Сообщить об ошибке на сайте
URL
Ошибка
Кейсы

Александр Лямин знает о DDoS-атаках едва ли не больше, чем кто-либо в России: он исследует эту тему в течение 12 лет. С тех пор продукт, разработанный его командой Qrator, отразил бессчетное количество атак на сотни компаний в России и в мире. «Хайтек» поговорил с Александром Ляминым о последних новостях из мира хакеров и угрозах безопасности ближайшего будущего, когда в ваш дом может проникнуть злоумышленник даже через лампочку.


Александр Лямин — генеральный директор и основатель Qrator Labs. Компания предоставляет услуги противодействия DDoS-атакам и является номером один в области противодействия DDoS в России по версии IDC. Команда Qrator Labs занимается исследовательской деятельностью в области защиты от DDoS c 2006 года. Среди клиентов компании — «Тинькофф Кредитные Системы», QIWI, CyberPlat, «Элекснет», Lamoda, «Юлмарт», «Эльдорадо», Ozon, Wildberries, «Ситилинк», МИА «Россия сегодня», радиостанция «Эхо Москвы», REGNUM, телеканалы «Звезда», ТНТ, «Дождь», «НТВ-Плюс» и другие.


«Парадигма бизнеса поменялась»

— Не помню, когда мне в последний раз попадался «лежащий» сайт. Это только кажется или силы добра победили?

— Вообще лежат регулярно, но в гораздо меньшем количестве, чем раньше. Во многом, потому что у бизнеса за последние пять лет поменялась парадигма. Раньше заказчики к нам приходили исключительно под DDoS-атакой, с недоступным приложением. Это всегда очень хлопотно и нервно: неизбежные репутационные издержки, стресс для техперсонала.

Сейчас в большинстве случаев бизнес подключается до, если чувствует, что идет обострение конкурентной борьбы, или же после того, как посчитает свои возможные убытки. Да, наши заказчики не «лежат», и это предмет гордости.

Если посмотреть, из топ-10 Forbes российских интернет-компаний семь — наши клиенты. По сути, мы — терапевты, ведем профилактику заболеваний. Когда на каталке ввозят «хладный труп», как обычно, в пятницу вечером или в субботу рано утром, мы его, конечно, откачиваем. После начинаем разговаривать про контракты и деньги. Начинали с мелкой интернет-розницы, региональных СМИ, сейчас наши заказчики — крупнейшие компании России, требования у них совсем другие. Когда к нам подключился первый банк, на лету пришлось перестраиваться, чтобы работать с финансовыми данными, с шифрованным трафиком, чтобы не нарушить лицензионные обязательства, индустриальные сертификации.

Из плюсов — вышел GDPR в Европе. Qrator оказался к нему готов прямо из коробки, потому что мы изначально строились из этих принципов.

— Объясните, как работает Qrator.

— Мы сидим в разрыве между конечным пользователем и вашим приложением и анализируем входящий и исходящий трафик на предмет аномалий. Этот процесс у нас сразу был автоматизирован, сейчас это принято называть машинным обучением и искусственным интеллектом. Мы занимались этой ерундой еще до того, как это стало модным.

Если аномалия выявлена, то мы задаем себе два вопроса: кто больше всего похож на робота (для этого года три назад появилось модное название User Behavioral Analytics — поведенческий анализ) и кто генерирует больше всего нагрузки на веб-сайт. Выявив дефицит производительности, мы включаем блокировки разной длительности — от нескольких секунд до восьми часов, таким образом решаем задачи оптимизации пропускной способности приложения. В отличие от других решений, мы обрабатываем еще и исходящий трафик — смотрим, как приложение себя чувствует до применения политики фильтрации, в процессе, какие ответы оно дает. Благодаря этой обратной связи мы совершенствуем процесс фильтрации, отключаем блокировки, включаем их снова. Так что для хакеров обойти Qrator — сразу жирная генеральская звездочка.

Фото: Антон Карлинер / «Хайтек»

— С чего вообще пришла в голову идея заняться DDoS-атаками?

— Я работал в МГУ, там была классная команда, но не хватало денег даже на поддержание штанов, поэтому я также подрабатывал консультантом в нескольких частных компаниях и регулярно сталкивался с DDoS-атаками.

В 2004 была атака в России, которая привела к остановке крупнейшего тогда хостинга Masterhost. Так я познакомился с предметом, увидел доступные продукты по защите. Когда я столкнулся с Cisco Guard в 2006 году, пожал плечами и подумал: «Можно же лучше». Эта идея запала в голову, в 2008 году я пришел к руководству МГУ с инициативой заняться изучением атак, пытаться их симулировать на университетском оборудовании, найти методы эффективной борьбы. Мне дали добро, за что я очень благодарен.

Собралась команда, мы работали круглосуточно и бесплатно. 22 июня 2010 года случилась DDoS-атака, которая превышала возможности инфраструктуры университета. Время было удачное — вступительные и сессия закончились. Если бы это повлияло на учебный процесс, руководство бы не поняло. Надо было либо сворачиваться, либо развиваться во что-то большее. Я решил сделать компанию с теми, с кем работал, — эти люди по-прежнему со мной, некоторые — мои партнеры и соучредители. В сентябре 2010 мы собрались в подвале в Денежном переулке, «в тени МВД», как о нас написали.

— Не в гараже?

— Нет, у нас холодно, поэтому в гаражах ничего не начинается. 1 сентября запустили первый этап нашей сети и начали думать, как протестировать работоспособность, и тут случилась атака на «Хабрахабр». Этот портал стал нашим первым коммерческим пользователем.

К моменту запуска мы помогли более 600 компаниям, но без контрактов, обязательств и без оплаты. Единственное условие было с нашей стороны — чтобы компания соответствовала духу МГУ, поэтому «Дом-2» мы долгое время не брали.

— Но потом взяли?

— Когда стали коммерческой компанией, отказаться не смогли, иначе они могли бы пожаловаться в ФАС.

— У вас есть клиенты вне России?

— Да, самые крупные заказчики у нас уже полтора года как не из России, а 30–40% выручки — не российского происхождения. Но я считаю, можно и лучше. Есть объективные внешние факторы, но на них всегда можно что-то списать.

Продукт получился мирового уровня, и это доказывают неудавшиеся попытки вхождения на рынок зарубежных игроков. Некоторые даже дотировали российский продукт на 50% от глобального ценника, но мы успешно сдержали этот натиск, они вынуждены были вернуться к обычным ценам.

Фото: Антон Карлинер / «Хайтек»

Сейчас у нас три офиса, два в Москве, один в Праге, штат — около 60–70 человек, есть люди на удаленке — в Иркутске и в Самаре. Наши заказчики расположены во всех часовых поясах от Индонезии, Малайзии и до США, нам нужно обеспечивать работу 24/7.

— Вы берете деньги за подписку?

— Да, у нас публичная оферта и, к сожалению, не все заказчики в нее помещаются. У многих есть необходимость соответствовать бюджетному процессу. Мы готовим коммерческое предложение, которое гарантирует фиксированную цену ежемесячно, в конце года идут скидки, в пересчете на месяц получается фиксированная стоимость. Мы изначально играем вдолгую, не пользуемся бедственным положением заказчика и не берем с него втридорога, потому что у него все «болит».

К нам когда-то пришел маленький интернет-магазин матрасов под названием «Аскона». Я видел, как растут трафик и бизнес. Мы говорим им каждый год: «Ребята, вы переплачиваете, давайте переведем вас на другой тариф». Они отвечают: «Все работает, не надо ничего трогать!».

— А почему получается дешевле?

— Мы закупаем трафик, каналы связи у поставщиков. Если можем гарантировать выкуп определенного объема полосы, то его стоимость снижается.

— Cейчас маленький интернет-магазин может позволить ваш продукт?

— Для маленьких интернет-магазинов у нас существовал специальный тариф — 5 тыс. рублей в месяц, который мы называли социальным. Он не окупался, но это самая лояльная публика, которая евангелизирует продукт.

Пример: девушка позвонила из Санкт-Петербурга, она два месяца как запустила маленький интернет-магазин, event-менеджмент, разместилась в Директе — и пришла DDoS-атака с требованием убрать рекламу. Я сказал — даже если в ноль, все равно беремся. Но мы работаем только с юридическими лицами, это значит — счета, акты, сверки. «Почтой России» отправлять нельзя, расходы на курьеров сделали услугу убыточной. Но у нас есть партнер, который с нашей лицензией и технологиями будет пытаться зайти на этот рынок. Желаем им удачи, потому что мелкий бизнес тоже страдает от атак.

Существует бесплатный CloudFlare, но у него есть технические ограничения на стыке технологий и государственного регулирования: на одном адресе может быть несколько веб-страниц, если вам не повезет (а это русская рулетка), то вы можете оказаться на одном IP-адресе с запрещенным Роскомнадзором сайтом и будете недоступны.

«Настоящих профессионалов DDoS-атак не видно»

— Бизнес организации DDoS-атак ведь тоже растет и развивается?

— Конечно, более того, активно пытается легализоваться. Если набрать в Google или «Яндекс» «стрессер», вы найдете множество объявлений. На этом рынке по-прежнему есть новички и любители.

Хороший пример — пара тинейджеров из Израиля, запустивших один из самых крупных стрессеров в сети. Их хакнули, выложили всю информацию о них самих, их заказчиках, и ФБР взяло их тепленькими. Ребята настолько не прятались, что использовали свои настоящие имена, емейлы. ФБР предъявило обвинения не только организаторам (они попали в тюрьму), но и прошлось с судебными делами по базе данных клиентов — те тоже использовали свои реальные имена, кредитки.

Но настоящих профессионалов не видно. Уровень атак постоянно растет. Коммерческую атаку сразу видно — работает группа людей, у каждого своя специализация, они сидят в разных часовых поясах, идет передача по смене. Появляется новый класс атак — State Sponsored, их проводят спецслужбы.

— Вы их тоже видите?

— Свечку не держали, но догадываемся.

— А что вы имеете в виду под легализацией DDoS-атак?

— Доходит до смешного. На многих сайтах можно заказать услугу и оплатить картой, значит, компания прошла строгий комплаенс, подключаясь к кредитной системе. Многие пытались говорить: что вы, мы делаем нагрузочное тестирование по заказу пользователей. Но это попытка играть в серую, когда это в чистом виде криминал.

Фото: Антон Карлинер / «Хайтек»

— А в России?

— Этот вид деятельности криминализирован, за него можно получить срок, что регулярно происходит. И заказчики тоже попадают. Интересно, что многие сайты, организующие DDoS-атаки, сами находятся под защитой от CloudFlare. Это конкурентный рынок, они друг друга ддосят.

«Самое время сделать для IoT ПДД и техосмотр»

— Куда это все движется? Какие новые угрозы нас ждут?

— Мы год от года отслеживаем одни и те же тренды. Есть три крупных фактора, влияющих на уровень DDoS-атак. Первый, самый важный — распространение интернета вещей. Есть такая шутка — в аббревиатуре IoT буква «s» означает security. Миллионы устройств выходят на рынок, потребители ставят их у себя дома и забывают, для них это — вещь. Для производителя — тоже, его задача — продать и забыть. Вы получаете устройства с заведомыми уязвимостями, которые никогда не будут исправлены. Уязвимость можно применить для запуска глобального ботнета.

Второй фактор — распространение IPv6. Ботнет Mirai был построен на видеокамерах. Пользователь хочет иметь доступ к камерам вне дома — в офисе, в путешествии, чтобы знать, как там дети, кошки. В маршрутизаторах есть функция (P)NAT (Port Network Address Translation) — когда под одним IP-адресом в домашней сети скрывается несколько устройств. NAT появился потому, что адресов по IPv4 стало не хватать. Если каждому устройству сейчас выдать по IP, то адресов не хватит даже на Северную Америку, не говоря уже о Китае и Индии. NAT работает примерно как диод — устройство за NAT может устанавливать соединение с исходящим трафиком, а к устройству никто не может установить соединение. Но можно проковырять дырочку в NAT — прийти, настроить руками, и у вас через веб-интерфейс будет доступ к своей веб-камере. Все это сделали, а камеры оказались с дыркой. Как только вы посылаете пакет с эксплоитом, то получаете контроль над камерой. Получился ботнет из камер (эксплоит — программа или фрагмент программного кода, использующие уязвимости в ПО для атаки на систему — «Хайтек»).

До того, как его стали использовать в наступательных целях, народ на хакерских форумах собирал видео с камер со всякой клубничкой. А вы думаете, у телевизоров LG лучше с безопасностью? А у холодильников с доступом в интернет, у светильников, у детских кукол? IPv6 появился, чтобы решить проблему нехватки адресов, NAT становится не нужен, у каждого устройства честный IP-адрес. Но новые технологии — это новые вызовы. Пока не будут выработаны практики применения нового протокола, будет пролита кровь. Вместо ботнета из камер будет ботнет из холодильников, чайников, лампочек.

Третий фактор, набирающий обороты, — растущая скорость мобильного интернета. Я живу за МКАДом, интернет по проводу у меня в десять раз медленнее, чем интернет от мобильных операторов. Мобильные ботнеты раньше доставляли больше проблем оператору связи, так как мобильная сеть схлопывалась под нагрузкой. Сейчас сети стали быстрые, устойчивее, и подключаться будут к ним, а не к домашней сети — через устройства с симкой к вашим холодильникам, камерам и прочему. А они по-прежнему без защиты, потому что практика выпуска устройств по минимальной цене никуда не делась. В ближайшее десятилетие мы без работы не останемся.

Фото: Антон Карлинер / «Хайтек»

— Производитель должен что-то поменять?

— Производитель не будет ничего менять, пока не появятся индустриальные требования, сертификации. Индустрия IoT показала, что она не в состоянии самоорганизоваться и выработать разумные правила. Ситуация напоминает раннюю эпоху автомобилестроения — тогда можно было в гараже собрать автомобиль и выехать на нем на публичную дорогу, создавая риски для общества. Индустрия должна договориться, что у автомобиля будут аптечка, тормоза и все остальное. Выехал в интернет — обязан соответствовать требованиям и не создавать опасности для других участников движения. Ответственность должен нести не только водитель, но и производитель, продавший оборудование. Самое время сделать для IoT ПДД и техосмотр.

— То есть государство должно этим заниматься?

— Государство, ООН, ITU (International Telecommunication Union). У IETF (Internet Engineering Task Force, Международный совет интернета — «Хайтек») на днях появилась бумага с требования по IoT, работа идет.

«Интернет — вовсе не ровное поле»

— Как вы себя продвигаете? Обычный пользователь в большинстве своем ничего не слышал про Qrator.

— Долгое время у нас был нулевой бюджет на маркетинг. Единственное, что мы делали и продолжаем делать — если кто-то из сотрудников хочет выступить на конференции, компания финансирует. Мы много ездим, рассказываем, что делаем и наблюдаем. Технический маркетинг для нас работает.

С появлением пресс-менеджера выстроились отношения с прессой, и мы прекрасно понимаем: ситуация сложилась во многом из-за того, что бизнес неграмотный, а мы не в состоянии донести до него, какую практику нужно ввести. Мы для него инопланетяне, а пресса — переводчик.

У нас даже есть формат «Без галстуков»: всех собираем в баре и предлагаем задавать самые глупые вопросы, над которым никто не будет смеяться. Наша задача — выработать у людей цифровую гигиену, чтобы они «не ели с помойки». А в продвижении на нас работает хорошее качество продукта, евангелисты нас постоянно рекомендуют в соцсетях. Поддерживать качество — тяжкий каждодневный труд. Нам постоянно звонят, даже мне лично.

— Посреди ночи все еще приходится консультировать?

— Первые пять лет жизни компании это было нормой, я не мог быть без связи больше суток, чтобы сотрудники не устраивали забеги по стенкам. Сейчас уже сосредоточен не на операционном менеджменте, а на зарубежных клиентах.

— У вас нет идей разработать продукт для защиты предприятий от целевых атак?

— Мы любим говорить, что не занимаемся безопасностью, и это правда (на две третьих — точно). Безопасность стоит на трех столпах — конфиденциальность, целостность и доступность. Мы занимаемся только последним. Да, у нас есть еще один продукт, который мы в этом году коммерциализировали — это Qrator Radar, с которым мы пришли в «Сколково». Он контролирует целостность ваших анонсов в глобальной сети интернет на уровне BGP.

— А можно пример?

— Месяца три назад у клиента Amazon, криптобиржи, за 30 минут украли $150 млн с применением атаки на протокол BGP. Полтора месяца назад подобным образом была атакована одна из платежных систем. Все кредитные организации, особенно компании, которые используют технологию public ledger (блокчейн — «Хайтек») подвержены проблеме 51%: у кого квалифицированное большинство, тот и прав.

Фото: Антон Карлинер / «Хайтек»

Люди подразумевают, что интернет — целостная штука, испытанная годами. На самом деле, нет. Еще когда-то в IRC дети занимались тем, что устраивали network split, разделение сети. Такой же сплит можно устроить с блокчейном, получив в своей половине квалифицированное большинство, а значит, контроль. Все, что остается, — провести атаку, извлечь прибыль или заблокировать все операции и заняться вымогательством.

Об этой проблеме мы знаем с 2011 года. До нее начинают додумываться другие люди, не все из них хорошие. В 2015 году решились поднять флажок и прочитали на Black Hat, крупнейшей хакерской конференции, доклад о том, как с помощью манипуляций с BGP можно осуществлять атаки класса man-in-the-middle на протоколы шифрования с публичной инфраструктурой. Нас тогда никто не понял, но в этом году Принстон сделал исследование и представил его на USENIX, крупнейшем форуме по прикладному программированию. Они поставили ссылку на нас, подтвердили наши результаты и развили их дальше. Процесс идет, нужно, чтобы индустрия информационной безопасности осознала: интернет — это вовсе не ровное поле, которое нельзя разорвать, и занялась решением этой проблемы. А мы уже занимаемся.

— Это вы о Radar?

— Да, это самый крупный коллектор данных по BGP в мире, крупнее, чем RIPE Atlas, Cisco Umbrella: более 500 источников, которые мы собирали годами. На основе наблюдений данных из этих источников мы строим математическую модель интернета и в реальном времени можем видеть все инциденты, происходящие с вашей инфраструктурой. Если кто-то начинает манипуляции с маршрутами заказчика в глобальной сети, мы уведомляем его, что позволяет принять административные меры по минимизированию финансовых и имиджевых потерь.

— А насколько востребован такой продукт?

— За прошлый год мы подписали в России три контракта с компаниями номер один в своей сфере. Я очень рад, что в России есть настолько технологически развитые компании, которые видят ценность в этом сложном продукте. Часть из них переключилась от наших международных конкурентов, и фидбэк просто отраден.

Загрузка...
Подписывайтесь на наши каналы в Telegram

«Хайтек» - новости онлайн по мере их появления

«Хайтек» Daily - подборки новостей 3 раза в день

Big data на страже здоровья: как и зачем медицинские организации собирают и хранят данные
Тренды
Николь Миллс, Booking.com — об инновациях, agile-подходе и индустрии впечатлений
Кейсы
Слишком опасный нанопластик: как одноразовые пакеты превращаются в частицы-убийцы
Тренды
Здесь может быть ваша реклама: НАСА планирует заработать на космосе миллионы
Тренды
Идеи
Человек и квантовая теория: существует ли то, что мы не наблюдаем
Опасный криптотрейдинг: как киберпреступники угрожают виртуальным сбережениям и биржам
Тренды
Как через 20 лет будет выглядеть армия будущего
Тренды
5 финансовых инструментов, которые помогут инвесторам даже после падения криптовалюты
Тренды
Эдуард Фош Вильяронга: люди видят в роботе только внешность, забывая, что он следит за ними
Тренды
Доктор Куэй Во-Райнард, HIT Foundation: если страна требует суверенитета данных, мы построим для нее отдельный блокчейн
Кейсы
Роботы против мигрантов: какой вклад в ксенофобию и расизм делают технологии ИИ
Тренды
Идеи
«Хакинтош»: как собрать свой собственный Mac лучше, чем у Apple
Война скриптов — искусственный интеллект против навязчивой рекламы
Тренды
Как заново изобрести супермаркет: осознанность потребления, этика производства и роботы
Тренды
Каждый человек станет сам себе банком: цифровой мир отказывается от посредников между бизнесом и клиентом
Тренды
Архитектор вычислительной инфраструктуры «Платона» Александр Варламов — о будущем ИТ-индустрии в России, стартапах и разработке
Кейсы
Дмитрий Богданов, капитан сборной России по CS:GO — о стиле жизни киберспортсмена, тренировках и блокировках РКН
Тренды
Прайсинг, трекинг, скоринг, биллинг и другие технологии, которые двигают российский бизнес
Тренды
Идеи
Космос — наш дом: что осталось решить ученым, чтобы поселить человека за пределами Земли
«Педиатр 24/7»: как телемед-стартап подарил родителям спокойствие, а врачам — работу
Кейсы
Вас снова обманули: как человечество учит компьютеры определять фейки в интернете
Тренды
БиСи Бирман, Heavy Projects: ИИ должен иметь несовершенства — это элемент случая
Мнения
Артем Геллер, lab.ag: делая сервис для государства, ты помогаешь своей бабушке
Мнения
Акселераторы и инкубаторы: что выбрать стартапу на раннем этапе развития
Мнения
Вопрос доверия: как и почему изменилось отношение к телемедицине в России
Тренды
Правительственные криптопесочницы: как освободить финтех от давления закона и защитить потребителей
Тренды
Кейсы
Роман Нестер, Segmento: я верю корпорациям больше, чем маленьким компаниям
Суперагенты в недвижимости: как блокчейн и большие данные заменяют риелторов
Тренды
СМИ будущего: вертикальные видео, новости по запросу и смерть сайтов
Тренды
Тренды
Колонизация отменяется: почему терраформирование невозможно на Марсе
Сет Стивенс-Давидовиц: у людей гораздо больше непристойных и скверных мыслей, чем мы думали
Мнения
Умные города подвергают своих жителей опасности из-за датчиков освещения и радиации
Тренды
Геронтолог Обри ди Грей: жизнь длиной в тысячу лет — это побочный эффект поиска вечного здоровья
Мнения
Биоценоз в фарме: зачем нужна альтернатива антибиотикам и как работают лекарства нового поколения
Тренды
Чарльз Адлер, co-founder Kickstarter: я — панк-рокер, который раздвигает границы
Кейсы
Как ИИ меняет медицину: личный помощник для врачей, маршрутизатор в клиниках и разработчик лекарств
Кейсы
Эдвин Диндер, Huawei Technologies: умный город — это ничто
Мнения
«Если изобретение с ИИ не приносит пользу, сам продукт никому не нужен»
Мнения
Feature engineering: шесть шагов для создания успешной модели машинного обучения
Тренды
Мнения
Человек — это набор из пяти чисел: Игорь Волжанин, DataSine — о психотипировании с помощью big data
Карло Ратти, Senseable City Laboratory (MIT) — о городах будущего, третьей коже человека и роболодках
Тренды
Мы все — сенсоры: CEO SQream Ами Галь — о том, как обрабатывают big data
Кейсы
Что такое скрапинг: как Amazon, Walmart и другие ритейлеры используют ботов в борьбе с конкурентами
Идеи
Почему китайские подлодки-беспилотники станут самым опасным врагом под водой?
Идеи
Филипп Роуд, LSE Cities: самый кошмарный сценарий — беспилотники, ездящие по городу, чтобы не платить за парковку
Мнения
Юрий Корженевский — о том, как построить безопасные системы для банков на блокчейне
Блокчейн
Иннополис
Russian Robot Olympiad: как дети строят роботов и решают реальные инженерные проблемы
MyGenetics: ДНК-тесты, помогающие «взломать» организм, как компьютер
Тренды
Trade-to-Mine: как биржи привлекают трейдеров в условиях падения рынка
Блокчейн