видом полезного содержания (стажировки, обучение заграницей, программы British Council и т.д.). Как правило, этот метод используется для создания не простых Ботов, а лидеров мнений – Proxy. Ограничение длины сообщения twitter в 140 символов связано с ограничением размера SMS. Если позволить использовать более длинные сообщения являющиеся, по сути, командами (упомянутый выше исполняемый код) то часть сообщения будет теряться, а это приведет к снижению координации и эффективности сети. Ориентация именно на мобильные телефоны говорит о том, что изначально сервис предназначался для развивающихся стран, где телефон значительно более распространен, чем компьютер и интернет, а мобильными операторами зачастую являются иностранные компании, которые легко контролируются извне. При этом с 2005 года активно проводилась борьба с «цифровым неравенством» которая заключалась в поставках дешевых компьютеров на Ближний Восток, Тунис, Ливию. [2] [3] [4] [5] Программой заведует Николас Негропонте оказавшийся братом Джона Негропонте который обвиняется в том, что совместно с ЦРУ принимал участие в создании «батальона 316», члены которого похищали, подвергали пыткам и убивали оппозиционеров и неугодных США деятелей. Жена — Диана Негропонте, член финансируемой правительством США организации «Freedom House». (VPN) Экономическая отдача от социальных ботсетей колоссальна и не идет ни в какое сравнение со средствами, которые в них инвестировали. В тот же twitter вложили десятки миллионов долларов даже не имея четкой модели монетизации (законной) но спустя несколько лет мы видим profit – «заморожены» банковские счета Египта, Туниса, Ливии (160 млрд $). [6] Теперь о методах защиты от социальной DDoS атаки. Они такие же, как и при защите от компьютерной: Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п. Фильтрация. Блокирование трафика исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику. Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов. Наращивание ресурсов. Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за атаки. Уклонение. Увод непосредственной цели атаки подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью. Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера. Внедрение оборудования по отражению DoS-атак. (Например, российский СОРМ). Приобретение сервиса по защите от DoS-атак. (Военно-политические союзы). [1] www.zavtra.ru/cgi/veil/data/zavtra/11/909/print51.html [2] www.securitylab.ru/news/242122.php?R1=RSS&R2=allnews [3] hard.compulenta.ru/337824/?r1=yandex&r2=news&country=Russia [4] news.ferra.ru/hard/2006/10/16/62912/ [5] lenta.ru/news/2010/04/29/olpc/ [6] news2.ru/story/312155/ Дата публикации: 2011-07-18 |