Почему сайт «Зенита» не могли долго восстановить?
Почему сайт «Зенита» так долго не могли вернуть в нормальное состояние, мы обратились за комментарием к специалисту — гендиректору компании WebMaster.Spb Андрею РЯБЫХ.
— В результате атаки сайт «Зенита» не пострадал, а переместился на другой ip-адрес. Это легко сделать?
— Все просто: система работает так, что, когда вы набираете адрес сайта, компьютер превращает его в цифры. На компьютере провайдера есть таблица, где адресу сайта соответствует определенная комбинация цифр. Если их заменить, то фактически адрес поменяется, хотя название останется то же. Взлом на уровне провайдера чаще всего и происходит.
— Как можно получить доступ к этим таблицам?
— Нужно взломать программное обеспечение либо провайдера сайта, где располагается хостинг, либо начального (национального) провайдера. Начальные провайдеры обеспечивают доступ к каналам связи другим провайдерам. Их обычно не взламывают, это сложно. Хотя нет программного обеспечения, которое нельзя взломать, – это лишь вопрос денег. Но мне кажется, в данном случае вряд ли была проведена серьезная хакерская работа. Скорее всего, на уровне провайдера была утечка: кто-то по дружбе раскрыл пароль.
— Доступ к таблицам позволяет изменить содержание сайта?
— Да, чаще всего хакерские атаки на это и направлены, но в данном случае содержание сайта не пострадало.
— Почему сайт так долго не могли восстановить?
— Во-первых, есть такое понятие, как кэширование. Все изменения в таблицах, о которых я говорил, сначала сохраняются локально, на компьютере провайдера. Затем они переносятся на промежуточные серверы, ближе к пользователю, чтобы предотвратить их постоянную загрузку с сервера-источника. А это занимает некоторое время, часа три. Во-вторых, наша вечная проблема – организационные вопросы. Чтобы все наладить, нужно найти провайдера. А позвонить провайдеру и сказать, что ты клуб «Зенит», ведь тоже нельзя – без документов кто поверит? На все эти формальности и уходит время. А может быть, есть другие причины.
— Потом сайт восстановили, но почему-то он работал не у всех: на некоторых компьютерах сайт выводит рекламу хакерских услуг.
— Я затрудняюсь сказать, что произошло. Может быть, пока систему восстанавливали, был подготовлена еще одна атака. А может быть, измененный адрес сайта был разослан не на все сервера. Скорее всего, хостинговый план не очень хороший, дешевый. Его можно поменять, но я, например, не знаю провайдера, который наряду с другими услугами может предложить защиту сайта от хакерских атак. Думаю, у нас такого нет. В принципе, хакеры могут держать сайт под контролем очень долго – пока у них деньги не закончатся.
— Подозреваемый в атаке на сайт задержали в Петербурге. Хотя сначала искали в Новосибирске. Это вообще сложно - найти хакера?
— Хакеры всегда оставляют хвосты, по которым их можно вычислить. Первичные хвосты, которые были оставлены, вели в Новосибирск. Это такая попытка запутать: вы через свой компьютер заходите на сайт в Люксембург, оттуда на сайт в Новосибирск и потом, к примеру, замыкаете цепочку – сайт «Зенита». Если тут и правда была проделана такая работа, то это смешно: такую короткую связку легко раскрыть. Когда работают серьезные хакеры, то хвосты оставляют по всему миру – распутать такую цепочку тоже можно, но это очень затратно. Если работать с ноутбука, используя съемный модем, да еще и в машине во время движения – тогда ip-адреса будут меняться, и это серьезно усложнит поиски.
— Почему на сайт «Зенита» нельзя было выйти только в России?
— Да, я сегодня разговаривал со знакомой из Ирландии, и у них все работает. На самом деле, на уровне провайдера можно контролировать, кто что будет видеть под тем или иным адресом. В прошлом году был случай, когда некая фирма на сайте одной компании разместила баннеры, предлагающие сотрудникам на более выгодных условиях устроиться к ним на работу. Эти баннеры видели только работники офиса, остальные пользователи выходили на обычный сайт.
— А с ЖЖ недавно что было?
— Это совсем другой случай. Тут ничего не взламывали. Это была организованная внешняя, или DDoS-атака: несколько сотен тысяч компьютеров одновременно обращались к сайту ЖЖ каждую секунду, и кабель просто не справился с таким количеством запросов. Это как тонкая труба, в которую льют слишком много воды: она не выдерживает, часть воды не доходит. Так и здесь: кто-то в ЖЖ заходил, у кого-то не получалось. Такую атаку можно провести на любой сайт. Бороться с DDoS-атаками пока никто не научился. Другой вопрос – кто и зачем организовал ее, ведь на это требуется такая сумма денег, за которую хакеры все что угодно взломают.