Константин Тимашков, StopDDoS.ru: «Наша статистика на 100% отражает реальное положение дел»

Опубликовано: 24.04.2008, 19:01 Автор: Родин Дмитрий Рубрики: лица
Константин Тимашков, StopDDoS.ru: «Наша статистика на 100% отражает реальное положение дел» Некоторое время назад TelNews наряду с другими изданиями писал о сервисе StopDDoS.ru, предоставляющем информацию о компьютерах, которые принимают участие в DDoS-атаках.

К сожалению, тогда нам не удалось связаться с представителями самого проекта, однако своими мыслями о его перспективах с нами поделились другие эксперты. Спустя время, ушедшее на отладку и тестирование сервиса, мы возвращаемся к этой теме и предоставляем слово Константину Тимашкову – генеральному директору компании «Нетвиллидж», запустившей этот проект.

- Вы были недовольны содержанием первых публикаций о StopDDoS.ru, в том числе и нашей. Может быть, сами внесете ясность относительно деятельности проекта?

- Прежде всего, хочу отметить, что современная DDoS-атака - не канальная, а, скажем так, более интеллектуальная. В ее основе лежит отправка огромного количества запросов на определенный адрес, которые сложно отличить от запросов самих пользователей. В поисковой выдаче «Яндекса» можно найти множество предложений «запустить» предоставленный .exe-файл на 1000 машин за $25. Масштабы заражений и дешевизна атак впечатляют. Так вот, StopDDoS.ru – это сервис, аффиллированный с фирмой «Нетвиллидж», которая занимается разработкой решений для защиты от таких «паразитных» явлений.

Цель проекта – помогать провайдерам оповещать пользователей о том, что их машины заражены, и предоставлять статистику для расследования сетевых инцидентов. При этом мы делаем все, чтобы данные нашей статистики не повлекли за собой блокировку пользователей. Можно заметить, что у нас сложно «слить» статистику по некоторым иностранным провайдерам – там у нас нет цели заниматься благотворительностью. C провайдерами в РФ мы уже сотрудничали в этом направлении до запуска StopDDoS.ru, но в один момент они попросили нас сделать так, чтобы все было «на виду». Те провайдеры, с которыми мы договорились, уже получают нашу статистику в автоматическом режиме.

Что касается антивирусных компаний, то они ведут постоянную игру в «кошки-мышки». В их интересах - как минимум, не препятствовать вычислению и закрытию очагов и исправно пополнять свои базы новыми сигнатурами, чтобы не падал спрос на их продукцию. Основная проблема со всей этой вредоносностью заключается в установлении очагов и управляющих центров. Появление нашего сервиса делает борьбу, как минимум со вторым, в разы эффективнее. Мы даем провайдерам и пользователям практически стопроцентную гарантию того, что наша статистика отражает реальное положение дел.

- Если можно, поподробнее о стопроцентной гарантии.

- Запросы, поступающие от потенциально «опасных» пользователей, анализируются системой; далее принимаются меры по проверке того, не делает ли абонент эти запросы самостоятельно. Затем отсеиваются «естественные роботы» - это всевозможные программы-качалки, поисковые роботы и т.п. В итоге, более 50% имеющейся у нас информации не попадает в публикуемую на сайте в статистику. Столь серьезный отсев происходит по двум причинам: либо наши средства недостаточно совершенны для того, чтобы можно было с уверенностью говорить о том или ином конкретном случае, либо мы понимаем, что не сможем объяснить абоненту и его провайдеру, почему считаем его компьютер зараженным – у нас есть свои ноу-хау в этой области. Когда антивирус ничего не находит у пользователя, то в очередной раз доказывать его причастность к атаке сложно.

- А что это за компания - «Нетвиллидж» - и почему ее сотрудники безвозмездно тратят свое время на борьбу со злом?

- Конкретно эта компания была основана в 2007 году людьми, достаточно долгое время до этого проработавшими в сфере IT. К примеру, я более 10 лет проработал в телекоммуникационных компаниях, а большинство моих коллег были программистами в других областях. «Нетвиллидж» не занимается благотворительной деятельностью, а является разработчиком комплексных решений для защиты от DDOS. Для того, чтобы на рынке появилось массовое и дешевое решение для защиты от DDoS-атак, необходимо уметь обнаруживать их источники и управляющие центры. Наш проект позволяет автоматизировать процесс. Последние два найденных управляющих центра размещаются на доменах kowaru.cn и super-tds.info, а все компьютеры, которые к обращаются по их IP-адресам, скорее всего, заражены. Если нужно объяснить, как происходит взаимодействие, мы можем предоставить материалы.

- StopDDoS.ru функционирует уже около 2 месяцев. Планируете ли вы как-то облагородить сайт проекта?

- Да, конечно, сайт будет меняться – и не только внешне. Появится возможность поиска, станет доступной статистика для провайдеров и пользователей за более длительные периоды времени. У нас уже почти все готово, и я думаю, в течение двух-трех недель мы представим это пользователям.

- На каких условиях вы сотрудничаете с провайдерами и можете ли назвать какие-то конкретные компании из числа ваших партнеров?

- Дело в том, что ни одна компания не будет афишировать тот факт, что она «заглядывает» в трафик абонента – это идет вразрез с положениями Закона о связи, и поэтому они используют наши данные для отладки собственных систем безопасности и систем оповещения на основании своей статистики. Другая категория – это крупные организации, администраторы корпоративных сетей которых уже имеют право «прослушивать» своих коллег и разбираться с конкретными инцидентами на подведомственном компьютере и на территории своей сети. Таким образом они отлавливают вирусы и выявляют источники атак внутри сети своей компании.

Наши решения дают возможность своевременно «разгрузить» сеть и предупредить абонентов. Ведь чем больше сеть, тем больше в ней зараженных абонентов – соответственно, поступает больше жалоб от других интернет-пользователей, справиться с которыми под силу далеко не всем. Рейтинг сети понижается, она попадает в «черные списки», и против нее принимаются превентивные меры – со всеми вытекающими отсюда последствиями.

- А насколько своевременна информация, получаемая пользователями и провайдерами от StopDDoS.ru? Получается, что они узнают обо всем, когда атака уже прошла?

- Все DDoS-атаки идут на ресурсы наших партнеров, где установлено наше ПО и железо. StopDDoS.ru – инструмент для последующего анализа и информирования «зараженных» абонентов. Информация из-за специфики её обработки появляется, минимум, через 30 минут.

- Вы говорили о том, что за StopDDoS.ru последуют проекты StopMalware и StopBadware. Действительно ли это так и что это будут за проекты?

- Что касается планов «Нетвиллидж» - прежде всего, мы планируем до конца года анонсировать в РФ и ввести в эксплуатацию CDN-сеть большой емкости, которую разрабатываем параллельно, а также довести свою DDoS-защиту до коробочного «состояния» и понятной всем модели продаж. Помимо этого, мы, конечно, будем развивать StopDDos.ru.

В рамках проекта StopMalware уже на старте мы выложим данные о более чем 5 тыс. доменов в зоне .RU, на чьих страницах размещен активный код, заражающий чужой компьютер при посещении этих страниц. Антивирусы тоже умеют распознавать такие страницы, но, как я уже говорил, их разработчики зачастую заинтересованы в том, чтобы источник не был ликвидирован. Мы же «раскапываем» все это в автоматическом режиме и, главное, будем увязывать полученную информацию с конкретным очагом заражения (возможно, с оповещением соответствующих структур).

О проекте StopBadware я говорить пока не готов – возможно, это будет домен-синоним.

- Какие рекомендации вы могли бы дать тем, кто столкнулся с DDoS-атакой?

- Серьезную защиту от DDoS-атак предлагают около десятка профильных компаний во всем мире; все остальные – их «перепродавцы». На этом рынке все очень «косвенно», и посредники порой сами организуют DDoS-атаки, чтобы впоследствии извлекать из них легальные доходы на защищающей стороне. Прежде всего, надо опасаться компаний с системой оплаты, исчисляемой исходя из размера атаки. Например, при пользовании услугами компании-поставщика Staminus клиент может получить сообщение о том, что его тарифный план недостаточно хорош для продолжающейся атаки, и из него вытягивается определенная сумма денег под угрозой того, что сайт будет оставаться отключенным. Теперь представьте перепродавца его услуг, который сам стал жертвой этой системы оплаты, умудрился набрать какое-то количество клиентов, сделать красивый сайт и назвать себя «экспертом в области защиты с многолетним опытом». Из-за превышающей тариф атаки на одного клиента первичный поставщик отключает всех. Надо заметить, что посредники, попросту говоря, врут своим абонентам, когда объясняют это.


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100