«Хактивисты» Anonymous подали через сайт We The People официальную петицию в Белый Дом США с требованием признать DDoS-атаки «легальной формой протеста». В коротком, изобилующем пунктуационными ошибками тексте заявления говорится:
Распределённые атаки типа denial-of-service не являются ни в коем случае формой взлома. Это эквивалент постоянного нажатия кнопки «обновить» на веб-странице. В этом смысле они ничем не отличаются от любого протеста в формате «Occupy». Просто вместого того, чтобы группа людей занимала пространство возле какого-либо здания, эти же люди используют компьютеры для того, чтобы оккупировать конкретный веб-сайт с тем, чтобы замедлить (или прекратить) его работу на краткий период времени.
Если данное обращение собирает 25 тысяч подписей к конкретному сроку, то его будут рассматривать на официальном уровне. В данном случае нужное количество голосов должно быть собрано к 6 февралю. На момент публикации там всего 3996 подписей, так что ещё не факт, что очередной «прикол» удастся.
Anonymous в традиционных масках Гая Фокса на акциях протеста против Церкви Сайентологии (Wikipedia)Кстати, в конце прошлого года сетевые затейники собрали нужное количество подписей под обращением к властям США, в котором содержалась просьба собрать необходимые средства и с 2016 года начать строительство «Звезды Смерти» — боевой станции из «Звёздных войн». Ответ из Белого Дома пришёл блестящий: дескать, правительство США против разрушения планет и, кроме того, не видит смысла строить то, что может разрушить «пилот одноместного космического корабля». Sapienti sat.
Но вернёмся к нынешней петиции о легализации DDoS-атак.
Прежде всего, необходимо отметить, что Anonymous — это не организация и даже не сколько-нибудь чётко оформленное «общественное движение». Несмотря на всю их геральдику и популярные атрибуты типа маски Гая Фокса, громкие заявления и многочисленные нашумевшие акции, проводившиеся как в Сети, так и в реальной жизни, Anonymous — это анархическая аморфная сущность, по сути, «кибертолпа», у которой нет ни лидеров, ни какой-либо чёткой программы, только некое коллективное понимание высшей справедливости, поклонение свободе слова без ограничений и вообще стойкое неприятие каких бы то ни было ограничений в принципе, а также устоявшиеся методы коллективного воздействия на противника, кем бы он ни был. К этим методам, среди прочего, относятся DDoS-атаки (обычно осуществляемые с помощью инструмента нагрузочного тестирования сетей LOIC). Проблема в том, что в США DDoS-атака является уголовным преступлением. Это никого не останавливает, тем не менее, условные Anonymous требуют декриминализировать DDoS.
Условная эмблема Anonymous (Wikipedia)Можно ли всерьёз рассматривать эту петицию? И можно ли всерьёз воспринимать сравнение DDoS-атак с протестными акциями типа вошедших в моду в прошлом году «оккупаев»?
Справедливости ради придётся признать, что движение Occupy Wall Street действительно представляло собой «офлайновую» версию DDoS-атаки, направленной, правда, в отличие от «обычных» DDoS, не против конкретных мишеней (банков или корпораций), а против сложившейся социально-политической ситуации в США и в мире в целом. Определённо, OWS войдёт в историю, даже если никаких конкретных юридических и социальных последствий у него так и не случится.
Кстати, в истории США был эпизод, когда акции протеста, сходные по форме и содержанию с OWS (и также являвшиеся офлайновыми DDoS-атаками) имели важные и позитивные последствия.
Около полувека назад, когда в США началась системная борьба правозащитников с сегрегацией, члены Движения за гражданские права стали регулярно устраивать «сидячие забастовки» (так называемые «sit-in», что скорее можно перевести как «заходы») в ресторанах и забегаловках с табличками «только для белых». То есть, люди просто приходили, делали заказы и/или предъявляли свои требования — и подолгу не уходили, мешая обслуживать других клиентов. Обычно всё подобные акции заканчивались полицией и штрафами. И хотя протесты носили мирный характер, не сопровождались ни порчей имущества, ни членовредительством (если только полиция не проявляла излишнего рвения), букве закона такие «заходы» противоречили, спокойствие граждан определённо нарушали, да и без косвенного ущерба — упущенной выгоды — для «оккупируемых» заведений дело явно не обходилось. Так что у многих были причины как минимум не одобрять подобные «выходки» и «заходы».
Конечным результатом этих действий, однако, стала юридическая отмена сегрегации в 1964 году.
Но вернёмся к сетевым DDoS-атакам. С одной стороны, заблокировать доступ к тому или иному ресурсу посредством заваливания его «мусорным» трафиком — это не то же самое, что взломать и уничтожить данные на сервере или подсадить на сайт какую-нибудь зловредную пакость, которая будет заражать пользовательские компьютеры и воровать пароли к банковским счетам. То есть, нанесение прямого и необратимого материального ущерба не предполагается.
С другой стороны, однако, для коммерческих ресурсов не так уж и важно, подверглись они взлому или продолжительной DDoS-атаке — последствия могут быть одинаково тяжёлыми.
— Если говорить с точки зрения общечеловеческой логики, то DDoS-атака блокирует доступ к информации, что в ряде случаев может нанести ущерб владельцу сервиса или сайта, в том числе и материальный, — говорит Сергей Никитин, ведущий эксперт компании Group-IB. — Представьте, что некая группа граждан блокировала бы телефонные номера экстренных служб. Точно также предлагается легализовать блокирование доступа к любому серверу в сети Интернет. Вне зависимости от политических причин данное действие несет общественную опасность.
В этой связи вспоминаются «политические» DDoS-атаки, которым подвергались российские общественно-политические и деловые издания в период выборов и общественных волнений в 2011-2012 годах. Источником атак в большинстве своём были заражённые компьютеры в Индии, однако понятно, что управление ботнетом осуществлялось из России. Целью вышеупомянутых атак было «заткнуть рты» неугодным средствам массовой информации и помешать им освещать социально значимые явления, происходившие в стране. Общественная опасность данного деяния налицо.
Кроме того, для электронного СМИ отсутствие доступа к его сайту — это ещё и невозможность выполнять свои обязательства перед рекламодателями, а следовательно DDoS-атака представляет собой прямое воспрепятствование ведению законной деловой деятельности, результатом которой становится финансовый ущерб.
К тому же, вне зависимости от цели DDoS-атаки, равно как и средств, используемых для её проведения, вред наносится отнюдь не только непосредственной мишени.
— Если на секунду представить, что такая форма протеста станет легальной, для хостинг-провайдеров и всех их клиентов это будет иметь катастрофические последствия, — заявил «Компьютерре» Павел Храмцов, директор по информационной политике компании RU-CENTER. По его словам, при атаке на какой-либо ресурс, расположенный у хостинг-провайдера, нагрузка ложится сразу на всю инфраструктуру оператора.
— Соответственно, могут оказаться недоступными и все остальные ресурсы, расположенными этого провайдера. В отдельных случаях это будут десятки и сотни тысяч сайтов, — отметил Храмцов, добавив, что DDoS-атаки являются по сути «экономическими преступлениями».
Кстати, о преступлениях: как уже упоминалось выше, в США осуществление DDoS-атак признано уголовным правонарушением, причём ещё в прошлом десятилетии. Будучи пойманными, организаторы атаки рискуют отправиться «загорать в клеточку» на долгие годы. Аналогичные законы за последние годы были приняты и в Великобритании, и в некоторых других странах.
В России отдельной статьи за осуществление DDoS-атак нет, однако, как пояснил Павел Храмцов, DDoS можно отнести к методам нарушения штатной работы программ и компьютерных сетей, за что уголовным кодексом РФ предусмотрена-таки ответственность. Правда, реальных уголовных дел и судебных процессов по фактам проведения DDoS в России, мягко говоря, немного.
Итак, в сухом остатке: DDoS-атака всегда затрагивает не только непосредственный объект, но и всю инфраструктуру оператора, иногда накрывая совершенно случайные «цели»; объекту атаки может наноситься — и часто наносится — прямой и непосредственный ущерб; большинство DDoS-атак осуществляется в хулиганских или прямо преступных целях, а в качестве орудия выступают сети заражённых вредоносным ПО компьютеров — ботнетов, создание и поддержка которых — криминальное деяние само по себе.
В случае гипотетической легализации DDoS как формы протеста, любые киберхулиганы и преступники, устраивающие атаки в целях вымогательства, могут объявлять себя членами Anonymous, а свои действия — «легальной формой протеста». И тогда обвинение, извините, вспотеет доказывать, что на скамье подсудимых — банальный киберуголовник, а не идейный борец с мировой финансовой гегемонией.
В обсуждении новости о петиции Anonymous на Хабрахабре некоторые комментаторы «включили фантазию» и предложили возможные варианты частичной легализации DDoS: например, признать атаки, устраиваемые с помощью LOIC легальными, а с помощью ботнетов — преступными; ещё один вариант — подавать властям уведомления о готовящейся «акции протеста» заранее, как это сегодня положено делать в России.
Как бы там ни было, слишком трудно представить себе, что американские законодатели станут всерьёз рассматривать подобные предложения. Ответ на петицию Anonymous будет отрицательным практически гарантированно.
Остаётся надеяться, что Белый Дом на сей раз отшутится столько же виртуозно, как это было в случае со «Звездой Смерти».