В этой теме нет ответов

[dovbnya]

25 июля в 11.00 в Генеральной дирекции Южной телекоммуникационной компании состоялась пресс-конференция «Хакерская атака на сети ЮТК». На вопросы журналистов краснодарских и краевых средств массовой информации отвечали директор по информационным технологиям ЮТК Станислав Бородин, коммерческий директор ЮТК Аркадий Самойлов, заместитель технического директора Виталий Дубчук, директор департамента информационной и экономической безопасности Александр Бурняшев, начальник отдела информационной безопасности Александр Орлов, начальник службы эксплуатации сетей Александр Павличенко. Материалы пресс-конференции читайте ниже.



Станислав Бородин: Добрый день, сейчас на Интернет-форумах существуют разные слухи, домыслы о том, что происходит. Мы решили провести такую пресс-конференцию, чтобы донести до пользователей и средств массовой информации реальную картину происходящего.

Первая активность хакеров была проявилась 27 июня в Астраханском филиале ЮТК. Тогда и была зафиксирована DDOS-атака. После этого атака видоизменялась и модифицировалась, стала распространяться на другие филиала ЮТК, но в воскресенье, 22 июля, началась новая волна атаки, которая характеризуется тем, что она, по крайней мере, по интенсивности раз в 7 превышает ту, что была первоначально.

DDOS -атака организуется с сотни или с тысяч компьютеров, которые предварительно заражены вирусами и подчиняются какому-то отдельному компьютеру. В определенный момент эти компьютеры начинают генерировать паразитный трафик, т. е. запросы, которые обращаются к компьютерам, находящимся в нашей сети. Такие запросы требуют обработки, на которую затрачиваются ресурсы маршрутизаторов, возникает стопроцентная перезагрузка оборудования , отвечающего за маршрутизацию и происходит замедление или полное прекращение предоставления сервисов для пользователей.

Мы первая компания, которая подверглась такой атаке. Аналогичные атаки не раз предпринимались против ведущих мировых компаний, в том числе таких, как Microsoft. Организация хакерской атаки - это дорогостоящее мероприятие. Например, атака на сайт Microsoft, по публичным источникам в Интернете, оценивается в 10 тысяч долл. в день.

С начала атаки службы информационных технологий и информационной безопасности работают в особом режиме. Но особенность атаки состоит в том, что мы не можем этот вредоносный трафик фильтровать у себя. Представьте себе, вы живете в доме, к которому ведет дорога. Вы можете непрошенных гостей в дом не пускать, но если их много, дорога к дому все равно будет забитой. Соответственно, ею воспользоваться невозможно. Эту фильтрацию необходимо производить во взаимодействии с вышестоящими магистральными провайдерами РТКомм, Транстелеком, Ростелеком. Атака организована из-за рубежа. Это преимущественно США, Великобритания, Амстердам. Понятно, почему. Если бы атака шла с нашей территории, мы бы нашли источник вредоносной активности достаточно быстро. И ее организаторы уже общались бы с другими органами. Понятно, что при таком подходе требуется эффективное взаимодействие с вышестоящими федеральными провайдерами, а они, в свою очередь, с корневыми провайдерами Интернета. Что мы сейчас и делаем.

На одном маршрутизаторе трафик такого уровня отфильтровать невозможно. Отчаянные попытки наших коллег установить фильтры на маршрутизаторах, которые ведут непосредственно к нам, оканчивались тем, что они полностью оказывались неработоспособными. В результате наших совместных действий не пострадали альтернативные операторы, которых непосредственно атака не затрагивала, потому что последствия такой атаки весьма серьезны. Наши коллеги из Транстелекома отмечают, что такое в Рунете происходит впервые. Это беспрецедентная атака на сети оператора связи, аналогов которой еще не было.


Сейчас атака не прекращается, и в рабочее время она достигает пика, потому что существует и полезный трафик. И, возможно, потому что используются сети США. Там компьютеры ночью не работают и, как раз, могут использоваться для организации такого паразитного трафика.


Такая атака может привести к тому, что вы потеряете определенный процент абонентов?

Коммерческий директор ЮТК Аркадий Самойлов:

Мы предпринимаем все усилия, чтобы наши пользователи как можно меньше пострадали от противоправных действий третьих лиц. Не исключено, что ряд пользователей по моральным или материальным причинам временно или на постоянной основе перейдет к другим провайдерам. Видимо, это одна из целей хакеров. Но мы предпримем все усилия, чтобы эту проблему решить и сохранить лояльность наших абонентов.


Директор по информационным технологиям Станислав Бородин:

Очень трудно найти непосредственных исполнителей и заказчиков. По зарубежному опыту, в основе таких атак лежат экономические интересы конкурентов. Соответственно, вы правы. Но мы и наши коллеги офстрим- провайдеры отдают себе отчет, что мы должны найти эффективный способ защитить наших пользователей, иначе те, кто организовал эту атаку, будут считать, что это эффективный метод. И альтернативные операторы абсолютно не застрахованы от такого же вредоносного воздействия. Поэтому все сообщество Интернет-провайдеров должно в этом вопросе объединиться. В противном случае можно прийти к хаосу.


Кто ваши основные конкуренты?

Коммерческий директор ЮТК Аркадий Самойлов:

Это не секрет. Так как мы работаем на территории 10 регионов ЮФО, говорить о конкретных конкурентах я бы не стал. На этой территории действует более 300 альтернативных операторов, половина из них предоставляет услуги доступа в Интернет.


При этом альтернативные провайдеры работают бесперебойно?

Директор по информационным технологиям Станислав Бородин:

По нашей информации у ряда провайдеров были небольшие перебои. Но опять же, учитывая знания о строении сети, если бы такая атака была направлена на какого-то альтернативного оператора, то вряд ли бы он смог функционировать хоть в каком-либо режиме. Нынешняя атака, по нашей информации, организованна именно на IP-адреса сети ЮТК.


Начальник службы эксплуатации сетей ЮТК Александр Павличенко:

Атака началась 22 июля, когда было зафиксировано больше 1,5 миллиарда обращений на наши сети, а 23 июля было зафиксировано до 4 млрд. обращений в секунду. Сеть бомбардируется тотально, адреса, с которых идет бомбардировка, подмененные.


Директор по информационным технологиям Станислав Бородин:

Перегружено оборудование магистральных провайдеров, а мы можем бороться с такими явлениями, как хакерское воздействие, только вместе с магистральными провайдерами.



Какие убытки терпит ЮТК?

Коммерческий директор ЮТК Аркадий Самойлов:

Нет смысла сейчас оценивать, так как атака продолжается. Но совершенно однозначно, что компании, как и ее пользователям, наносится моральный и экономический ущерб. Но напоминаю: это происходит из-за противоправных действий третьих лиц. Мы оказались в такой же ситуации, что и наши пользователи.


Директор по информационным технологиям Станислав Бородин:

Мы отдаем себе отчет, что кто-то купил наши услуги для отдыха и развлечений, кто-то использует Интернет для бизнеса, для связи между офисами, с биржами. Понятно, что для таких клиентов перебои доступа могут иметь серьезные негативные последствия. Многие организации пользуются защищенными каналами, например, банковской сферы. Они защищены от такого рода атак, но это очень дорогостоящая услуга и не широкого круга использования.



Начальник службы эксплуатации сетей ЮТК Александр Павлюченко:

Специалистам Краснодарского филиала пришлось столкнуться с атаками типа icmp flood и tcp syn flood. Данный трафик в случае его пропуска в сеть филиала пришел бы к абоненту, которому в таком случае был бы выставлен счет, подлежащий оплате. Защищая интересы пользователей, мы установили на пограничном оборудовании так называемые акцесс листы (фильтры), механизм работы которых заключается в блокировке данного типа IP трафика. Соответственно после установки данных фильтров стал недоступен ряд сервисов, прежде всего это ping и tracert на сегменты публичного Интернета. Можно задать резонный вопрос: фильтры (ALC) установили, а Интернета нет. Дело в том, что поток паразитного IP-трафика на магистральных направлениях превышал пороговое значение и просто напросто блокировал работу магистрального канала.


Директор по информационным технологиям Станислав Бородин:

Хочу добавить, что на интернет-форумах есть замечания, что у нас старые маршрутизаторы. Это не соответствует действительности. Мы вкладываем большие средства в модернизацию и расширение сетей. Сегодня на сетях компании установлено оборудование последнего поколения.



Заместитель технического директора Виталий Дубчук:

Сеть передачи данных ЮТК построена на современном оборудовании с использованием самых современных технологий. Архитектура постоянно совершенствуется. Аналогов таких сетей ни у одного оператора ЮФО на сегодняшний день нет. В настоящее время компания реализует национальный проект по подключению школ к сети Интернет. Свыше 5 тысяч школ ЮФО мы подключили к Интернету. Это масштабная задача, в рамках которой мы также проводим модернизацию, умощнение сетей, расширяем зону действия сети передачи данных. Реализация проекта «Образования» еще подняла уровень организации наших сетей. Такие масштабные проекты по подключению к Интернет в нашей стране еще не реализовывались.


Коммерческий директор Аркадий Самойлов:

У нас амбициозные планы по подключению широкополосного доступа. К концу 2007 года мы планируем подключить к скоростному Интернету 166 тысяч абонентов. Сегодня у нас 110 тыс. пользователей широкополосного доступа. Принимая во внимание такой рост, мы предъявляем высокие требования к сети, чтобы она удовлетворяла требованиям наших клиентов.


Директор по информационным технологиям Станислав Бородин:

Для минимизации последствий хакерской атаки мы координируем действия с магистральными провайдерами, причем компания работает не с одним провайдером, а с несколькими. Именно для безопасности распределения трафика. Мы планируем расширять круг партнеров, расширяем пропускные каналы. Вносим изменения в наши регламентирующие документы, которые определяют порядок взаимодействия между провайдерами для более оперативного реагирования на такие ситуации. В этом заинтересованы и мы, и наши коллеги.


Какое количество пользователей не имеет доступа в Инетрнет?

Директор по информационным технологиям Станислав Бородин:

Нельзя утверждать, что пользователи совсем не имеют доступа в Интернет. В каждый конкретный момент ситуация меняется. В настоящий момент эти проблемы затрагивают наших пользователей в Краснодарском крае. Эта атака направлена не на конкретного пользователя, а на наши маршрутизаторы, каналообразующее оборудование, и на провайдеров более высокого уровня. Например, сейчас отмечается замедление работы Интернет, но мы не отмечаем перегрузки наших каналов. Это значит, что испытывают трудности провайдеры более высокого уровня.



Когда закончится DDOS-атака?

Директор по информационным технологиям Станислав Бородин:

Если происходит преступление, как можно прогнозировать, когда злоумышленники престанут его совершать? Они закончат атаку, когда она станет совершенно бессмысленной или закончатся деньги.

Интернет-сообщество обсуждает, действительно ли это DDOS-атака? Давайте зададим этот вопрос по громкой связи представителю магистрального провайдера Транстелеком.


Роман Емельянов, и.о. директора дирекции информационной безопасности Транстелеком по телефону из Москвы:

Да, это несомненно DDOS-атака. На первом этапе были определены каналы, с которых ведется атака. Основная масса пакетов исходит с зарубежных сетей. Совместно со специалистами ЮТК мы определили профиль паразитного трафика. Нам удалось локализовать атаку в рамках одного канала. Мы измерили ее характеристики. В пике доходило до 2 млн. пакетов секунду. Причем пакеты были маленького размера. Нормой для нашего канала является 150 тысяч пакетов в секунду. Вы можете представить размер бедствия. После установки фильтров у нашего up-стрим-провайдера атака была ликвидирована.

По масштабу и профилю подобных атак за последние пять лет мы еще в Рунете не встречали. Атака такого масштаба на сети оператора связи – это беспрецедентный случай.

Велика ли опасность подобных атак в ближайшее время?

Роман Емельянов, Транстелеком (по телефону из Москвы):

Мы собрали схему, которая позволяет адекватно реагировать. Не исключено, что характер трафика может измениться. Совместно со специалистами ЮТК мы по отлаженной схеме сможем предотвратить последствия этой атаки.


Директор по информационным технологиям Станислав Бородин:

Роман имел в виду, что атака может видоизмениться. Могут измениться адреса, с которых она идет. А мы же не можем закрыть все. Через закрытую дверь нельзя выйти. Интернет предполагает, что вы запросили, вам ответили. Если закроем все, то не будет сервиса.


Существует мнение, что перебои с Интернетом как-то связаны с жаркой погодой…

Директор по информационным технологиям Станислав Бородин:

Нет. С погодой это никак не связано.


Заместитель технического директора Виталий Дубчук:

Если Вы имеете в виду проблемы с отключенем электричества из-за жары, то у нас имеется резервирование электропитания. Это резервирование промышленной сети по двум направлениям. Второе, у нас есть источники бесперебойного питания – аккумуляторные батареи. И в-третьих, на всех узлах связи у нас установлены дизельные электрогенераторы, которые автоматически могут переводиться в работоспособное состояние. При отключении промышленного энергообеспечения сначала автоматически включаются аккумуляторы, а затем, при необходимости, дизельные генераторы. Это везде, на всех узлах. Мы абсолютно автономны и перебои с электропитанием исключены. Аварии могут привести только к кратковременным остановкам. Сеть способна очень быстро восстанавливаться. Схема работает жестко, поэтому жара здесь не при чем.


Можно ли установить заказчика атаки?

Директор департамента экономической и информационной безопасности Александр Бурняшев:

Несомненно, мы ищем источник атаки для того, чтобы привлечь к ответственности. Не мы одни. Во всех регионах действия ЮТК отправлены запросы в органы ФСБ. Подключены специальные службы, потому что предпринята массовая атака, аналогов которой не было.


Начальник отдела информационной безопасности Александр Орлов:

Источник атаки находится за пределами нашей сети и пределами вышестоящих провайдеров. Вредоносный трафик идет из-за рубежа. Наша задача – оказать максимальную помощь, мы определяем профиль этого трафика. Предоставляем техническую информацию. А поиском занимаются компетентные органы.


А можно ли подавить атаку без устранения причин?

Задача тех, кто инициирует такие атаки, сделать вредоносный трафик максимально неотличимым от полезного. Запретив этот вредоносный трафик, а он стандартный для Интернета служебный трафик, мы создадим проблемы для абонентов. Это сложная задача и для нас, и для вышестоящих провайдеров. Пока мы с ней справляемся, потому что, в принципе, Интернет есть.


Что делать пользователям, чтобы снизить риски?

Директор по информационным технологиям Станислав Бородин:

В данном случае от пользователя ничего не зависит. Крупные организации могут использовать резервные каналы.

Опять же, от такой ситуации не застрахован ни один альтернативный оператор. Такая атака может быть направлена на любой сайт, любой IP-адрес.



А будет ли компенсирован абонентам ущерб?

Коммерческий директор ЮТК Аркадий Самойлов:

Атака – это противоправное действие третьих лиц. В данном случае пострадали и наши пользователи, и ЮТК. Мы рассматриваем возможность некоторой компенсации нашим пользователям за неудобства, причиненные по вине третьих лиц. Пока атака продолжается, какие-либо бонусные программы не имеют смысла, так как причина не устранена.

По индивидуальным просьбам пользователям мы будем работать индивидуально.

Хочу обратить внимание, что в процессе предоставления услуги конечному пользователю задействованы провайдеры различного уровня. Не только ЮТК участвует в этом процессе. Есть поставщики более высокого уровня РТКомм, Транстелеком, Ростелеком. У них, в свою очередь, есть поставщики еще более высокого уровня, которые предоставляют Интернет по международным каналам. Поэтому только действиями ЮТК такие проблемы не решаются. Все это решается во взаимосвязи со всей цепочкой операторов трех уровней.

Что касается ущерба в результате DDOS-атаки, то в настоящее время его размер невозможно установить, потому что мы еще не получили счета от провайдеров высшего уровня. Они с нами ведут расчеты за трафик. О размере ущерба можно судить только после завершения атаки.


Подавали ли на вашу компанию в суд за причиненный ущерб за это время?

Коммерческий директор ЮТК Аркадий Самойлов:

Не исключено, что такие случаи будут. Мы готовы рассматривать любые претензии. Пока все ограничивается форумом, чатами и письмами.


Есть слух, что все это случилось, потому что Сочи выиграл право на проведение олимпиады…

Директор по информационным технологиям Станислав Бородин:

Мы не можем опровергнуть или подтвердить этот слух. Но, судя по тому, что маленькие атаки начались до подтверждения олимпийского статуса Сочи, мы не склонны связывать эти события. Это романтичная версия. Фантастично, чтобы обиженный Пхенчхан выбрал нас мишенью хакерской атаки.


Сколько ежегодно компания вкладывает в развитее инфраструктуры?

Вся информация размещена на сайте в годовом отчете ЮТК www.stcompany.ru

:arrow: Источник: http://www.kuban.ru/news/press.htm