Работа в Стамбуле

Рубрика: Без рубрики

  • Дроппер площадки процессинга требует пересмотра дела по Туркмении

    Дроппер площадки процессинга требует пересмотра дела по Туркмении

    3 августа было отложено рассмотрение жалобы предпринимателя Савелия Бурштейну, который осужден на 6 лет колонии за легализацию и хищение 20 млн. долларов у Центробанка Туркмении об этом стало известно от РАПСИ в суде.


    «Президиум Мосгорсуда должен рассмотреть надзорную жалобу по защите предпринимателя в эту пятницу, 3 августа», — сообщила собеседница.



    Согласно версии следствия, в 2002 году преступная группа, в составе с Бурштейном, придумала план похищения денег из ЦБ Туркмении при помощи электронной системы платежей под названием «Свифт» из банка Германии, который принадлежал туркменскому регулятору. Привлекая осведомленных людей и организации, злоумышленники смогли перевести 20 млн. долларов в один из банков России, а точнее города Москвы.


    Следом за этим используя подставное лицо, не учитывая комиссионных, ими было получено 19,3 млн. долларов. Согласно предположениям следователей в состав группы входило 3 человека среди них 2 гражданина Туркмении и представитель московского банка.


    Бурштейн обвиняется в разработке плана хищения, а также занятии изучением всех нюансов столичного банка и возможности вывода денег, применяя для этого фальшивые документы, сделанные на гражданина Российской Федерации, проживающего в Саратовской области.


    Опыт работы на площадке Darkmoney через Туркмению



    Он не признает своей вины. Относительно мнения защиты, факт хищения денежных средств остается недоказанным, также не подтверждено, что данные 20 млн. долларов были именно Центрального банка Туркмении, так полное отсутствие финансовые документов не подтверждает нанесенный материальный ущерб.


    Также в 2003 году в Туркмении вынесли приговор и обвинили председателя банка и еще 2 женщин в хищении и растрате этих же денег.


    Из ЦБ Туркмении чудом похитили несколько десятков миллионов долларов 


    Речь идет не о похишщении наличности, а о переводе денег со счета ЦБ Туркмении. Делать такие переводы могли лишь две-три сотрудницы банка, имеющие доступ в комнату, где размещался компьютер, подсоединенный к электронной системе платежей SWIFT. По скудной информации из Туркмении, следствие якобы установило, что непосредственно переводы денег осуществлял некий Арслан Какаев, не понятно как проникнув в комнату с компьютером. Возможно, ему помогали те самые сотрудницы банка, имеющие доступ к системе.


    Так или иначе, Арслан Какаев, используя электронную систему платежей SWIFT, в течение нескольких месяцев переводил с резервного счета Центробанка деньги в различные банки России, Латвии и Гонконга. Всего перевел более 40 миллионов долларов. Из них 20 миллионов были отправлены в Россию. Сначала они поступили в «Русский депозитный банк», на счет компании «Сванситигруппбанк».


    Позже Арслан Какаев, являющийся по сути главным фигурантом дела, был убит, а другие причастные к хищению сотрудники банка Туркмении осуждены. Суд постановил взыскать с них украденную сумму.


    В России 20 миллионов долларов, пока велось следствие (а к тому же следственные органы РФ не сразу получили информацию из Туркмении об афере), куда-то растворились. С их пропажей и связано обвинение, выдвинутое против Савелия Бурштейна.


    В чем конкретно обвиняется Бурштейн? Обвинение пока не убедительно


    Пока сложно понять, какова же роль Бурштейна в этой истории — он действительно лишь перевозчик денег или же причастен и к их краже. Сторона обвинения, конечно, считает, что он именно участник аферы, который прибрал к рукам 20 миллионов долларов. Если это так и есть, то это должно быть доказано. Но пока убедительных доказательств не прозвучало.


    Как мы уже сказали выше, 20 миллионов долларов сначала оказались на счете, открытом в «Русском депозитном банке». Владелец счета — гражданин Вьетнама Ву Фыонг Нама. Что это за гражданин и почему ему пришли такие деньги из Туркмении? Ответа на этот вопрос нет, так как выяснилось, что паспорт этого гражданина — подложный, и на него был открыт счет в банке. Тем не менее, председатель правления банка Дмитрий Леус удержал 700 тысяч долларов в качестве комиссионных, а остальные 19,3 миллионов были обналичены и на инкассаторских машинах перевезены в «Индекс-банк». По версии следствия, затем Савелий Бурштейн на своей BMW X5 вывез эти деньги из «Индекс-банка» и передал другим соучастникам преступления.


    Бурштейн не отрицает очевидное. Но в остальном следствие, мягко говоря, хромает. Оно даже не знало о «втором имени» обвиняемого


    Сам Савелий Бурштейн не отрицает первую часть обвинения — что перевозил деньги. А вот со второй частью (что украл и раздавал их ДРУГИМ соучастникам преступления) — не согласен.


    Почему и для кого он их перевозил? Как объясняет сам Бурштейн, он хорошо знаком с председателем совета директоров московского «Индекс-банка» некоей госпожой Ниязовой. Она попросила его перевезти деньги, что он и сделал, не смея отказать знакомой. Но что это были за деньги, откуда они и для кого, Бурштейн будто бы не знал.


    Как может парировать сторона обвинения? Следствие приводит такие факты: Бурштейн неоднократно приходил в Индекс-банк, заговаривал с работниками банка, представляясь разными именами. Это он делал якобы для того, чтобы вызвать доверие банкиров. Зачем? Затем, объясняет следствие, чтобы прозондировать обстановку и рассмотреть, как лучше вынести деньги.


    Защита Бурштейна резонно возражала, давая понять, что доводы обвинения — очень легковесны и похожи на плохо сочиненную сказку. И в самом деле, что подозрительного в том, что Бурштейн не раз появлялся в банке? Там ведь работает его знакомая.


    Другой вопрос к следствию: зачем ему влезать в доверие к работникам банка, если знакомая работает там председателем совета директоров?! Если нужно, любую информацию он может получить, по идее, от нее и без всяких хитростей.


    А довод следствия о том, что Бурштейн представлялся разными именами, чтобы вызвать доверие сотрудников банка, вообще вызывает улыбку. «Как это, представляясь разными именами, можно получить доверие людей, — удивляется адвокат Бурштейна Анна Ставицкая. — К тому же у моего подзащитного действительно есть еще одно имя: среди друзей его называют не Савелием Меделеевичем, как по паспорту, а Александром Сергеевичем, так уж повелось».
    Словом, приходится признать: то, что прозвучало, это даже не доводы, а домыслы следствия, ничем не подтвержденные. И это приходится признать, вовсе не имея желания беспрекословно верить в абсолютную непричастность Бурштейна к воровству в Туркмении 20 миллионов долларов.


    Защита: доказательств, что Бурштейн состоял в преступной организованной группе, нет 


    «Нет никаких доказательств того, что Бурштейн в составе организованной группы обманным путем похитил бюджетные денежные средства Туркменистана в размере 20 миллионов долларов», — утверждает адвокат Ставицкая.
    Она отмечает, что деньги из банка были вывезены не украдкой, а открыто, в рабочее время, через центральный вход. При выдаче денег присутствовала руководитель банка Ниязова, другие сотрудники.


    Кроме того, защита Бурштейна акцентирует внимание суда на том, что до сих пор не ясно, какие же деньги все-таки были похищены из Центробанка Туркменистана. Следствию так и не были представлены документы, что похищенные 40 миллионов долларов принадлежали именно бюджету страны, а не самому банку. Не вызывает сомнения лишь то, что документы, подтверждающие кому принадлежат похищенные деньги, у банка должны быть.


    Правда, такой аргумент защиты вряд ли можно отнести к бессомненно сильным и настолько серьезным, которые способны преломить ход дела. Ведь если факт воровства доказан, то такое ли уж большое значение имеет, у кого именно они похищены. Главное — похищены. Тем не менее, бесспорно: всякие аругменты нужно использовать, так как даже мелкие доводы могут в совокупности возыметь действие на суд.


    Бурштейн от правосудия не скрывался и сам рассказал о своих заграничных счетах — дескать, проверяйте, пожалуйста


    Об этом говорят адвокаты. В конце 2002 года пдозреваемый был задержан и решался вопрос о его экстрадиции в Туркменистан. Однако, так как Бурштейн гражданин России, то он не подлежит выдаче другим странам. Но от правосудия он не скрывался.


    На тот момент в России на Бурштейна уголовного дела возбуждено еще не было. Поэтому в декабре 2002 года он беспрепятственно и законно уехал в США, где проживает его семья.


    Уголовное дело было возбуждено спустя почти 1,5 месяца после его отъезда за границу. В 2008 году он был экстрадирован в Россию.
    Второй адвокат Бурштейна Ирина Чернова утверждает: когда ее подзащитного задержали, он сам рассказал следователю обо всех своих банковских счетах. Дескать, проверяйте их, пожалуйста. Крупная сумма денег ведь должна где-то «всплыть». Но проверка никакого результата не принесла.


    Сегодняшнее заседание закончилось ничем


    В понедельник 12 апреля в суд не пришли свидетели обвинения. Представитель гособвинения просила приобщить к материалам дела два рапорта о том, что по месту прописки выезжали сотрудники правоохранительных органов, чтобы обеспечить явку свидетелей в суд. Однако это результатов не принесло. В связи с этим представитель гособвинения просила суд огласить показания свидетелей, которые те дали во время предварительного следствия.


    Адвокаты Бурштейна были против этого, поскольку во время допросов других свидетелей в ходе судебных заседаний выявлялись существенные расхождения с их показаниями, данными во время следствия.


    К чести судьи Андрея Федина, он не побоялся отказать обвинению в ходатайстве и заметил, что нужно попытаться вновь вызвать свидетелей.
    После этого представитель гособвинения заявила ходатайство об изменении порядка исследования доказательств. Суд удовлетворил это ходатайство. После этого сторона обвинения сама указала на факты, говорящие о недоработках следствия, и на различные нестыковки и расхождения, существующие в материалах дела.

    structured settlement buyers





    Так или иначе, пока Савелий Бурштейн является обвиняемым по части 3 статьи 159 УК РФ (мошенничество) и по статье 174.1 УК РФ (легализация (отмывание) денежных средств, приобретенных в результате совершения преступления).


    Посмотрим, что будет дальше. Слушание дела продлится еще достаточно долго. Мы будем вам сообщать подробности.
    Но главное, думается, уже известно: будет доказана вина Бурштейна в хищении денег или нет, сами 20 миллионов не будут найдены и возвращены. Как это было и в Туркмении: все участники аферы осуждены, но сами украденные деньги не найдены и не возвращены.

  • Новая волна DDoS-атак в сегменте RU

    Новая волна DDoS-атак в сегменте RU

    В прошлом году DDoS-атаки приобрели ещё большую популярность при решении сетевых и офлайновых конфликтов. В последнее время мощность DDoS значительно увеличилась. По информации компании Prolexic Technologies за II кв. этого года, средний поток трафика при DDoS-атаке составляет 47,4 млн пакетов в секунду, что на 1655% больше, чем во II кв. прошлого года. Средняя пропускная способность увеличилась на 925% и равняется теперь 49,24 Гбит/с.
    В России разборки такими методами особенно популярны. Жертвами DDoS-атак становятся компании всех секторов экономики, а с прошлого года — даже правительственные сайты.
    статистика DDoS атак за текущий год
    Также увеличилась длительность кибератак. По данным Positive Technologies, если в I кв. 2012 года DDoS-атака в среднем осуществлялась на протяжении 17 часов, то в первом квартале 2013 года — уже 38 часов.
    В России наблюдается схожая картина: атаки продолжительностью в сутки стали обычным делом. Например, 6 августа интернет-ресурс ЗАО «Интерлот» — крупнейшего российского негосударственного организатора лотерей, оператора лотереи «Золотой Ключ», «Козырная карта», «Русская тройка», «Код удачи» — подвергся одной из серьезнейших DDoS-атак.
    DDoS-атака против «Интерлота» началась в 15.00, а в 17.00 достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с, затихнув 7 августа к 15.00. Мощность атаки вынудила центр обработки данных заблокировать сервер компании в целях защиты оборудования.
    Руководство ЗАО «Интерлот» допускает, что атака на интернет-портал может являться скрытой формой экономического давления на компанию, в связи с твердой публичной позицией по вопросу введения госмонополии на лотерейную деятельность.
  • DDoS с усилением через DNS-серверы

    DDoS с усилением через DNS-серверы

    В сентябре 2012 года компания Cloudflare, оператор одной из крупнейших сетей доставки контента, рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Руководители компании Cloudflare — бывшие хакеры, работавшие над проектом Project Honey Pot, поэтому им было интересно разобраться в причинах такого усиления мощности DDoS-атак. Они выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их настроили, так что серверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных серверов, так называемых «открытых DNS-серверов».
    На днях специалисты Cloudflare опубликовали ещё одну статью в блоге, где более подробно описывают данный метод атаки.
    Схематично метод описывался в прошлый раз: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, злоумышленники направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне.
    Cloudflare приводит пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-серверов.
    dig ANY isc.org x.x.x.x

    Где x.x.x.x— это IP-адрес сервера. Ответ будет аж 3223 байта.

    ; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5

    ;; QUESTION SECTION:
    ;isc.org.            IN    ANY

    ;; ANSWER SECTION:
    isc.org.        4084    IN    SOA    ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
    isc.org.        4084    IN    A    149.20.64.42
    isc.org.        4084    IN    MX    10 mx.pao1.isc.org.
    isc.org.        4084    IN    MX    10 mx.ams1.isc.org.
    isc.org.        4084    IN    TXT    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        4084    IN    TXT    "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
    isc.org.        4084    IN    AAAA    2001:4f8:0:2::d
    isc.org.        4084    IN    NAPTR    20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
    isc.org.        484    IN    NSEC    _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
    isc.org.        4084    IN    DNSKEY    256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
    isc.org.        4084    IN    DNSKEY    257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
    isc.org.        4084    IN    SPF    "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
    isc.org.        484    IN    RRSIG    NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
    isc.org.        484    IN    RRSIG    SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
    isc.org.        484    IN    RRSIG    MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
    isc.org.        484    IN    RRSIG    TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
    isc.org.        484    IN    RRSIG    AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
    isc.org.        484    IN    RRSIG    NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
    isc.org.        484    IN    RRSIG    NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
    isc.org.        484    IN    RRSIG    DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
    isc.org.        484    IN    RRSIG    SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
    isc.org.        484    IN    RRSIG    A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; AUTHORITY SECTION:
    isc.org.        4084    IN    NS    ns.isc.afilias-nst.info.
    isc.org.        4084    IN    NS    ams.sns-pb.isc.org.
    isc.org.        4084    IN    NS    ord.sns-pb.isc.org.
    isc.org.        4084    IN    NS    sfba.sns-pb.isc.org.

    ;; ADDITIONAL SECTION:
    mx.ams1.isc.org.    484    IN    A    199.6.1.65
    mx.ams1.isc.org.    484    IN    AAAA    2001:500:60::65
    mx.pao1.isc.org.    484    IN    A    149.20.64.53
    mx.pao1.isc.org.    484    IN    AAAA    2001:4f8:0:2::2b
    _sip._udp.isc.org.    4084    IN    SRV    0 1 5060 asterisk.isc.org.

    ;; Query time: 176 msec
    ;; SERVER: x.x.x.x#53(x.x.x.x)
    ;; WHEN: Tue Oct 30 01:14:32 2012
    ;; MSG SIZE rcvd: 3223
    Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-серверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
    DDoS атака с умножением через DNS
    Установленные у провайдеров серверы обычно имеют большую пропускную способность, так что сгенерировать пару десятков гигабит в секунду для них — вполне реальная задача.
    Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-серверов, в том числе 862 в России. Они обозначены на карте, если навести курсор на страну. Все эти серверы можно использовать для эффективной DDoS-атаки.
  • DDoS-атака через Network Time Protocol

    DDoS-атака через Network Time Protocol

    Каспер и его охотники за приведениями не так давно обратили внимание на то, что в последние несколько недель в Сети участились случаи DDoS-атак с использованием Network Time Protocol. На графике показан объем такого трафика в декабре 2013 года.

    DDoS атака с умножением через NTP


    Network Time Protocol (NTP) — сетевой протокол для синхронизации внутренних часов компьютера, использует для своей работы UDP и представляет собой один из старейших протоколов интернета. Работает на порту 123.
    Атака через «отражение» предусматривает, что атакующий посылает относительно небольшой запрос к промежуточному узлу, который отвечает относительно большим ответом в адрес указанного хоста. Раньше атаки подобного типа осуществлялись через DNS-серверы, которые установлены у каждого интернет-провайдера. Обычно DNS-серверы настроены так, чтобы обрабатывать только запросы своих собственных пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что серверы принимают запросы от любого пользователя интернета. Атакующие направляют к открытым DNS-серверам поток DNS-запросов с IP-адресом жертвы, а сервер отвечает на указанный адрес. Чтобы максимально усилить трафик, нападающие составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне.
    Атака через серверы NTP происходит схожим образом, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Это даже эффективнее, чем DNS-серверы: маленький запрос может перенаправить на жертву мегабайты трафика.
    Для защиты своего NTP-сервера от подобной атаки нужно установить NTP версии 4.2.7, в которой полностью удалена поддержка команды monlist.
  • DDoS-атаки и бизнес на постсоветском пространстве

    DDoS-атаки и бизнес на постсоветском пространстве

    Каспер и его охотники за призраками в доспехах не так давно опубликовали отчёт со статистикой DDoS-атак во второй половине 2011 года. 
    Подводя итоги прошлого года, главными событиями называются DDoS-атаки на фондовые биржи, использование DDoS в политических протестах Anonymous и для решения конфликтов в малом бизнесе. Во второй половине года было зафиксировано две большие волны DDoS-атак на сайты туристических фирм. Первая была приурочена к летним отпускам, а вторая прошла в период новогодних праздников. Среди туристических компаний, ставших жертвами DDoS-атак, не было ни одного крупного туроператора. Все атаки были направлены на сайты турагентств, между которыми существует острая конкуренция. Можно предположить, что эта конкуренция стала настолько острой, что некоторые бизнесмены не гнушаются использовать в том числе не совсем кошерные методы.
    Обнаружен также резкий рост во втором полугодии атак на сайты, предлагающие заказ такси и заправку картриджей. Видимо, в этих областях тоже усиливается конкуренция.
    Впрочем, главными жертвами DDoS-атак по-прежнему остаются интернет-магазины и торговые площадки.
    Статистика DDoS атак за текущий год
    Во второй половине 2011 года появились новые инструменты для DoS/DDoS-атак, в например, сервисы компании Google.
    Этим сервисам в качестве параметра можно передать ссылку на любой файл атакуемого сайта, и серверы Google будут осуществлять запрос к файлу. Если автоматизировать такие запросы с помощью скрипта, то использование пропускной способности каналов Google эквивалентно обычной DDoS-атаке. Кроме того, запустивший атаку в этом случае сохраняет анонимность.
    Ещё один новый инструмент — DoS-атака на сервер, используя особенность протокола SSL. Инструмент под названием THC-SSL-DOS позволяет одному атакующему вывести из строя сервер средней конфигурации, если тот поддерживает повторное подтверждение SSL renegotiation.
    Несколько интересных фактов из отчёта Каспера и его охотников:
    • Самая протяжённая DDoS-атака, зафиксированная во втором полугодии, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт.
    • Больше всего DDoS-атак в течение второго полугодия (384) было нацелено на сайт одного из киберкриминальных порталов, торгующий поддельными документами. Неизвестно, что за сайт, но специалисты отмечают, что к DDoS-атакам чаще всего прибегают представители кардерского бизнеса: боты атакуют форумы соответствующей тематики, а также сайты, занимающиеся продажей персональных данных держателей карт.
    • Средняя мощность отраженных Kaspersky DDoS Prevention атак во втором полугодии 2011 выросла на 57% и составила 110 Мбит/с, средняя продолжительность — 9 часов 29 минут.