> Электронный журнал "Спамтест" No. 145
________________________________
>
>
> Конец "Синей лягушки"
>
>
> Ольга Емельянова
>
> 17 мая, после массированной DDoS-атаки, которой подверглись
> сайты компании Blue Security, и угроз, полученных компанией
> от спамеров, Blue Security объявила о закрытии проекта Blue
> Frog. Один из основателей компании и ее генеральный директор
> Эран Решеф (Eran Reshef), по его словам, вывесил белый флаг и
> признал поражение в войне со спамерами.
>
> Скажи "ква!"
>
>
> Почившая "Синяя лягушка" была молода. Blue Security начала
> распространять бета-версию своей новой программы Blue Frog
> летом 2005 года, объявив, что найдено решение, которое
> поможет справиться со спамерами.
>
> Идея была проста: для начала Blue Security пытается связаться
> со спамерами и убедить их прекратить посылать спам на адреса
> Blue Frog. Если это не срабатывает, Blue Security
> предупреждает о грядущей атаке хостинг-провайдера сайтов,
> рекламируемых в спаме, и начинает атаку.
>
> Blue Frog находит на спамерских сайтах формы, требующие
> заполнения пользователями, и все компьютеры подписчиков Blue
> Frog, находящиеся в Сети, одновременно и неоднократно в
> течение некоторого периода времени вводят в формы требования
> исключить электронные адреса пользователей Blue Frog из
> спамерского списка. Кроме того, для реализации этого решения
> спамерам предлагается загрузить специальные инструменты с
> сайта Blue Security.
>
> Предполагалось, что в результате десятков тысяч
> единовременных запросов спамерский сайт "ляжет", и спамеры
> предпочтут выполнить требования Blue Security.
>
> Ничто не ново
>
>
> Идея была не так чтобы совсем новой. За полгода до рождения
> "Лягушки" вспыхнула и погасла звезда скринсейвера Lycos
> Europe с романтичным названием Make Love Not Spam, который
> посылал запросы со всех компьютеров, загрузивших программу,
> на сайты, использующие спам в рекламе. Для Lycos Europe
> результат был плачевным: критика экспертов, обвиняющих Lycos
> в использовании незаконных DDoS-атак, заблокированный
> спамерами сайт и, в результате, закрытие проекта через очень
> короткое время.
>
> Детище Blue Security просуществовало дольше и критиковали его
> меньше. Возможно, потому что оно не вызвало такого интереса у
> пользователей, и "Лягушка" "квакала" достаточно тихо, хотя и
> небезрезультатно. Ее создатели утверждали, что новый подход в
> борьбе со спамерами эффективен (у некоторых подписчиков Blue
> Frog объемы спама в почте уменьшились на 25%), этичен,
> реализует право пользователей отписаться от спама и со
> временем разрушит экономические основы спама.
>
> Как бы то ни было, к маю 2006 года число пользователей Blue
> Frog достигло 522000. И все было хорошо, пока "Лягушка" не
> "квакнула" слишком громко. Или "квакнула" не на того спамера.
> Спамер не просто не внял требованиям Blue Security, он "убил"
> лягушку.
>
> Русский след
>
>
> Решеф утверждает, что спамер этот находится в России. Вполне
> возможно. По крайней мере, портрет злого дяди, топырящего
> пальцы и грозно восклицающего "ты на кого наехал?!"
> напрашивается. А дядя, судя по всему, был очень зол.
>
> "Синяя лягушка" закончила свое существование после серии
> DDoS-атак с использованием десятков тысяч компьютеров,
> которые вывели из строя не только сайт Bluesecurity.com, но и
> другие веб-сайты. Пострадали, в том числе, компания Six Apart
> Ltd., на счету которой миллионы веб-сайтов сервиса TypePad и
> блогов LiveJournal, а также Tucows Inc. - ISP, обслуживающий
> сайт Blue Security.
>
> По словам исполнительного директора Tucows Элиота Носса
> (Elliot Noss), это была одна из самых серьезных атак, которые
> когда-либо наблюдала Tucows, и лишь немногие компании
> обладают инфраструктурой, позволяющей устоять при атаке
> такого масштаба. "На самом деле это было похоже на попытку
> убить комара с помощью атомной бомбы", - сказал Носс.
>
> Кроме того, спамер прислал сообщение с недвусмысленной
> угрозой: если Blue Security продолжит свою антиспамерскую
> деятельность, ее пользователи станут мишенью вирусных атак.
>
> Blue Security капитулировала, посчитав безответственным
> ввязываться в полномасштабную кибервойну, втягивая в нее
> пользователей Blue Frog и подвергая опасности блокирования
> другие сайты. Экспертов, предрекавших нечто подобное,
> ситуация не удивила. Они безрадостно констатировали очередную
> победу спамеров. Как написал журналист washingtonpost.com,
> Голиаф опять победил Давида.
>
> Днем 17 мая на сайте Blue Security появилось соответствующее
> заявление, однако увидеть его смогли немногие: буквально
> через несколько минут сайт вновь был заблокирован и ко
> времени написания статьи оставался недоступным. Однако на
> этот раз атакован был не только сайт Bluesecurity.com. Все
> оказалось гораздо хуже.
>
> Последние публикации на сайте washingtonpost.com, касающиеся
> Blue Security, больше всего напоминали сводки военных
> действий. Но виртуальный белый флаг, вывешенный Решефом, не
> привел к окончанию войны в Интернете. Последнее
> "исчезновение" из Сети Bluesecurity.com связано с атакой на UltraDNS.
>
> Война продолжается
>
>
> UltraDNS - провайдер сервисов DNS, обслуживающий все
> веб-сайты, чьи адреса заканчиваются на .org и .uk, а также
> предоставляющий платные услуги сервиса DNS Shield. Задачей
> DNS Shield является защита сайтов от варианта DDoS-атак, в
> которых в качестве мишени используется система DNS. Судя по
> всему, в этот раз DNS Shield со своей задачей не справился. В
> ходе атаки большая часть сети UltraDN была наводнена
> фальшивыми DNS-запросами, уровень которых составлял 4-5
> гигабайт в секунду. В результате вышли из строя около 2000
> веб-сайтов солидных компаний.
>
> Этот вид DDoS-атак, получивший название DNS amplification
> attacks или reflected DNS attacks, в течение последних 6-8
> месяцев становится все более популярным. Злоумышленники,
> используя "дыры" в плохо конфигурированных серверах DNS,
> генерируют фальшивые DNS-запросы к серверу DNS, выбранному в
> качестве мишени атаки. Поскольку DNS-запросы приходят с
> легитимного сервера, сервер-жертва начинает их обрабатывать,
> а злоумышленники, обеспечив массовый поток фальшивых
> запросов, добиваются его перегрузки.
>
> Кто стоит за атакой на UltraDNS - не известно. В любом
> случае, это еще одна демонстрация силы киберпреступников.
>
> Использованы материалы сайта washingtonpost.com:
> In the Fight Against Spam E-Mail, Goliath Wins Again
> <
> 518130531/n/m4696343/-/www.spamtest.ru/click?_URL=
ashingtonpost.com/wp-> dyn/content/article/2006/05/16/AR2006051601873.html>
> Spam Fighter Calls It Quits
> <
> 518130531/n/m4696343/-/www.spamtest.ru/click?_URL=.
washingtonpost.com/securityfix/2006/05/legal_antispam_vigilante_c> ompa.html>
> Blue Security Kicked While It's Down
> <
> 518130531/n/m4696343/-/www.spamtest.ru/click?_URL=.
washingtonpost.com/securityfix/2006/05/blue_security_surrenders_b> ut_s.html>
>
> ________________________________
> (C) "Лаборатория Касперского"
