DDoS на Assist — процессинг под атакой

Такое ощущение, что процессинговые сервисы, обеспечивающие платежи по пластиковым карточкам в интересах крупных поставщиков услуг, в последнее время “падают” с катастрофической быстротой. После компании Chronopay, чьи шлюзы были неработоспособны в течение 48 часов, “упал” платежный шлюз Assist — проблемы с доступом к этому сервису продолжались больше пяти дней. Отметим, что аналогичные проблемы у Assist были и в прошлом году. В данном же случае всё оказалось очень неприятно: если для крупных клиентов сервисы приема платежей были “подняты” через пару суток, то небольшие компании пострадали куда серьезнее -- некоторые виртуальные магазины, где карточки и электронные валюты являются основным средством платежа, были полностью парализованы.

Утром 20 июня веб-сайт компании Assist работал, но последние новости там были от августа 2008-го. Никаких извинений перед пользователями, ни информации о положении дел, ни рекомендаций по проведению платежей — ничего этого не было. Сервисы для пользователей и интенет-магазинов secure.assist.ru практически не работали. Таким образом, платежный шлюз, руководство которого заявляет о “контроле четверти российского рынка процессинга банковских карт в российском сегменте сети Интернет”, по-прежнему не может справиться с ситуацией.

Однако крупные клиенты демонстрируют олимпийское спокойствие. “Двенадцать лет назад Assist создавался как раз для того, чтобы наш магазин мог принимать платежи по пластиковым картам, — отмечает директор по связям с общественностью компании Ozon Михаил Осин. — Как ни странно, революции за это время не произошло: платёж наличными при получении заказа так и остался для России нормой. В 2009 году карточками было оплачено 6% заказов. Поэтому говорить об ущербе сложно”. А вот Дмитрий Яковлев, директор по развитию бизнеса “Интернет Трэвел”, был вынужден признать, что проблема носила более серьезный характер: “Некоторое время с вечера четверга [15 июля] до обеда пятницы [16 июля] Assist был недоступен, что, конечно, создавало определённые проблемы в работе интернет-магазина путешествий Ozon.travel, так как около 60% наших посетителей оплачивают заказы банковскими картами. На несколько часов мы даже отключили прием оплаты по пластику. На это время поток платежей переключился на наличную оплату в пунктах выдачи заказов OZON.ru, платежные терминалы QIWI и в некоторой степени на Яндекс.Деньги и Webmoney”. Впоследствии, разобравшись с первой волной проблем, специалисты Assist, по словам г-на Яковлева, смогли предоставить его компании резервные варианты подключения и уже с середины пятницы она принимала оплату по картам. Доступность процессинга, тем не менее, восстановлена не полностью.

Но больше всего проблем “падение” Assist доставило, конечно, авиаперевозчикам, в частности S7 и “Аэрофлоту”. К примеру, через сайт “Аэрофлота” в конце указанной недели нельзя было купить билет с оплатой по пластиковой карте — и это в разгар летнего отпускного сезона, когда поток заказов через сайт достигает 40 тыс. в сутки. Причем поначалу сотрудники call-центра “Аэрофлота” не признавали наличие проблемы: “На нашей стороне всё работает”, — отмечали они. Затем, правда, пресс-служба компании согласилась, что “определенные проблемы были”, но не более того. А единственный совет, который технические консультанты Assist давали через службу трабл-тикетинга, был таков: “Попробуйте провести платеж позднее”. Формально авиаслужбы заявляют, что процессинговая компания предоставила им резервные каналы приема платежей по карточкам, но для большинства клиентов такие усилия были незаметны — у них по-прежнему ничего не работало.

Пострадала и Google, которая тоже является крупным клиентом Assist: пользователи не могли пополнить свои счета для продолжения рекламных кампаний в системе контекстной рекламы. Сотрудники службы поддержки Google противопоставляли суровой реальности лишь дежурные заклинания о том, что “инженеры Assist работают над устранением проблемы”. Причем, судя по сообщениям на форуме, компания не захотела предоставить своим пользователям микрокредиты на сумму до 1 тыс. руб. на время восстановления биллинга, из-за чего у многих веб-мастеров встали текущие рекламные акции.

В выходные 16—17 июля в Сети появились комментарии генерального директора Assist Геннадия Спирина: по его мнению, все дело в DDoS-атаке на процессинг, но нет информации о мощности нападения; по идее, к подобным проблемам компании не привыкать, и странно, что атака отбивается с таким напряжением сил. Как считает директор по информационным технологиям “Синтерры” Андрей Бугаенко, в настоящий момент существует три класса DDoS-атак. Первый — это просто “проба пера”. Такие атаки интенсивностью 100—150 Мбит/с и продолжительностью от часа до пары дней может парировать, не особенно напрягаясь, даже средней руки ЦОД. Ни системности, ни творческого подхода в этих атаках нет. Причем именно на них приходится до 80% срабатываний систем защиты, они и блокируются в автоматическом режиме, поскольку идут по давно известным алгоритмам. Второй вариант — использование хорошо организованных “аутсорсинговых” бот-сетей. “В данном случае злоумышленник, как правило, “заказывает” конкретный информационный ресурс, — говорит г-н Бугаенко. — Интенсивность атаки может составлять до 2 Гбит/с и выше, а срок её зависит от толщины кошелька злоумышленника и составляет, как правило, одну-две недели. Это уже более серьезный уровень, но чаще всего такая атака осуществляется без особых изысков: применяются шаблонные схемы, а заблокированные бот-сети исполнители не слишком стремятся восстанавливать, подключая дополнительные атакующие мощности. Обычно заказчику атаки хватает временной недоступности ресурса-конкурента. И хотя в данном сегменте временами встречаются интересные варианты реализации, чаще всего их просто тестируют для реализации атак более высокого класса”. Но и такие атаки можно отбить: мощность центров очистки решений промышленного класса достигает 10 Гбит/с на порт. А вот третий вариант — это уже мощные заказные атаки. “Привлекаются значительные ресурсы и по количеству хостов в бот-сетях, и по объему трафика, — поясняет Андрей Бугаенко. — Меняется тактика атаки. Максимальная нагрузка, которую мы видели в рунете при атаке на ресурс одного из клиентов, составила 4,5 Гбит/с. Для таких заказов у организаторов DDoS есть свои операторы, управляющие бот-сетями, которые постоянно мониторят доступность атакуемого ресурса, пытаясь навязать свой хорошо прописанный сценарий. Происходит это не часто, но всегда метко, ведь при подготовке таких “мероприятий” ИТ-ресурсы атакуемой компании и оператора связи подвергаются разведке и анализу”.

На самом деле подобные атаки — стандартная ситуация для компаний “группы риска”, куда входят финансово-кредитные учреждения и все те предприятия, которые как-либо связаны с торговлей в Сети. Кроме того, уверен первый заместитель генерального директора, технический директор “Акадо-Телеком” Юрий Скобелев, атакам регулярно подвергаются различные системы авторизации — это те фирмы, которые оказывают локальные услуги для третьих сторон: электронные процессинговые системы, платежные системы, работающие с “электронными деньгами”, виртуальные обменные пункты. Причем современные DDoS-атаки далеко не всегда работают “в лоб”: к примеру, обрушение ресурса может использоваться только как “дымовая завеса” для того, чтобы злоумышленники начали атаку с целью похищения ЭЦП пользователей или данных кредитных карт. То есть недоступность ресурса уже не единственная цель мошенников — главное для них получить конфиденциальную информацию, которую можно реализовать впоследствии. Понятно, что это заказные атаки, и здесь легко ошибиться ИТ-специалистам компании: они все силы бросают на защиту доступности своего веб-ресурса, оголяя другие рубежи обороны. Кроме того, специалисты финансовых компаний “на зарплате” часто бывают уверены, что могут самостоятельно справиться с любой напастью, а такая бравада совершенно не обоснованна: для отражения серьезной DDoS-атаки у них нет ни навыков, ни оборудования операторского класса.

“Продавцам урок, — писали пользователи в комментариях к этой теме в моём блоге. — Нужно оформлять второй резервный процессинг. Причем с Ассистом такая проблема уже не первый раз. На своем же сайте они хвалятся, что работают с 1999 года. За 11 лет так ничему и не научились”.