Эксперты расходятся в трактовке причин перебоев в работе LiveJournal
Эксперты по информационной безопасности, опрошенные РИА Новости, расходятся в трактовке причин периодической недоступности для пользователей популярного блогхостинга LiveJournal, наблюдаемой в течение последних полутора недель.
Представители «Живого журнала» (ЖЖ) объясняют проблемы с доступом непрекращающимися DDoS-атаками (кибератака типа «отказ в обслуживании», осуществляемая на сайт с помощью ботнета — сети зараженных компьютеров), с которыми время от времени не удается справиться. Как ранее рассказал РИА Новости руководитель LiveJournal в России Илья Дронов, нынешняя волна атак стала самой мощной в истории сервиса.
В минувшее воскресенье — день выборов в Государственную думу РФ — руководство ЖЖ заявило, что сервис вновь подвергся интенсивной атаке, временно выведшей его из строя одновременно с сайтами ряда российских СМИ. Перебои не прекратились и после выборов: многим пользователям ресурса, ставшего одной из основных онлайновых площадок для обсуждения перипетий политической борьбы, регулярно приходится подолгу загружать страницы блогов.
Во вторник представители LiveJournal сообщили, что проблемы с доступом к сервису испытывают в основном пользователи из России, тогда как за пределами страны сервис работает нормально. «Трафик обрывается где-то посередине, в Европе. Мы разбираемся в чем дело», — сказал РИА Новости Илья Дронов.
Были ли атаки?
Комментируя ситуацию в своем ЖЖ-блоге, глава антивирусной компании «Лаборатория Касперского» Евгений Касперский подверг наличие DDoS-атак на Livejournal сомнению. По его словам, у специалистов «Лаборатории Касперского» нет оснований считать, что в «выборную неделю» на LiveJournal велись какие-либо DDoS-атаки (исключение составила кратковременная атака на блог golos-org.livejournal.com, отмеченная 4 декабря примерно с 12.00 мск до 12.30 мск).
Не зафиксировали в предвыборные дни DDoS-атак на ЖЖ и специалисты компании Group IB, занимающейся расследованием киберпреступлений. Их средства мониторинга отметили лишь увеличение трафика в воскресенье, но однозначно связать его с атакой эксперты не готовы.
В то же время, по данным партнеров Group IB из Нидерландов и Германии, на ЖЖ ведется кибератака менее распространенного типа, осуществляемая с помощью выделенных серверов, рассказал РИА Новости генеральный директор Group IB Илья Сачков.
По его словам, атака с помощью выделенных серверов требует тщательной предварительной подготовки и ей сложнее противостоять. При организации подобной атаки хакер арендует несколько выделенных серверов (dedicated server) и устанавливает на них вредоносное ПО, бомбардирующее цель большим числом ложных запросов. Стандартные средства мониторинга DDoS-атак с помощью «компьютеров-приманок» (подставных участников бот-сетей) не способны обнаружить подобное кибернападение, говорит Сачков. Group IB, например, использует систему из 25 тысяч компьютеров, разбросанных по всему миру, однако она не зафиксировала атак против LiveJournal.
Похожая система мониторинга хакерской активности применяется и в «Лаборатории Касперского». Как рассказал РИА Новости старший вирусный аналитик «Лаборатории Касперского» Юрий Наместников, компания отслеживает поведение в среднем более чем 4,5 тысячи уникальных ботов, почти каждый из которых принадлежит разным ботнетам (наиболее крупным и опасным, по оценке компании). Эта система также не сумела обнаружить DDoS-атаки против LiveJournal. При этом в «Лаборатории Касперского» не смогли уточнить, занимаются ли специалисты компании мониторингом атак с выделенных серверов.
Group IB, впрочем, в целом придерживается осторожной позиции, ссылаясь на малое количество исходных данных. «Для полноценного анализа атаки нужны логи запросов к Livejournal, которые есть только у Livejournal», — говорит Сачков.
Еще один опрошенный РИА Новости эксперт — гендиректор компании Highloadlab Александр Лямин, настроен более категорично. «Мы наблюдаем за ЖЖ со второй половины 4 декабря и до текущего момента. Факт атаки подтверждаем. Это можно утверждать на основе некоторых специфичных технических характеристик работы блогсервиса, например, таких, как скорость установления сетевых соединений», — говорит Лямин.
Highloadlab, в числе прочего, обеспечивает информационную безопасность веб-проектов с высокой нагрузкой и помогла отразить начавшиеся в воскресенье атаки против сайтов Slon.ru и радиостанции «Эхо Москвы».
Highloadlab использует иную систему мониторинга атак, основанную на анализе состояния каналов связи и отклика атакуемого ресурса. Лямин считает маловероятным использование выделенных серверов против ЖЖ, но отмечает, что мощность атаки на блогхостинг очень высока. «Скорее всего, она превышает 10 Гбит/с», — говорит Лямин.
Нынешняя волна проблем LiveJournal — далеко не первая для популярного сервиса в текущем году. По официальным данным, на ЖЖ зарегистрировано более 30 миллионов пользователей по всему миру. На русскоязычный сегмент приходится 5 миллионов зарегистрированных аккаунтов и 14 миллионов читателей блогов.