Недавно по жалобе участника открытого аукциона, не сумевшего вовремя зарегистрироваться из-за атаки на сайт электронной площадки, ФАС России выдала ее оператору предписание назначить новую дату торгов. В действиях последнего антимонопольщики увидели признаки нарушения 94-ФЗ.
Разорительный «флуд»
Это уже шестой подобный случай в нынешнем году, который говорит о возникшей тенденции считать DDоS-атаки исключительно следствием недосмотра операторов. Но справедливо ли такое мнение? В конце января на федеральном сайте госзакупок была опубликована серия из более 40 открытых аукционов, объявленных Дирекцией по эксплуатации, движению и учету основных фондов московского Департамента образования. Все они были связаны с капитальным ремонтом образовательных учреждений города. Работы были запланированы на нынешний год, начальная стоимость контрактов колебалась в пределах 10–12 млн руб., хотя в некоторых случаях достигала 18–19 млн. В документации также не содержалось ничего экстраординарного. Эти аукционы мало отличались бы от тех, которые проводились раньше, если бы не одно печальное обстоятельство: во время подачи заявок на участие в торгах был атакован сайт ОАО «Единая электронная торговая площадка». Как говорят компьютерщики, хакеры «зафлудили» сервер площадки. Здесь нужно внести ясность для людей, поверхностно знакомых с IT-жаргоном: действия злоумышленников не имели ничего общего с тем флудом, к которому мы привыкли на интернет-форумах, то есть с бесцельным и бессмысленным словоизвержением. В данном случае извержение было совершенно иного рода: на атакуемый ресурс направлялось огромное количество запросов на соединение по интернет-протоколу UDP, который не используется для связи пользователей с сайтом госзакупок, но зато обладает очень ценным для хакеров свойством – приоритетностью. Интернет-провайдеры доставляют UDP-пакеты в первую очередь, в то время как TCP, по которому обычно и осуществляется выход на сайты и порталы, отходит на второй план. Используя эту особенность, можно полностью забить канал связи запросами по UDP и сделать недоступным ресурс, работающий по TCP-протоколу. Правда, чтобы таким образом вывести из строя портал госзакупок, нужно иметь очень много компьютеров и слаженную команду работающих за ними хакеров. Это далеко не дешевая акция, но, видимо, овчинка стоит выделки. Первый заместитель генерального директора ОАО «Единая электронная торговая площадка» Андрей Черногоров утверждает, что каждая подобная атака приводит к переносу 300–400 аукционов. В итоге более сотни государственных заказчиков не могут вовремя получить необходимые товары или услуги. По его словам, этим приемом чаще всего пользуются коммерческие структуры, чтобы взять верх в конкурентной борьбе или получить деньги с помощью шантажа. Появился он сравнительно недавно, придя на смену традиционному приему – резкому понижению цены и последующему отказу от обязательств, в результате чего аукцион приходилось назначать снова. Разумеется, заказывающие DDоS-атаки компании наносят ущерб не только конкурирующим фирмам, но и государству. Однако такой «побочный эффект» мало беспокоит шантажистов.
Утренняя атака
Аукционы по упомянутым выше извещениям проходили в начале мая. В один из этих дней в 8:30 началась DDоS-атака, и все торги остановились, потому что потенциальные участники лишились возможности подавать заявки. Через три часа атака закончилась, связь с сайтом площадки возобновилась, и оператор разместил на своем сайте сообщение, что произошел технический сбой по не зависящим от него причинам. В числе предприятий- «неудачников» оказалось ООО «СианСтрой». Фирма так и не смогла зарегистрироваться в качестве участника одного из аукционов вышеупомянутой серии и обратилась в Федеральную антимонопольную службу России с жалобой по поводу нарушения оператором площадки Закона о размещении заказов.
По мнению руководства компании, DDоS-атака произошла из-за того, что защитные средства, которые использовались ОАО «Единая электронная торговая площадка» во время торгов, были недостаточно надежными. ООО «СианСтрой» попросило антимонопольщиков вынести предписание о переносе аукционов на другое время, обосновав это тем, что площадка по собственной инициативе перенести торги не может: если жалоб нет, то конкурсы считаются состоявшимися. Рассмотрев жалобу, ФАС России установила, что сайт ОАО «Единая электронная торговая площадка» подвергся DDоS-атаке, из-за чего ООО «СианСтрой» не смогло подать предложение о цене контракта. На основании этого ФАС выдала оператору электронной площадки предписание о назначении новой даты аукциона. Кроме того, антимонопольщики заключили, что оператор нарушил Закон о размещении заказов в ч. 23 ст. 41.10. Ответственность за совершение этого административного правонарушения предусмотрена ч. 10 ст. 7.30 КоАП РФ, штраф для юридических лиц достигает 300 тыс. руб. Казалось бы, в чем виновато ОАО «Единая электронная торговая площадка»? Ведь оно само оказалось в роли жертвы. Однако принципиальная позиция ФАС России состоит в том, что оператор должен нести ответственность за удавшиеся атаки на сайт площадки. Еще в январе нынешнего года был создан прецедент: за сбой из-за DDоS-атаки был наказан оператор одной из электронных торговых площадок. Предприятие признали нарушившим ст. 41.10 Закона о госзакупках, возбудили административное дело. Начальник управления ФАС России по контролю за размещением государственного заказа Михаил Евраев, комментируя этот факт, заметил, что штрафы за срывы работы площадок из-за DDоS-атак играют стимулирующую роль. Они, мол, подталкивают операторов к постоянному совершенствованию аппаратного и программного обеспечения: те хоть и жалуются на санкции, уверяя, что сбои происходят не по их вине, но оборудование и софт обновляют. К тому же, по мнению антимонопольщиков, штрафы сравнительно невелики. Что же касается более серьезного наказания – лишения права проводить торги, то оно по отношению к площадкам не применяется, иначе они все уже не работали бы. Оправдывая практику повального применения «стимулирующих» штрафов, Михаил Евраев утверждает, что бороться с DDоS-атаками, проводящимися с территории России, сравнительно легко. Совершенно непонятно, почему он недооценивает русских хакеров, которые в компьютерном сообществе считаются одними из лучших в мире.
По методу палочки Коха
С хакерскими атаками бороться крайне сложно. Взлом сайтов давно перестал быть уделом любителей: хакеров используют в своих целях и организованные структуры преступного мира, и террористические сети, и спецслужбы. При этом они стараются выбирать людей незаурядных и не скупятся, оплачивая их труд. Особенно это касается метода под названием Distributed Denial of Service (DDoS). При нем отказ вычислительной системы организации-жертвы достигается с помощью одновременной атаки с нескольких (а порой и нескольких десятков) компьютеров, что по умолчанию предполагает наличие хорошо слаженной команды хакеров. Группе взломщиков-любителей осуществить нечто подобное редко бывает под силу: нужны защищенные от прослушивания средства связи, дисциплина, координация действий и, наконец, приличные деньги. Чаще всего DDoS-атаки используются для шантажа компании-жертвы. Последняя предпочитает откупиться, потому что простои сервера больно бьют по карману. Что может противопоставить такой атаке оператор торговой площадки? Системного администратора и стандартный набор антихакерского программного обеспечения?
Но адекватный ли это ответ на угрозу хорошо спланированного и скоординированного взлома? Не секрет, что генералы обычно готовятся к прошедшей войне, полицейские борются с преступниками вчерашнего дня, создатели антивирусов вносят в базы информацию об уже наличествующих вирусах, а разработчики антихакерского софта противостоят существующим методам взлома. В итоге криминальный мир технологически всегда опережает тех, кто с ним борется. Он более гибок, динамичен и инновационен. Иногда коварство их методов поражает. В природе существуют паразиты, использующие защитные системы хозяина в своих целях. Например, всем известная палочка Коха, по мнению микробиологов, меняет поведение иммунных клеток – макрофагов. Обычно они самоуничтожаются вместе с внедрившимися в них внутриклеточными микроорганизмами. Такое запрограммированное самоубийство делает невозможным распространение инфекции. Однако микобактерии туберкулеза способны остановить этот процесс и запустить вместо него другой – творожистый некроз. В результате они остаются живы и развиваются дальше, а в атакованном органе образуются каверны. Хакеры порой действуют схожим образом, намеренно добиваясь срабатывания хорошо настроенных защитных систем. Последние в случае DDoS-атаки делают интернет-портал или сайт полностью недоступным, чтобы предотвратить еще более вредоносные действия, скажем, взятие под контроль сервера. Но это-то как раз и нужно злоумышленникам, поскольку таким способом достигается неработоспособность сайта или портала! Можно сказать, его некроз. Надо ли добавлять, что бороться с подобными «атаками второго рода» бывает весьма затруднительно? Наконец, существует и экономическая сторона вопроса. Чем совершеннее защитные системы, тем выше их цена. Некоторые из них настолько дороги, что их приобретение теряет смысл. По словам первого заместителя генерального директора ОАО «Единая электронная торговая площадка» Андрея Черногорова, на системы безопасности этот оператор расходует несколько миллионов долларов в год. Постоянно приходится обновлять оборудование для фильтрации трафика, около 70% которого составляет спам и прочий «мусор». Однако распознать и отфильтровать его – это не самая сложная задача. Гораздо труднее отбить атаку, причем именно с территории России. Запросы, идущие из-за границы, можно полностью отсечь, благо подавать заявки на участие в тендерах можно исключительно с IP-адресов Рунета. А вот фильтруя русский трафик, можно случайно не дать зарегистрироваться фирме, действительно желающей участвовать в торгах. А это – скандал, который неизбежно приведет к вмешательству ФАС и судебному иску. И, кстати, такие случаи способны нанести гораздо больший удар по репутации площадки, чем DDoS-атаки, поскольку вызывают подозрения в коррупционном сговоре с другими участниками тендера. Вот и получается, что порой оператору площадки проще и дешевле заплатить штраф за нарушение ч. 23 ст. 41.10 Закона о госзакупках, вызванное DDoS-атакой, благо он не очень велик – 50 тыс. руб. для должностных лиц и 300 тыс. – для юридических, согласно Кодексу об административных правонарушениях. Не такие уж и сумасшедшие деньги по сравнению со стоимостью защиты от «мусорного трафика», не говоря уже об обороне от разнообразных типов DDoS-атак!
Ответный ход оператора
Единственное, что в такой обстановке осталось делать ОАО «Единая торговая электронная площадка», – обратиться в полицию, что это предприятие и сделало. В его заявлении содержались жалобы на DDoS-атаки, расследовать которые – прямая обязанность правоохранительных органов. По трем из шести фактов Следственное управление ЮЗАО Москвы возбудило уголовное дело. Будут ли найдены хакеры и заказчики атак, покажет время…
Текст: Андрей Хворостов
Назад в раздел
