Константин Тимашков, StopDDoS.ru: «Наша статистика на 100% отражает реальное положение дел»

К сожалению, тогда нам не удалось связаться с представителями самого проекта, однако своими мыслями о его перспективах с нами поделились другие эксперты. Спустя время, ушедшее на отладку и тестирование сервиса, мы возвращаемся к этой теме и предоставляем слово Константину Тимашкову – генеральному директору компании «Нетвиллидж», запустившей этот проект.

- Вы были недовольны содержанием первых публикаций о StopDDoS.ru, в том числе и нашей. Может быть, сами внесете ясность относительно деятельности проекта?

- Прежде всего, хочу отметить, что современная DDoS-атака - не канальная, а, скажем так, более интеллектуальная. В ее основе лежит отправка огромного количества запросов на определенный адрес, которые сложно отличить от запросов самих пользователей. В поисковой выдаче «Яндекса» можно найти множество предложений «запустить» предоставленный .exe-файл на 1000 машин за $25. Масштабы заражений и дешевизна атак впечатляют. Так вот, StopDDoS.ru – это сервис, аффиллированный с фирмой «Нетвиллидж», которая занимается разработкой решений для защиты от таких «паразитных» явлений.

Цель проекта – помогать провайдерам оповещать пользователей о том, что их машины заражены, и предоставлять статистику для расследования сетевых инцидентов. При этом мы делаем все, чтобы данные нашей статистики не повлекли за собой блокировку пользователей. Можно заметить, что у нас сложно «слить» статистику по некоторым иностранным провайдерам – там у нас нет цели заниматься благотворительностью. C провайдерами в РФ мы уже сотрудничали в этом направлении до запуска StopDDoS.ru, но в один момент они попросили нас сделать так, чтобы все было «на виду». Те провайдеры, с которыми мы договорились, уже получают нашу статистику в автоматическом режиме.

Что касается антивирусных компаний, то они ведут постоянную игру в «кошки-мышки». В их интересах - как минимум, не препятствовать вычислению и закрытию очагов и исправно пополнять свои базы новыми сигнатурами, чтобы не падал спрос на их продукцию. Основная проблема со всей этой вредоносностью заключается в установлении очагов и управляющих центров. Появление нашего сервиса делает борьбу, как минимум со вторым, в разы эффективнее. Мы даем провайдерам и пользователям практически стопроцентную гарантию того, что наша статистика отражает реальное положение дел.

- Если можно, поподробнее о стопроцентной гарантии.

- Запросы, поступающие от потенциально «опасных» пользователей, анализируются системой; далее принимаются меры по проверке того, не делает ли абонент эти запросы самостоятельно. Затем отсеиваются «естественные роботы» - это всевозможные программы-качалки, поисковые роботы и т.п. В итоге, более 50% имеющейся у нас информации не попадает в публикуемую на сайте в статистику. Столь серьезный отсев происходит по двум причинам: либо наши средства недостаточно совершенны для того, чтобы можно было с уверенностью говорить о том или ином конкретном случае, либо мы понимаем, что не сможем объяснить абоненту и его провайдеру, почему считаем его компьютер зараженным – у нас есть свои ноу-хау в этой области. Когда антивирус ничего не находит у пользователя, то в очередной раз доказывать его причастность к атаке сложно.

- А что это за компания - «Нетвиллидж» - и почему ее сотрудники безвозмездно тратят свое время на борьбу со злом?

- Конкретно эта компания была основана в 2007 году людьми, достаточно долгое время до этого проработавшими в сфере IT. К примеру, я более 10 лет проработал в телекоммуникационных компаниях, а большинство моих коллег были программистами в других областях. «Нетвиллидж» не занимается благотворительной деятельностью, а является разработчиком комплексных решений для защиты от DDOS. Для того, чтобы на рынке появилось массовое и дешевое решение для защиты от DDoS-атак, необходимо уметь обнаруживать их источники и управляющие центры. Наш проект позволяет автоматизировать процесс. Последние два найденных управляющих центра размещаются на доменах kowaru.cn и super-tds.info, а все компьютеры, которые к обращаются по их IP-адресам, скорее всего, заражены. Если нужно объяснить, как происходит взаимодействие, мы можем предоставить материалы.

- StopDDoS.ru функционирует уже около 2 месяцев. Планируете ли вы как-то облагородить сайт проекта?

- Да, конечно, сайт будет меняться – и не только внешне. Появится возможность поиска, станет доступной статистика для провайдеров и пользователей за более длительные периоды времени. У нас уже почти все готово, и я думаю, в течение двух-трех недель мы представим это пользователям.

- На каких условиях вы сотрудничаете с провайдерами и можете ли назвать какие-то конкретные компании из числа ваших партнеров?

- Дело в том, что ни одна компания не будет афишировать тот факт, что она «заглядывает» в трафик абонента – это идет вразрез с положениями Закона о связи, и поэтому они используют наши данные для отладки собственных систем безопасности и систем оповещения на основании своей статистики. Другая категория – это крупные организации, администраторы корпоративных сетей которых уже имеют право «прослушивать» своих коллег и разбираться с конкретными инцидентами на подведомственном компьютере и на территории своей сети. Таким образом они отлавливают вирусы и выявляют источники атак внутри сети своей компании.

Наши решения дают возможность своевременно «разгрузить» сеть и предупредить абонентов. Ведь чем больше сеть, тем больше в ней зараженных абонентов – соответственно, поступает больше жалоб от других интернет-пользователей, справиться с которыми под силу далеко не всем. Рейтинг сети понижается, она попадает в «черные списки», и против нее принимаются превентивные меры – со всеми вытекающими отсюда последствиями.

- А насколько своевременна информация, получаемая пользователями и провайдерами от StopDDoS.ru? Получается, что они узнают обо всем, когда атака уже прошла?

- Все DDoS-атаки идут на ресурсы наших партнеров, где установлено наше ПО и железо. StopDDoS.ru – инструмент для последующего анализа и информирования «зараженных» абонентов. Информация из-за специфики её обработки появляется, минимум, через 30 минут.

- Вы говорили о том, что за StopDDoS.ru последуют проекты StopMalware и StopBadware. Действительно ли это так и что это будут за проекты?

- Что касается планов «Нетвиллидж» - прежде всего, мы планируем до конца года анонсировать в РФ и ввести в эксплуатацию CDN-сеть большой емкости, которую разрабатываем параллельно, а также довести свою DDoS-защиту до коробочного «состояния» и понятной всем модели продаж. Помимо этого, мы, конечно, будем развивать StopDDos.ru.

В рамках проекта StopMalware уже на старте мы выложим данные о более чем 5 тыс. доменов в зоне .RU, на чьих страницах размещен активный код, заражающий чужой компьютер при посещении этих страниц. Антивирусы тоже умеют распознавать такие страницы, но, как я уже говорил, их разработчики зачастую заинтересованы в том, чтобы источник не был ликвидирован. Мы же «раскапываем» все это в автоматическом режиме и, главное, будем увязывать полученную информацию с конкретным очагом заражения (возможно, с оповещением соответствующих структур).

О проекте StopBadware я говорить пока не готов – возможно, это будет домен-синоним.

- Какие рекомендации вы могли бы дать тем, кто столкнулся с DDoS-атакой?

- Серьезную защиту от DDoS-атак предлагают около десятка профильных компаний во всем мире; все остальные – их «перепродавцы». На этом рынке все очень «косвенно», и посредники порой сами организуют DDoS-атаки, чтобы впоследствии извлекать из них легальные доходы на защищающей стороне. Прежде всего, надо опасаться компаний с системой оплаты, исчисляемой исходя из размера атаки. Например, при пользовании услугами компании-поставщика Staminus клиент может получить сообщение о том, что его тарифный план недостаточно хорош для продолжающейся атаки, и из него вытягивается определенная сумма денег под угрозой того, что сайт будет оставаться отключенным. Теперь представьте перепродавца его услуг, который сам стал жертвой этой системы оплаты, умудрился набрать какое-то количество клиентов, сделать красивый сайт и назвать себя «экспертом в области защиты с многолетним опытом». Из-за превышающей тариф атаки на одного клиента первичный поставщик отключает всех. Надо заметить, что посредники, попросту говоря, врут своим абонентам, когда объясняют это.