Хакерство в туризме: нападение и защита
Летний сезон в отрасли проходит под аккомпанемент хакерских атак. О рядовых умолчим, вот два самых серьезных случая. С 9 мая в течение месяца держалась повышенная нагрузка на ресурсы TEZ Tour, «Капитал Тур», «Невы», «Пегас Туристик», «ИнтАэра» и других московских туроператоров. Отбились с трудом, но без критичных последствий.
Новая DDoS-атака, по мощности превосходящая майскую, обрушилась в июне на «Неву», прицельно. Вместе с одним из сайтов компании – оцените размах – были на какое-то время практически блокированы 20-гигабитные интернет-каналы МГУ, в технологическую лабораторию которого туроператор обращался за помощью.
Мнение экспертов: заказчик один и тот же, он готов к расходам и планирует новые акции. Мотивы могут быть разные, но основная версия антихакеров состоит в том, что это конкуренция. Похоже на игру в мафию, только на большие деньги: уже сейчас турфирмы теряют десятки и сотни тысяч долларов, причем ставки быстро растут.
Люди работают в одной сфере, встречаются на тусовках, жмут друг другу руки, говорят тосты. А кто-то из них тем временем…
Кстати. Может быть, это вы?
Проникновение
Хакерская агрессия обычно выражается в двух формах: несанкционированное проникновение в электронную систему фирмы и DDoS-атака, парализующая сайт.
Начнем с проникновения. Если цель – нажива, то хакер обычно пытается украсть, уничтожить информацию или использовать чужой ресурс, чтобы пустить через него свой трафик.
О том, как это происходит, лучше многих знает Александр Галиновский, гендиректор компании «Мегатек-Сервис», на чьем программном обеспечении работает тысяча турфирм в России и СНГ. «Воровать чаще всего пытаются дилерские и клиентские базы данных, – рассказывает г-н Галиновский. – Что касается использования ресурса, вот конкретный пример из жизни. Один наш клиент взял в IT-отдел нового человека, студента. Через полгода тот уволился, а позже выяснилось, что он оставил для себя дыры в системе и уже после ухода качал большие объемы информации через серверы компании».
Еще один случай из этой серии. Пользователь «Мегатека» вдруг обнаружил подозрительный рост счетов за IP-телефонию; когда стали разбираться, вышли на его же собственного сотрудника. Он поставил в call-центр настройки, позволяющие за счет фирмы звонить за границу с любого стороннего телефона, и предложил этот «сервис» широкому кругу пользователей.
Что-то похожее было в практике компании «Ланта-тур вояж», только злоумышленником оказался не свой, а человек из партнерской организации. «Она оказывала нам сервис по IP-телефонии, – говорит вице-президент «Ланты» по технологиям Константин Пучков. – Мы почувствовали активность хакера опять же по растущим расходам на Интернет».
Это шантаж?
По неофициальной информации, авторы массового интернет-вторжения, состоявшегося в мае, требовали с отдельных туроператоров деньги за прекращение атаки. Никто из участников рынка, правда, не признается, что получал такие предложения, но вообще хакеры часто нападают с целью шантажа.
Вот одна из распространенных схем. DDoS-атака завершена, заказчик удовлетворен результатами, расплатился с исполнителем, а тот вскоре по собственной инициативе начинает повторно бомбить все тот же сайт и предлагает его владельцам заплатить, чтобы все, наконец, кончилось. Если они соглашаются, то хакеру удается на одной и той же операции нажиться дважды.
Следует ли вступать в переговоры с шантажистами и принимать их условия? Нет, это тупик, уверен Александр
Галиновский. Правильнее тратить деньги на защиту.
Конкуренты, хулиганы, мстители
Если злоумышленник не стремится к прямой выгоде, то его цель – навредить: осложнить или приостановить работу компании. Против вас может действовать конкурент, обиженный сотрудник, недовольный клиент или же наемный хакер по заказу кого-то из этих недоброжелателей. Бывает, однако, что нападающий ничего не имеет против объекта атаки. Тестирует на нем свою очередную хакерскую разработку, а то и просто развлекается, хулиганит (народ в Интернете живет разный).
Туроператору далеко не всегда удается выяснить мотивы вредителя, а уж тем более найти и наказать его самого. Рассказывает Евгений Багро, руководитель направления «Интернет-проекты» компании PAC Group: «Два года назад мы подверглись крупной хакерской атаке. Кто-то почистил все базы данных – именно стер, а не украл информацию. Она у нас полностью копируется в архивах (bacup), так что бизнес-процессы продолжились в штатном режиме, но для этого сотрудникам IT-отдела пришлось попотеть. Кто и зачем организовал эту акцию, сих пор неизвестно».
На примере PAC Group мы убеждаемся в том, как важно уделять должное внимание защите информации. Александр Галиновский напоминает об элементарных правилах: «Ежедневно копируйте все данные своей системы и храните архивы. Два раза в месяц меняйте все пароли. Так вы достаточно надежно оградите себя от посторонних хакеров при условии, если в компании грамотно выстроена внутренняя и внешняя архитектура сети. В таком случае несанкционированное проникновение будет возможно только при участии ваших собственных сотрудников или людей из партнерских организаций. А вот от этого уже защититься значительно сложнее. Что тут можно посоветовать?.. Смотрите, кого принимаете в IT-отдел: вникайте в послужные списки, собирайте и анализируйте отзывы бывших работодателей. Постоянно контролируйте всех тех людей, своих и сторонних, кто имеет достаточно высокий уровень доступа к системе». Действительно, ведь IT-специалист – он как врач. Знает столько, что всегда представляет потенциальную опасность.
Ломом – по сайту
Теперь о самой серьезной интернет-угрозе для современной туротрасли – о DDoS-атаке. «Все туроператоры, с кем я общаюсь, подвергаются таким нападениям», – говорит гендиректор TEZ Tour Владимир Каганер.
Вот в чем особенность данного вида хакерской агрессии: «мафиози» действует руками «обывателей» – мирных интернет-жителей, которые ни о чем не подозревают. Теорию DDoS-атаки кратко разъясняет Михаил Рогов, генеральный директор «Креатив Групп»: «Создается так называемая бот-сеть: посредством специальной вирусной программы заражаются компьютеры большого числа пользователей в нужных зонах Паутины. То есть заказчик может находиться в России, исполнитель – где-нибудь в Германии, а пользователи-марионетки – в любых других странах мира. И когда хакер из любой точки доступа, хоть из интернет-кафе, дает по бот-сети специальную команду, все завирусованные компьютеры одновременно посылают запросы на сайт жертвы. Количество обращений превышает возможности ресурса, и он зависает. Это продолжается до тех пор, пока хакер не дает отбой». Вполне вероятно, что именно в данный момент, когда вы читаете «ГЛ», ваш компьютер вместе с ордой себе подобных душит какого-нибудь предпринимателя в ЮВА или на Карибах. А вы никогда об этом не узнаете.
Любой желающий может на какое-то время взять «в аренду» готовую бот-сеть – их активно рекламируют в Интернете. «Мне самому предлагали любую систему завалить за 4000 рублей в день», – говорит Виктор Кузьмин, руководитель туристической поисковой системы ruSPO. «Заказ рядовой DDoS-атаки вполне потянет обычный менеджер, желающий навредить бывшему работодателю, – полагает Константин Пучков. – Но если речь идет о крупной компании, где хорошо поставлена IT-защита, то дешевая акция обернется для нее лишь некоторым дискомфортом, серьезных последствий не будет».
Поэтому злоумышленник, настроенный серьезно, не пользуется стандартными решениями, заказывает специальные программы под себя. И осуществляет операцию сложную, интеллектуальную, разрушительную, способную буквально парализовать чей-то бизнес.
Первая массированная DDoS-атака в туризме, зафиксированая в прошлом году, была направлена против «Пегас Туристик». Вспоминает генеральный директор компании Анна Подгорная: «Это началось на стыке сезонов – 5 октября, когда завершались летние чартерные программы и запускались зимние. То есть момент был достаточно напряженный, даже при сравнительно небольшом турпотоке.
Сначала упал Интернет, мы не могли понять причину, связались с провайдером, тот сообщил, что сгорело какое-то железо, ведутся работы. Потом выяснилось: к сайтам «Пегаса» идет колоссальное количество обращений, IP-адреса в основном российские и из ближнего зарубежья. У провайдера зависли сначала основные каналы, потом резервные, он отключил нас от Сети, чтобы не пострадали другие клиенты. Они и так уже какое-то время сидели без Интернета.
Заказчика не нашли, но я склоняюсь к тому, что это один из конкурентов. По оценкам экспертов, акция стоила от 70 до 100 тыс. долларов, на такие расходы без серьезной мотивации никто не пойдет.
На то, чтобы ликвидировать последствия DDoS-атаки и построить новую систему защиты, ушло десять дней. Онлайн-продажи стояли, был фактически обездвижен и московский офис компании, и все 30 региональных; отсутствовала нормальная связь с зарубежными принимающими структурами. Мы работали на 30% от своей нормальной мощности. Я оцениваю ущерб примерно в $10 млн. Плюс к тому – расходы на защиту: новые серверы, специальные программные решения. Сколько все это стоило? Цифру не назову. Просто скажу, что для среднестатистического российского туроператора она сопоставима с прибылью за полгода.
Конечно, на этом не кончится, в какой-то момент потребуются новые вложения. Однако сейчас мы защищены. Майские DDoS-атаки 2010 года, из-за которых возникали проблемы у многих туроператоров, прошли для нас почти незаметно. Я лишь несколько раз слышала от провайдера, что были всплески обращений к сайту».
Та же ситуация в «Санрайз Тур». По словам Дмитрия Мазурова, гендиректора компании, в прошлом году она подверглась сильной DDoS-атаке с IP-адресов из Китая, в результате на несколько дней отключилась онлайн-система. Состоялся масштабный апгрейд защиты, и массовые хакерские акции в 2010 году не создали «Санрайзу» особых проблем, хотя была зафиксирована подозрительно высокая частота запросов».
О майском коллапсе рассказывает технический директор «Капитал Тур» Дмитрий Косов. «Это была однообразная атака на сайты целого ряда турфирм с IP-адресов Германии, Белоруссии, Украины – именно в такой последовательности по количеству обращений. Организатор действовал профессионально и творчески: каждый час проводил мониторинг атакуемых ресурсов и менял тактику в зависимости от того, какими способами защищались туроператоры. Все предшествующие акции были отражены собственными ресурсами «Капитал Тур», а в мае мы привлекли сторонних специалистов, в итоге удалось справиться с ситуацией без последствий – пользователи ничего подозрительного не заметили.
Что было сделано: установили самую современную ADS – систему, позволяющую достаточно эффективно отфильтровывать хороший трафик от вредоносного, увеличили количество серверов, то есть общую пропускную способность своих ресурсов. Планируем и другие меры. Например, создание отдельного интернет-ресурса, доступного только нашим официальным дистрибьюторам. Это повысит уровень защиты основных каналов сбыта на случай новых DDoS-атак».
«Нева» одновременно с «Капиталом» противостояла массовой хакерской акции в мае, но для нее история получила продолжение. Прицельное нападение, совершенное на эту компанию в июне, специалисты назвали атакой года. По мощности (порядка 12 гигабит нелегитимного трафика) она превосходила тот шквальный штурм сайтов, от которого накануне турфирмы отбивались всем миром. «Еще тогда, весной, мы начали сотрудничество с одной из структур МГУ под названием Highload Lab. («Лаборатория высоконагруженных проектов»), в чью сферу деятельности входит противостояние интернет-угрозам, – говорит финансовый и IT-директор «Невы» Олег Дмитриев. – В момент первой атаки эта организация помогла быстро решить проблему. Когда началась «вторая серия», она взяла на себя возникший сверхтрафик, что привело к перегрузке каналов университета, а их пропускная способность выше, чем у многих крупных российских провайдеров.
Какова была стоимость этой варварской акции для заказчика? Я думаю, порядка $30 тыс. Мы в результате этих событий, конечно, понесли определенные потери, но остановки деятельности компании не произошло, так как сохранили работоспособность наши остальные интернет-ресурсы и информационные системы. Я не хочу здесь подробно рассказывать о том, что именно было сделано: незачем давать лишнюю информацию хакерам. Но это была большая комплексная работа – от административных мер до изменения архитектуры ресурсов «Невы».
Обойти запрет. О психологии хакерства
Что они за люди – профессиональные хакеры? Почему выбирают такую работу? Вот мнения IT-специалистов туристического бизнеса.
«По-моему, это программисты, которым хочется получать деньги, ничего особо не делая», – полагает Константин Пучков.
«Скорее это программисты-уродцы, не способные созидать, они испытывают потребность разрушать, – говорит Александр Галиновский. – В норме человек, наоборот, стремится что-то построить, и наша профессия дает для этого много возможностей. Она очень творческая на самом деле».
Продолжает тему Михаил Рогов: «Я думаю, в хакерах от природы сильна любознательность. Изначально ими движет то же чувство, с которым ребенок ломает игрушку, чтобы узнать, как она устроена и получится ли потом «собрать ее обратно». Ну и есть, конечно, желание обойти запрет, сделать что-нибудь такое, что раньше никому не удавалось. Я сам в студенческие годы увлекался… Интернет еще был развит слабо, мы занимались взломом защиты лицензионных программ. Из спортивного интереса, не на продажу».
Точка невозврата
В разговоре о хакерстве постоянно всплывает тема денег. Все эксперты подчеркивают: расходы агрессора на порядки меньше наносимого им финансового ущерба в совокупности со стоимостью дальнейших мер по защите информации. А если в какой-то момент сопротивление утратит коммерческий смысл? Может ли противодействие хакерам стать настолько дорогостоящим, что нивелирует все преимущества от высоких технологий онлайн-бронирования?
Туроператоры предпочитают это не обсуждать. «Даже если такая вероятность присутствует, что с того? – говорит Анна Подгорная. – Все крупные туроператоры уже в Интернете, и обратной дороги нет. Мы не можем вернуться в 90-е годы, к бумажным заявкам. Остается выстраивать эффективные системы защиты».
Только вот в чем дело. Существуют «противоядия» от большинства видов хакерства, связанных с несанкционированным проникновением в систему, но не от DDoS-атаки.
«Предотвратить ее нереально, – говорит Михаил Рогов. – А последствия зависят от того, на какие расходы готов организатор, чтобы навредить объекту».
«Можно без последствий для бизнеса отразить нападение средней силы, если же случай экстраординарный, то… в итоге вы справитесь, но бизнес-процессы пострадают», – делится своим мнением Александр Корбарум, президент компании «ИнтАэр», которую эта проблема тоже не обошла стороной.
«Многие провайдеры предоставляют сервис защиты от DDoS-атак, и за вполне умеренные деньги, но высокой гарантии по сохранению работоспособности ресурса такие решения не дают, – подтверждает Олег Дмитриев. – Например, когда наступил критический момент для «Невы», эти провайдеры, оценив уровень атаки, помочь не взялись».
В любом случае никто из туроператоров перед хакерами не пасует. Все настроены «бороться и искать, найти и не сдаваться». О перспективах этой борьбы с привлечением правоохранительных органов читайте на следующих страницах «ГЛ».
Не хакер. Поисковик
Часто бывает так. Оператор регистрирует подозрительно высокую нагрузку на свой сайт, ресурс даже зависает, IT-специалисты прорабатывают версию хакерства. А оказывается, что это фирме удружила какая-то из туристических поисковых систем.
Вот, например, случай из практики Юрия Хохлова, независимого IT-специалиста, оказывающего турфирмам услуги по технической поддержке. «Одна из компаний сообщила о предполагаемой DDoS-атаке: упал сайт. Начали разбираться в ситуации, и нашли студентов, которые тестировали на моем клиенте софт, ими же написанный по заказу одного из поисковиков. Оторвали им головы, они все поняли, извинились. Обычное дело».
Сравнительно недавно у многих турфирм начали возникать проблемы с поисковой системой ruSPO. Она внедрила новую технологию обработки клиентских и агентских заявок, которая подразумевает одновременный забор большого количества данных с ресурсов ТО. «Регулярно подвешивает их сайты», – делится наблюдениями Александр Галиновский.
Виктор Кузьмин, координатор проекта ruSPO, отвергает такие обвинения: «Если кто-то и висит, то не из-за нас. Мы разбирались, и можем предоставить отчеты, подтверждающие, что наша система в среднем дает не более 7% от общей нагрузки на ресурсы туроператоров».
Так или иначе, участники рынка заинтересованы в ruSPO – это эффективный поисковик, делает хорошие продажи. «У нас 6000 активных турагентств в системе, – говорит г-н Кузьмин. – Около 50 тыс. запросов в день, результативных заявок от 100 до 300».
Поэтому конфликта нет: все ищут взаимоприемлемые варианты сотрудничества.