Социальные Ботнеты

В последние несколько лет регулярно появляются статьи о роли социальных интернет-сервисов в так называемых революциях, вспыхивающих то и дело в разных уголках третьего мира (среди них выделяется одна, рассказывающая об использовании таких технологий, как Tor, OpenGSM, ячеистые сети [1]).

Дальше констатации факта их использования, как правило, дело не доходило.

Но в этой статье, с помощью Википедии и здравого смысла, мы попытаемся копнуть немного глубже и увидеть удивительное сходство между DDoS-атаками и «Твиттер-революциями», а также способы противодействия им.

Поскольку данная статья предназначена для широкого круга читателей, в ней будут приведены определения, объясняющие тот или иной термин.

Текст, взятый из Википедии, будет выделен курсивом.

Итак, что же делает DDoS-атака : — атака, осуществляемая с большого количества компьютеров на вычислительную систему с целью вывода ее из строя, то есть создания условий, при которых законные (законные) пользователи системы не могут получить доступ к ресурсам, предоставляемым системой, или этот доступ трудно.

Неудача «вражеской» системы может быть как самоцелью, так и одним из шагов к овладению системой.

Обычно в атаках участвуют от нескольких тысяч до сотен тысяч зараженных машин.

Обратим особое внимание на такой тип DDoS-атаки под названием Flood: Наводнение (англ.

флуд) — атака, связанная с большим количеством обычно бессмысленных или неправильно оформленных запросов к компьютерной системе или сетевому оборудованию, направленная или приводящая к сбою системы из-за исчерпания системных ресурсов.

Но чтобы организовать такую атаку, сначала нужно создать ботнет. Ботнет (англ.

botnet от робот и сеть) — компьютерная сеть, состоящая из ряда устройств, на которых работают боты — автономное программное обеспечение.

Чаще всего бот внутри ботнета представляет собой программу, которая тайно устанавливается на компьютер жертвы и позволяет злоумышленнику совершать определенные действия, используя ресурсы зараженного компьютера.

Получив команду от «владельца» ботнета, он начинает выполнять команду.

В некоторых случаях команда загружает исполняемый код (таким образом, можно «обновить» программу).

Исполняемый код — это система команд, каждая из которых описывает элементарное действие.

То есть, чтобы создать ботнет, нужно сначала заразить вирусом множество компьютеров.

Компьютерный вирус - вид компьютерной программы, отличительной особенностью которой является способность к воспроизведению (самовоспроизведению).

Помимо этого, вирусы могут совершать без ведома пользователя и другие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Заражение компьютерным вирусом (написанным для создания ботнета) происходит в основном двумя способами: либо через спам с вирусом (под видом полезного контента), либо через посещение сайтов, на которых находится вирус.

Теперь рассмотрим упрощенную схему DDoS-атаки.

Шаг первый: Злоумышленник (далее — Центр) создает или покупает VPN-сервер.

VPN (англ.

Virtual Private Network — виртуальная частная сеть) — это обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых подключений поверх другой сети.

Они используются для объединения нескольких распределенных филиалов одной организации в единую защищенную сеть, обменивающуюся данными по открытым каналам связи.

Обычно VPN-сервер, с одной стороны, находится под «законным» контролем Центра, а с другой, именно по этой причине сложно или даже невозможно идентифицировать его владельца.

Шаг второй: Центр подключается к прокси-серверу через VPN. Цель использования этой цепочки — сокрытие следов причастности Центра к действиям ботнета.

Прокси сервер (от англ.

proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам делать косвенные запросы к другим сетевым службам.

Прокси-сервер может скрывать информацию об источнике запроса или пользователе.

В этом случае целевой сервер видит только информацию о прокси-сервере, но не способен определить истинный источник запроса.

Существуют также поддельные прокси, которые предоставляют целевому серверу ложную информацию об истинном пользователе.

Шаг третий: Центр через цепочку VPN-Proxy дает команду ботнету начать атаку на выбранную жертву.

Социальные ботнеты

Если вы еще не догадались, при чем здесь твиттер (и другие социальные сети), посмотрите на схему выше и используйте другие термины.

Центр – «цитадель демократии»; VPN – общественные и правозащитные организации, рейтинговые агентства, WikiLeaks и др.

; Прокси — так называемые лидеры мнений (другой, Навальный, Латынина и т. д. на любой вкус и сферу интересов).

Прокси используется для того, чтобы не компрометировать более дорогой VPN и ценен тем, что позволяет выдать действия Центра за действия жителя нужной страны; Бот - человек, зараженный психическим вирусом.

В терминологии Твиттера – последователь.

Вы можете сделать бота прокси.

(Вспомните историю с блогером «Сухуми»).

Ментальный вирус, он же мем - в меметике единица культурной информации, передающаяся от одного человека к другому путем подражания, обучения и т. д. Как и гены, мемы являются репликаторами, то есть объектами, копирующими сами себя.

Для мемов выживание зависит от наличия хотя бы одного хозяина, а размножение зависит от присутствия того хозяина, который пытается распространить суть мема.

Мемы можно модифицировать (объединять или разделять) для формирования новых мемов.

Недавний пример – «Дворец Путина».

Заражение ментальным вирусом происходит так же, как и компьютерное: Посещение зараженных сайтов (Эho Москва, Кавказцентр, kasparov.ru и др.

); Распространение вируса под видом полезного контента (стажировки, обучение за рубежом, программы Британского Совета и т.п.

Как правило, этот метод используется для создания не простых Ботов, а лидеров мнений – Прокси.

Ограничение длины сообщения в Твиттере в 140 символов обусловлено ограничением размера SMS. Если разрешить использование более длинных сообщений, которые по сути являются командами (упомянутый выше исполняемый код), то часть сообщения будет потеряна, а это приведет к снижению координации и эффективности сети.

Акцент именно на мобильных телефонах позволяет предположить, что услуга изначально предназначалась для развивающихся стран, где телефоны распространены гораздо больше, чем компьютеры и Интернет, а операторы мобильной связи зачастую являются иностранными компаниями, легко контролируемыми извне.

При этом с 2005 года активно ведется борьба с «цифровым неравенством», которая заключалась в поставках дешевых компьютеров на Ближний Восток, в Тунис и Ливию.

[2] [3] [4] [5] Программой руководит Николас Негропонте, который оказывается братом Джона Негропонте, который обвиняется в участии совместно с ЦРУ в создании «316-го батальона», члены которого похищали, пытали и убивали оппозиционеров и неугодных США деятелей.

Его жена — Диана Негропонте, член финансируемой правительством США организации Freedom House. (ВПН) Экономическая отдача от социальных ботнетов колоссальна и не может сравниться с теми средствами, которые в них были вложены.

В тот же твиттер были вложены десятки миллионов долларов даже без четкой модели монетизации (легальной), но через несколько лет мы видим прибыль - «заморозили» банковские счета Египта, Туниса, Ливии.

(160 миллиардов долларов) .

[6] Теперь о методах защиты от социальных DDoS-атак.

Они такие же, как и для защиты компьютера: Профилактика.

Предотвращение причин, побуждающих отдельных лиц организовывать DoS-атаки.

Очень часто нападения являются результатом личных обид, политических, религиозных разногласий, провоцирующего поведения жертвы и т.п.

Фильтрация.

Блокировка трафика, поступающего от атакующих машин.

Эффективность этих методов снижается по мере приближения к цели атаки и возрастает по мере приближения к ее источнику.

Устранение уязвимостей.

Не работает против флуд-атак, для которых «уязвимостью» является ограниченность определенных ресурсов.

Увеличение ресурсов.

Рассредоточение.

Построение распределенных и избыточных систем, которые не перестанут обслуживать пользователей, даже если некоторые их элементы станут недоступными из-за атаки.

Уклонение.

Перемещение непосредственной цели атаки от других ресурсов, которые часто также затрагиваются вместе с непосредственной целью.

Активный ответ. Воздействие на источники, организатора или центр управления атакой как технического, так и организационно-правового характера.

Внедрение оборудования для отражения DoS-атак.

(Например, российский СОРМ).

Приобретение услуги по защите от DoS-атак.

(Военно-политические союзы).

[1] www.zavtra.ru/cgi/veil/data/zavtra/11/909/print51.html [2] www.securitylab.ru/news/242122.phpЭR1=RSS&R2=allnews [3] hard.compulenta.ru/337824/Эr1=yandex&r2=news&country=Россия [4] news.ferra.ru/hard/2006/10/16/62912 [5] lenta.ru/news/2010/04/29/olpc [6] news2.ru/story/312155 Теги: #ddos #Twitter #Чулан #революционные технологии