Интервью с Сергеем Горшковым - 1500 баксов за атаку на Компромат.ру
Дата: 10.06.2006Источник: Kompromat
Сайт Компромат.ру недавно подвергся жесткой хакерской атаке и не работал несколько дней. Sreda.org решила выяснить – кто же организовал атаку у владельца сайта Компромат.ру Сергея Горшкова.
— Сергей, несколько дней твой сайт «Компромат.ру» не работал. Что произошло?
— На сайт произошла Ddos-атака. Смысл заключается в том, что вирус через интернет заражает десятки тысяч компьютеров, а затем посылает с них запросы на сайт, одновременно. Сайт не справляется с огромным трафиком и падает. А тем временем, владельцы этих компьютеров в большинстве своем ни о чем не догадываются. Заражение, как правило, происходит по электронной почте или с помощью роботов, которые сканируют интернет в поиске уязвимых компьютеров.
В последнее время это стало частым явлением в бизнесе. Чтобы провести такую атаку, надо нанять бригаду хакеров, у которых есть пулы из зараженных компьютеров. На некоторых специализированных сайтах, например, на hostinfo.ru, пишут, что стоимость такой атаки от 150 баксов в день. Мне называли цифры 1500 баксов за атаку.
Можно обойтись и без бригады хакеров. Для этого нужно купить базу данных «зомби» (компьютеров, зараженные троянской программой, которая позволяет управлять ими извне). Купить ее сложнее, чем базу МТС, но вполне реально. Стоит такая база «зомби» от нескольких тысяч долларов до нескольких десятков тысяч, в зависимости от размера. Дальше с этих «зомби» и посылаются запросы. С каждого понемногу, чтобы владельцы компьютеров ничего не заметили, иначе «зомби» вылечат. Кстати, именно поэтому, базы постоянно обновляются. Однако, при желании ddos-атаку можно сделать вечной, вопрос только в том — сколько за это готовы платить.
Фактически получается, что появился новый вид криминального IT-бизнеса, который по структуре похож на деятельность «кардеров» («кардер» – «специалист» по получению денег с чужих кредитных карточек). Организаторы DDos-атак – «клиенты» №1 первой оперативно-розыскной части ГУВД Москвы.
— А чем занимается эта оперативно-розыскная часть?
— Борьбой с преступлениями в сфере высоких технологий (бывшее управление «Р»). Я время от времени хожу туда на допросы. Но основные их «клиенты» — «кардеры» и педофилы. По этим составам часть криминальной деятельности ведется в оффлайне. У «кардеров» есть операции по обналичиванию, на которых они и попадаются. Про педофильские сайты тоже понятно. Такие дела легче довести до приговора по сравнению с чисто виртуальными преступлениями. Однако, людей, причастных к организации Ddos-атак, также можно поймать на покупке или продаже баз «зомби».
— Что-то подобное случалось раньше?
— Обычно провайдер «Zenon» решал проблему в течение нескольких часов. Но такой серьезной атаке мой сайт подвергся первый раз. Первая атака была с вечера 22-го до полудня 24-го мая. Затем, сайт проработал меньше недели, и пошла новая атака, еще более мощная — с 31 мая по 6 июня. У провайдера даже упал международный канал. Для России — это новый тип Ddos-атак. Службы поддержки «Zenon» оказались к ним не готовы. И просто поставили заглушку на мой IP адрес, сказав, что «пока идет ddos-атака, мы бессильны»… Представители других провайдеров, с которыми я вел переговоры, как только понимали серьёзность проблемы, тут же сваливали.
— И, тем не менее, сайт заработал. Где ты размещаешь сайт сейчас?
— Сейчас я везде. Чтобы меня «положить» надо «класть» весь Рунет. Я размножился по сети методом клонирования. Наоткрывал кучу «зеркал» у пяти провайдеров с независимыми каналами. В число провайдеров вошли «Zenon», «Masterhost», «Hoster», «Eserver» и «Valuehost», но на последнем сайт еще не запущен. У меня сейчас везде виртуальный хостинг — это когда на одном сервере живут много клиентов и если атакуют одного, то страдают все. Хакеры еще пытались изменить способ атаки, но у них оказалась кишка тонка.
— Как думаешь, кто это мог заказать атаку на «Компромат.ру»?
— Подозреваемых слишком много.
— Тебе кто-нибудь угрожал закрыть «Компромат.ру»?
— Да. В основном были лишь намеки, но в одном случае представитель важной фигуры сообщил мне, что его босс заказал хакерам валить мой сайт, дескать, «знай, откуда ноги растут». Мне предлагали убрать статью про заказчика, но я не стал этого делать.
— Какого числа были озвучены угрозы?
— Под Новый год, вскоре после публикации. По срокам как раз все говорит о том, что именно этот человек мог организовать последние атаки на сайт. Но я сомневаюсь, что это он, поскольку серьезные люди не угрожают, если угроза не может ничего изменить. Достаточно других фигурантов, которые попали в число подозреваемых как раз сейчас.
— Можешь о них рассказать?
- У меня есть четыре подозреваемых из числа тех, о ком недавно были опубликованы материалы. Я думаю, что заказчик один из них.
— А какой смысл «мочить» сайт, не называя себя?
- Один из мотивов – простая человеческая месть. Обладателям многомиллионных состояний ничто человеческое не чуждо. Кроме того, сейчас идет контр-пиар кампания в прессе, заключающаяся в том, что в подавляющем большинстве СМИ проплачена блокировка от негативных публикаций. Важно еще, что «Компромат.ру» – единственный крупный сайт, который не снимает материалы. Даже РИА «Новости» снимает (например, снятие «отзыва-комментария» «Пошла ты на фиг» на отставку генпрокурора Устинова). А «Коммерсанту» и «Ведомостям» и снимать ничего не надо – у них платный архив публикаций…
— Ты говоришь четырех подозреваемых, а туда входит производитель водки «Хортица»? Кто-то написал в ЖЖ, что заказчик — «Хортица».
— Предыдущая жертва атаки, которую «валили» схожим образом, – сайт «Новый регион». Редакция «Нового региона» предполагает, что этот ресурс атаковала именно «Хортица», и меня тоже якобы именно она атакует. Это их мнение. Я могу лишь сказать, что эта версия имеет право на существование.