26 января сайт «Новой» www.novayagazeta.ru был подвергнут интенсивной DDoS-атаке. Началась она примерно в 9 утра и продолжалась почти сутки.

Технические специалисты редакции и техподдержка хостера в течение дня выясняли причину обрушения сайта. Рассматривали все версии — от элементарного отключения питания и усталости «железа» до нападения хакеров.

К вечеру стало ясно: это DDoS-атака.

**Восстановительные работы продолжались всю ночь. В среду утром, казалось, атаку удалось отбить. Однако при попытке запустить сервисы сервер снова «обрушился» — количество запросов возросло до 1,5 млн в секунду. **

До настоящего момента работа веб-редакции парализована, а свободный доступ к материалам «Новой газеты» в Интернете существенно ограничен.

Редакция «Новой» расценивает эту атаку как прямое нарушение Закона о СМИ, воспрепятствование профессиональной деятельности журналистов, нарушение права наших читателей на получение информации и срыв договоренностей с рекламодателями.

Поэтому редакция решила обратиться с заявлением о возбуждении уголовного дела по факту атаки на сервер «Новой газеты» — в Генпрокуратуру РФ, МВД РФ и ФСБ РФ.

Одновременно мы ищем новую площадку для хостинга «Новой», защищенную от подобных кибератак.

Также коллектив «Новой» благодарит коллег за информационную поддержку и предложения помощи. Это радиостанция «Эхо Москвы», портал Грани.ру, газета The New York Times, агентство «РИА Новости». Спасибо! Отдельное спасибо — читателям, которые с пониманием отнеслись к возникшим у редакции трудностям и продолжают предлагать реальную помощь.

Одна из возможных причин атаки — освещение «Новой газетой» конфликта в поселке «Речник». Наши корреспонденты круглосуточно дежурят в поселке и в онлайн-режиме передают в редакцию фото- и видеосъемку, свидетельства пострадавших, а также документы собственников участков, которые еще не фигурировали в новостях. По имеющейся у нас информации, снос домов в поселке планируется закончить к понедельнику. И материалы, которые начали появляться на сайте, — совсем нежелательный для этого фон. В настоящее время все подробности развития конфликта с «Речником» в освещении «Новой газеты» можно прочитать в блоге издания по адресу: novayagazeta.livejournal.com

Там же редакция будет выкладывать электронную pdf-версию вышедших номеров — до тех пор пока ресурс сайта не будет восстановлен.

Что такое DDoS-атака

За последние годы от DDoS-атак пострадали многие крупные интернет-СМИ: в декабре 2009-го — интернет-версия «Ведомостей», в 2008 году сайт и техническая инфраструктура агентства «РИА Новости», 1 мая 2007 года — сайт радиостанции «Эхо Москвы». Под угрозой DDoS-атаки находится любой популярный ресурс — всегда найдутся недовольные политикой редакции или конкуренты, заинтересованные в том, чтобы «выключить» соперника.

Расшифровывается этот термин как Distributed Denial Of Service attack — распределенная атака типа «отказ в обслуживании». От грамотно проведенной атаки такого рода практически нет защиты.

Суть DDoS-атаки очень проста: это в некотором роде аналог автомобильных пробок, где вместо дорожной трассы выступает информационный канал, а точнее — его узкое место, которым оказывается обработка запросов от пользователей. Злоумышленник бомбардирует пострадавший сервер огромным количеством ложных запросов, отчего сервер попросту не успевает на них отвечать и «падает» — становится недоступным. Отличить ложный запрос от настоящей попытки живого пользователя получить доступ к сайту почти невозможно, и в этом вся сложность защиты от такого рода атак.

Разумеется, организовать приличную DDoS-атаку тоже непросто. С одного компьютера, даже самого мощного и оборудованного сколь угодно «толстым» каналом для выхода в Интернет, это не получится. По очень простой причине: в этом случае на стороне жертвы легко определить, что подавляющее большинство запросов поступает из одного источника, и игнорировать их, нормально обрабатывая все остальные. Отсюда — вторая буковка D в наименовании типа атаки — «распределенная». Это означает, что запросы направляются на сервер не из одного источника, а сразу из многих мест в случайном порядке. И обнаружить какую-либо закономерность в этом процессе оказывается невозможно.

Но для распределенной атаки нужно где-то взять эти источники — в хорошо организованных DDoS-атаках счет идет на сотни тысяч согласованно работающих компьютеров, посылающих десятки тысяч запросов в секунду. Разумеется, нанять такое число работников нереально, да это и не требуется. Достаточно использовать механизм скрытого внедрения на компьютеры ничего не подозревающих пользователей по всему миру программ-троянов, которые затем сработают по сигналу в нужный момент времени.

Создание таких скрытых сетей компьютеров-«зомби» — ботнетов — самый трудоемкий и дорогой этап в организации DDoS-атак. Причем чем мощнее серверы жертвы, тем дороже подготовка: ясно, что серверы поисковой системы Яндекс, к примеру, и без того рассчитаны на тысячи запросов в секунду, и атакой обычного масштаба их не возьмешь.

И создание таких сетей давно стало услугой — ботнеты создаются профессионалами-хакерами превентивно, и затем за определенную плату сдаются заказчику в аренду. Заказчиком же может выступить любой, кто хочет наказать жертву по тем или иным причинам — политическим или коммерческим. Довольно распространенная причина DDoS-атак — классический рэкет, когда берется небольшой интернет-магазин или фирма, атакуется разок, а затем ей предлагается оплатить гарантию того, что это не повторится. И нередко бывает так, что выплатить отступные дешевле, чем оплачивать услуги дорогих специалистов по безопасности. Судя по всему, именно это послужило причиной неработоспособности сайтов сразу нескольких российских туроператоров в середине 2009 года (хотя не исключены и банальные «происки конкурентов»).

Ботнет может содержать и сотни тысяч, и даже миллионы «зомбированных» компьютеров, но следует учесть, что чем больше масштаб такой сети, тем сложнее с ней управляться и тем она заметнее. За сетями больших масштабов будет идти постоянная охота, и не только со стороны правоохранительных органов, но и со стороны коллег по криминальному бизнесу, которым всегда захочется «угнать» ботнет — перехватить управление и использовать такую сеть в своих интересах.

«Лаборатория Касперского» на одном из своих сайтов (securelist.com) приводит такие данные о стоимости услуг подобных сетей: «Цены на атаки колеблются от $50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. Разброс цен понятен и обоснован. С задачей на один день остановить продажи в скромном, незащищенном интернет-магазине конкурента справится и относительно небольшой ботнет (компьютеров так в 1000), что обойдется нарушителю закона в относительно небольшую сумму. Совсем другая цена вопроса, если конкурент — это крупная международная компания с защищенным сайтом, на успешную DDoS-атаку которого требуются силы куда большего числа зомби-машин».