Просмотров: 17013

Кто стоит за DDoS-атакой на president.gov.by?


Мы готовим серию об ныне актуальной теме сетевой анонимности и приватности, чтобы показать с одной стороны реальные угрозы, а с другой — эффективные и доступные инструменты по защите от них. Но прежде чем мы начнем наш практический курс по заявленной теме, позвольте для начала вводную статью, чтобы хоть как-то наглядно проиллюстрировать положение дел с этой самой сетевой анонимностью, которое сложилось в нынешнем Интернете.

Т.е. этим я хочу сказать, что она (анонимность) скорее отсутствует вообще, чем имеет место быть. И речь пойдет даже не о каких-то сверхъестественных системах типа СОРМ, или гигабайтных логах ведущихся могущественными спецслужбами на всех нас смертных с момента вашего рождения на этой прекрасной голубой планете, а об обычном обывательском уровне — когда даже в этой повседневной плоскости сетевая анонимность чаще всего отсутствует как класс, позволяя при минимальном усердии и желании откапывать в бесконечных сетевых безднах информацию практически на любого человека, успевшего хоть более менее засветиться в этом виртуальном пространстве.

И хотя факты эти, в общем-то, находятся в открытом доступе, и чужое любопытство здесь не является каким-то преступлением, давайте сегодня, уж коль мы решили перед нашим практическим курсом провести максимально убедительную  демонстрацию тотальной уязвимости приватности всех и каждого, добавим к нашему примеру некую общественно-полезную нагрузку. Чтобы, уж коль мы потратим некое время в ковырянии с пристрастием в пахучей куче мирового интернета, была бы от этого какая-то польза и для общества нас окружающего.

Поэтому сегодня я выбрал для нашей демонстрации с недавних пор негативно известный в Беларуси проект ПутинВзрываетДома, который, как известно, примерно две недели назад отправил главный белорусский государственный сайт — сайт Президента Республики Беларусь, — в глубокий даун. Поскольку с белорусской стороны сухой правительственный пресс-релиз ведет речь о неких «неустановленных злоумышленниках», а со стороны проекта-инициатора этой DDoS-атаки кроме заявления «об успешном включении низкоорбитальной ионной пушки» ничего не последовало, давайте тогда самостоятельно попробуем создать информационный контекст к этому новостному поводу.

Не TCP/IP моё IP

Давайте из праздного любопытства попробуем пощупать за мягкие места анонимусов стоящих за прицелом уже популярной в России «низкоорбитальной ионной пушки», которые за не столь богатый срок успели провести мощнейшие DDoS-атаки сайтов партии Единой России, ФСБ, сайта студии Михалкова и других видных политических, общественных и сетевых деятелей Рунета. Технически суть проекта очень проста: зайдя на сайт проекта ПутинВзрываетДома, каждый сочувствующий может воочию наблюдать большую красную кнопку, нажав которую он становится пассивным соучастником DDoS-атаки на целевой сайт, путем запуска у него в открытом браузере javascript'a (и Flash-составляющей механизма связи с сайтом проекта), генерирующего поток ложных запросов на указанный целевой сайт-жертву.

Если, как в случае с партией Единая Россия, у сайта было 300 000 уникальных посетителей нажавших эту кнопочку, то конечно, сайт главной российской политической партии пропал из зоны видимости довольно быстро, и как ехидно констатирует анонимус с проекта ПутинВзрываетДома: «у них не было никаких шансов».

Получается, что это — своего рода социально-ориентированный DDoS-проект — каждому зашедшему дают право высказать свою гражданскую позицию, пусть и в таком несколько неконструктивном и противозаконном виде.

Низкоорбитальная ионная пушка

Что же касается вызывающего вопросы названия самого проекта (так как этот вопрос звучит наиболее часто), тот тут в названии сайта сделана отсылка к известным событиям 2000 года с взрывами жилых домов (см. ru.wikipedia.org/wiki/Взрывы_жилых_домов_в_России). Короче, ресурс чрезвычайно политически ангажирован, ставший инструментом неких очень невнятных политических разборок. Позже трактовка названия сайта изменилась на более мягкую, вот что в поздних интервью об этом говорят сами авторы ресурса: «Поначалу у сайта не было никакого названия вообще. Название появилось случайно.

Дело в том, что один из наших программистов, который кстати работает в компании занимающейся коммерческим сносом зданий, был очень похож на Путина, и когда была открыта свободная регистрация доменов в зоне .рф мы в шутку зарегистрировали домен путинвзрываетдома.рф, ну, а потом уже перенесли сайт на этот адрес, а после проведения пары успешных атак стали смеяться, дескать он „взрывает дома… и сайты!“ ".

 

Оставим на совести самих авторов степень веселости того что они делают (а также компетентных органов, которые как достоверно известно, почему-то традиционно плохо понимают подобный юмор), просто пожелаем программисту проекта всё-таки больше сосредоточиться на прямых должностных обязанностях (сносу зданий), желательно при этом оставив сайты Рунета в покое.

Здесь же мы просто мимоходом отметим интересную эволюционную особенность: за 100 лет пролетариат успешно сменил мостовые булыжники на настоящее оружие 21 века — совершенные и мобильные DDoS-машины, с помощью которых всё тот же чумазый пролетариат, время от времени вылазя из-под земли, по-прежнему пытается бузить насчет своих каких-то весьма туманных прав. Впрочем, хватит отвлечений и пояснений о сути рассматриваемого нами сегодня проекта, переходим к поиску таинственного жизнерадостного анонимуса за ним стоящего (судя по его оптимистичным интервью, в которых каждый раз категорично заявляется о невозможности его поимки), подержать в руках которого за мягкие места я торжественно обещал вам в начале этой статьи. 

Парсеры не спят

Конечно, я сделал столько вводных слов, что руки уже буквально чешуться, итак: начнем сразу с whois, вот вывод этой службы для домена putinvzrivaetdoma.org:

Registrant Name: Helga Putana
Registrant Street1: Lenina street 10, ap. 29
Registrant City: Moscow
Registrant Phone:+7.49523498745
Registrant Email: brigadioeedr@gmail.com

Да, маловероятно, что Helga Putana сама лично проживает в Москве и атакует по вечерам сайт ФСБ России, поэтому далее не обращаем внимание на эту смелую девушку с солидной татарской фамилией, а сразу вырываем из выдачи контактный e-mail „brigadioeedr@gmail.com“ и вбиваем его в строку поиска Google. Как и ожидалось, информации не густо, данный адрес почты встречается у некоего пользователя на одесских форумах, но этого слишком мало, поэтому ожесточенно роем дальше. Пытаемся восстановить пароль этого e-mail в Gmail — сам Google любезно подсказывает нам, что адрес запасного e-mail'а начинается на u, сам домен из трех букв, при этом уже очевидно, что это домен первого уровня — net. Спорю на любое количество пива, что это почта в домене ukr.net — столь популярный у украинцев, как в Беларуси tut.by!

Пробиваем хостинг сайта putinvzrivaetdoma.org на соседей, т.е. смотрим какие ещё сайты  хостятся на данном IP (делающих это сервисов в интернете полным полно, даже не буду приводить здесь рекламу какого-либо отдельного), итак:

Работающих доменов (сайтов) на этом сервере (кстати, размещенном в стране тюльпанов и деревянных башмаков — Голландии) не много, это a.anon.fm и anon.fm. Быстро прогоняем их через whois:

Registrant:
Name: Pavel Zhovner
Address:
10 Lenina str. Apt. 1
Odessa 68001 UA
Phone Number: +380.986506942

Если сравнить с первоначальным адресом, то улица идентична, человек опять из Одессы (Украина), но этого пока слишком мало. Только косвенные улики…

 Вбиваем теперь ФИО („ Pavel Zhovner“) этого пока потенциального анонимуса во всемогущий Google, терпеливо фильтруем богатую выдачу его бурной сетевой жизни, пока: не находим на третьей странице серпа его пост на Хабрахабр, где этот анонимус прямо так, прямым текстом, спрашивает у публики:

"15 ноября 2010 года я зарегистрировал домен путинвзрываетдома.рф. 26 января 2011 года был закрыт мой хостинг с формулировкой: „ площадка стала предметом следственных действий, проводимых ФСБ РФ. В целях недопущения изменения контента эта площадка была нами заблокирована.“ Мне инкриминируется статья 273 УК РФ. Можно ли как-то вернуть домен в этой ситуации, будучи не резидентом РФ?» 

— наивно задает Павел вопрос в зал. Благо, здравый смысл у него взял вверх, и он удалил этот пост уже через час после публикации, но этого мало, -  крик о помощи навсегда застрял в кэше Google, откуда мы и выковыриваем его бережно на свет божий. 

Срываем сетевые маски

То, что за putinvzrivaetdoma.org стоит, как он сам про себя говорит, «не резидент РФ», было ясно ещё в самом начале нашего забега, но этот откровенный пост приносит нам вожделенные подробности, которых мы так жаждали: из профиля автора этого поста на Хабрахабре, мы получаем все его детали: Павел Жовнер, Откуда: Украина, Одесская обл., Одесса. Контактный e-mail — pavel@zhovner.com. Так-так-так, на его личном домене zhovner.com, кстати, есть и его одесский  телефончик: +38 (098) 650–69–42. Сопоставляем телефон с выдачей whois для домена a.anon.fm, а также с последними цифрами телефона в сервисе восстановления пароля для brigadioeedr@gmail.com (контактного владельца искомого домена putinvzrivaetdoma.org) — видим, что это один и тот же телефон и человек из Одессы. Ну, теперь,  Павел Васильевич — держитесь. Уже целенаправленно «курим» поиск Google.  В том числе, находим в кэше Google давнее объявление об устройстве на работу с его кратким резюме (я думаю, это как раз подойдет ФСБ/КГБ для заведения его личной карточки в своем архиве учета, для чего я любезно привожу его здесь):

 

Жовнер Павел Васильевич
Возраст: 22 года
Откуда: Украина, Одесская обл., Одесса
Образование: Неоконченное высшее Одесский политехнический университет (Спец. системы и сети)
Опыт работы: Обслуживание локальной сети из 30 машин, unix-шлюз, подсчет трафика, консультация пользователей (2,5 года)
Моб. тел.: +38 (098)6506942
Профессиональные навыки:
Администрирование сетей TCP/IP;
Обслуживание и монтаж ЛВС;
Опыт администрирования UNIX-подобных ОС (Linux, FreeBSD)
Написание Bash-скриптов
Установка и настройка веб-сервера Apache+php+MySQL и Nginx
Организация общего доступа в Интернет на базе UNIX серверов (NAT, DHCP, ipfw, iptables, squid);
Контроль интернет-трафика
Резервирование данных с помощью Amanda
Организация VPN туннеля (PPTP, OpenVPN)
Опыт работы с сервисами — FTP (Proftpd), Samba,
Опыт администрирование систем Windows XP/2k/Vista; Установка и настройка ПО
Хорошее знание компьютерного «железа» и оргтехники;
Технический английский (на уровне чтения документации).

 

  Найдя его Twitter и LiveJournal можно узнать о нем все, в том числе, когда он выезжал (и собирается этим летом) на территорию России для отдыха (я думаю, ФСБ РФ особенно заинтересуют эти данные), какие у него личные проблемы и чем вообще, так сказать, живет и дышит этот молодой и амбициозный анонимус.

Но, в силу ограниченности места для этой статьи, мы опустим эти выдающиеся личные факты, достаточно точного адреса его проживания для его полной деанонимизации, а личные проблемы с девушкой Олей (и многое другое, описанное в его журнале) — это уже скорее как дополнительный штрих для составления адекватного психологического портрета соответствующим службам, которым теперь, в век неуёмного научно-технического прогресса,  для этого даже не нужно отрывать зад от теплого насиженного места в кабинете, с зарешеченными окнами.

Но это ещё не все — дело в том, что его параллельный проект (anon.fm), на который как мы помним, он пожалел отдельный сервер и экономии ради разместил на putinvzrivaetdoma.org, — фактически на одной площадке с полукриминальным ресурсом, — позволяет узнать очень много и о его ближайших соратниках. Уже можно утверждать, что Павел — лидер проекта ПутинВзрываетДома, тогда как за техническое администрирование и дизайн/верстку отвечают ещё два отдельных человека, кстати, тоже граждане Украины. Теперь вполне логично, что проект DDoS'ил только сайты принадлежащие России и Беларуси, предусмотрительно не трогая собственно украинских сайтов, так сказать «во избежание».

К сожалению, на этом увлекательном месте, когда я уже стал распутывать сообщников Павла, жена в императивной форме послала меня за кефиром — не жителям Беларуси мне рассказывать, сколько часов сейчас нужно пробегать по магазинам, чтобы найти и купить вожделенный кефир (здесь я не имею ничего против социально-ориентированной экономики — просто это пост не про политику). Поэтому когда я, наконец, усталый, но счастливый (кефир был найден, вот удача-то привалила), вернулся домой и уселся за компьютер, сил и желания продолжать этот поиск уже не осталось. Впрочем, это не мешает мне удовлетворенно остановиться на достигнутом, и на примере этого поискового примера проиллюстрировать банальный в общим-то факт: если вы интернетчик со стажем — на вас можно «нарыть» такое количество информации, что даже будь вы анонимусом в бегах, пользующимся прокси и одноразовыми ноутбуками, найти и жестоко покарать вас (при способствующей этому карме) не составит особого труда, поверьте мне на слово.

Поэтому не стоит тешить себя напрасно мыслями об «анонимности в сети»: чем дальше развивается сеть, обрастая сервисами и собственной коллективной историей — тем реально сложнее соблюдать эту самую анонимность. Даже использование систем типа Tor или двойного VPN частенько не спасает самых осторожных пользователей, например, порождая при их использовании, так называемые DNS-утечки, по которым соответствующие службы уже многочисленное количество раз вычисляли сетевых злоумышленников (детали истории с задержаниями некоторых членов Lulz Security ещё у всех на слуху).

P.S.: Необходимое примечание — не моя функция кого-то в чем-то обвинять, поэтому, на всякий случай, считаю должным предупредить особенно впечатлительных читателей, что все совпадения с реальными людьми в этом мини-исследовании нужно считать случайными. Все приведенные ФИО людей и их адреса — взяты из открытых источников, а сама история приводится лишь в иллюстративных целях.

По теме: Павел Жовнер рассекретил IP-адреса всех пользователей Skype, Защити инсайдерские данные просто погуглив

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter

10 комментариев

Следите за комментариями по RSS
  1. Pavel Zhovner

    -----BEGIN PGP SIGNED MESSAGE-----

    Hash: SHA1

    Нуващепрямваще, вы такой крутой! Вы блестяще освоили поиск гугла в перерывах между побегушками за кефиром для жены.

    -----BEGIN PGP SIGNATURE-----

    Comment: Проверить подлинность https://zhovner.com/check.php

    iEYEARECAAYFAk4j3xgACgkQIMGD+D26DmNoEACeLfsayXbxY9Ymk/DpEGEK6gj6

    tSAAoNKuNGjaoUhug4QFKducu69tiq49

    =Ysjp

    -----END PGP SIGNATURE-----

  2. И ЧО НУ ЖОВНЕРА СПАЛИЛИ И ТАК ВСЕ ВСЁ ЗНАЮТ ЧО С ТОВО ТО?

  3. Ребяты, никто ничего делать (по крайней мере с моей стороны) не собирается, я вполне нормально к вам отношусь - всем вместе взятым. Я же написал - это написано чисто в иллюстративных целях (у меня редакционное задание было написать про миф анонимности), поэтому не стоит это всё уж так сильно воспринимать всерьёз, тем более, как правильно было замечено, - эта инфа уже была ранее засвечена в сети, просто я придал ей более публикательный вид, не более того.

  4. Да лаааадно. Так я уж и поверила тебе, кулхацкер мой.

    Да ты герой!

  5. привет всем

    забавная штука - как не крути а работает ведь, гугл помогает и очень здорово, его можно использовать и для защиты.. мне так подумается после прочтения всего текста, т.е. очень удобно создать целую цепочку разной информации, которая в случае если кому то захочется искать, проведет его по такому кол-ву сайтов и всевозможных сервисов, к пупкину васе, который о слове интернет слышал только из интернета, в том смысле что пупкин тоже должен любить интернет и если у него еще интересы похожи, представим что мы интернет хулиган - хахер или работаем с чем то что просто нарушат требования чего либо и несет за собой какие то разного рода наказания, можно легко таких пупкиных насобирать на форумах, пробить их по их блогам, соц сетям, асям, скайпам, даже жабке, итд, все следы свести к ним, вот так будет незадача у пупкина, желавшего кого то кинуть втюхивая несуществующие к примеру аккаунты для доступа к чему либо, когда к нему придут и спросят за это... т.е. за то что взломал или продал, не суть... но как же они удивятся что пупкин теперь не он а те кто к ниму пришел, т.е. те кто искал пупкина - будут очень рады...

    мне так думается... в общем опять дофига написал, о том что можно было 2-х в словах.

  6. эх, ты меня расстроил, знай, ты испортил настроение не одному десятку людей:(

  7. Евгения

    "если вы интернетчик со стажем — на вас можно «нарыть» ТАКОЕ"

    Интересный такой термин, "интернетчик", это что такое? Если о человеке можно нагуглить столько информации то наверное он не "анонимус со стажем", а просто рядовой пользователь сети. Всякие СОРМЫ и т.д. обходятся шифрованным дабл-впн и никакая секретная служба НИКОГДА вас не найдет.

    По поводу статьи. Я бы посоветовала вам убрать личные данные упомянутого человека, так как это не комильфо.

  8. Дорогая Евгения, во-первых, эта статья уже вышла в крупном печатном СМИ - поэтому убрать эти данные из паблика уже никак не выйдет, а во-вторых, сам главный герой статьи уже отметился здесь, и лишний раз подтвердил, что ему "все эти данные пофигу".

    Насчет дабл-впн - я же уже кратко упомянул в статье (в самом конце), что ловят даже профи сидящих за "дабл-впн" - здесь есть множество тонких моментов (DNS-утечки и прочее), знать о которых, учесть и устранить которые все вместе -- не всегда возможно. Уверяю вас, если вы перейдете дорогу спецслужбам реально крупных государств (типа Америки), а не местной милиции/полиции, - вероятность поимки, пусть и после возможно долгой слежки, будет ОЧЕНЬ высокой, даже если вы находитесь за хваленым Double VPN, Евгения. Удачи!

  9. Вы, автор, могли бы показать на примере кого-то другого. Подставили(помогли) хорошего человека. Хотя в общем публикация отрезвляющая. Надо быть поаккуратнее всем и хорошо разобраться в теме перед тем как шутить с опасными спецслужбами. На самом деле с кем-то разбираться, искать и сводить счёты не такая уж лёгкая задача. Если начать со всеми недовольными разбираться то поломается кровать. А с профи тем более.

    Павел, если это ты, я тебя уважаю.

  10. Я лично знаком с хозяином Путина Взрывающего и могу с уверенностью сказать, что вы раскрыли не того. Хотя бы потому, что никакого Павла Жовнера нет, вся инфа об этом человеке - фейк. Честно говоря, мне вас жаль, потому что вы очень доверчивый человек. Если вы мне не верите, можете приехать по адресу "Павла Жовнера" (Address: 10 Lenina str. Apt. 1 Odessa 68001 UA) и лично удостовериться, что никакого Жовнера там нет.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз