Деякі люди, здається, вважають, що розподілені атаки на відмову в обслуговуванні можна виправдати морально чи етично. Прочитайте цей аналіз, щоб дізнатися, чи підтверджується це твердження чи повністю спростовано.
Якщо вашому сусідові не подобається, що ви дивитесь певні телешоу, чи можна йому прийти і розбити ваш телевізор?
Якщо вашому сусідові не подобається той, за яким ви керуєте, то чи етично для нього брати кувалду до вашої машини?
Якщо вашому сусідові не подобаються книжки, які ви читаєте, чи морально з його боку спалити ваш будинок?
Якщо вашому сусідові не подобається компанія, в якій ви працюєте, чи справедливо з його боку проникнути у ваш будинок і вкрасти ваші цінності?
Якщо вашому сусідові не подобаються комп’ютерні ігри, у які ви граєте, чи це для нього просто неприємність руйнувати мережеві підключення до всього вашого району?
Добре? це добре?
Що скаже поліція? Що сказали б суди?
Звичайно, це не гаразд. Це не етично, це не морально, це не справедливо, це не безглуздо. Це просто кримінально.
А що, якби ваш сусід натомість просто сказав вам (або навіть скандував), що йому не подобається ваш вибір телевізора, ваша машина, ваші книги чи навіть ваш роботодавець?
Це буде кримінально? Ні. Дратує, так. Кримінальний, ні.
Що, якби він підняв табличку на громадській вулиці біля вашого будинку, наказуючи дивитися щось інше або їздити на чомусь іншому?
Це буде кримінально? Ні. Це могло б порушувати ту чи іншу постанову міста, це, звичайно, викликало б занепокоєння, але не було б злочином.
Що, якби він викрав купу небажаних і мимовільних людей, вдав їм наркотики чи заразив їх і змусив усіх носити плакати та співати? Це буде кримінально? Так, це точно, як біс.
Досить легко відрізнити злочинні дії від актів свободи слова. Злочинні дії є деструктивними. Свобода слова, в гіршому випадку, дратує.
Тепер давайте перейдемо до теми розподіленої атаки відмови в обслуговуванні.
Чи є випадки, коли DDoS є формою законного протесту, чи DDoS-атаки є в кращому випадку злочинними, а в гіршому – тероризмом?
Перш ніж відповісти на запитання, давайте дослідимо, як працює DDoS. Усі DDoS-атаки не є ідентичними, але більшість має просту схему: багато зловмисників і одна жертва.
Почнемо спочатку з нападників. Щоб DDoS мав якийсь ефект, мають існувати тисячі чи мільйони комп’ютерів, які надсилають пакети на комп’ютер або мережу жертви. Це означає, що зловмисник (або активіст, якщо хочете) повинен мати доступ до тисяч або мільйонів машин.
Це робиться через ботнети. Контролер ботнету надсилає інструкції тисячам чи мільйонам комп’ютерів-зомбі. Це комп’ютери, якими користуєтеся ви, ваша мама, ваш бос, ваш двоюрідний брат, ваші діти або навіть ваші екстрені служби, які використовують для порятунку життів.
Щоб функціонувати в DDoS-ботнеті, ці комп’ютери мають бути інфіковані без дозволу власників і пошкоджені шкідливим програмним забезпеченням, яке може бути використано для ініціювання DDoS-атаки. Це цифровий еквівалент викрадення та введення наркотиків або зараження купи людей, а потім змусити їх носити плакати протесту.
Часто відбувається пошкодження зомбованої машини, а зараження часто має другорядну мету — клавіатурний журнал або інше викрадення інформації.
Таким чином, навіть без будь-яких обговорень щодо особи чи передбачуваної огидності цільової жертви, ми бачимо, що злочини були було скоєно, конфіденційність було вторгнуто, майно було пошкоджено, і — залежно від того, які комп’ютери були заражені — могли бути вбиті життя з ризиком.
І все це навіть без огляду на збитки жертви чи будь-які інші побічні збитки.
Недавній дослідження MIT досліджував питання про те, чи може існувати етична основа для дій DDoS.
За словами Моллі Сотер, автора дослідження, існує «...три основні критики дій активістів DDOS: що вони є еквівалент цензури, що як символічний активізм вони не такі ефективні, як прямі дії, і що вони мають нецілеспрямований успіх умови».
При всій повазі до Массачусетського технологічного інституту та пані Сотер, вона повністю пропускає суть. DDoS-атаки активістів — як і всі DDoS-атаки — інвазивні, руйнівні та завдають великої побічної шкоди некомбатантам.
Це не питання того, чи є атака хорошим повідомленням. Це напад, у якому завдано реальної шкоди.
Якби терористи 11 вересня просто стояли перед Всесвітнім торговим центром і Пентагоном із плакатами протесту, вони б не були терористами. Але вони вирішили запустити літак у будівлі, вбивши не лише тисячі офісних працівників, але й мимовільних і, звичайно, невільних пасажирів рейсів 11, 77 і 93.
Що стосується DDoS-атак, то те, чи є запланована жертва придурком чи ні, не впливає на те, чи можна вважати такі атаки етичними. Крім зламаних комп’ютерів-атаків, переривання обслуговування може спричинити різного роду супутні збитки.
Жодна здорова людина (принаймні поза фінансовою індустрією) не буде стверджувати, що наші банкіри цілком етичні. Але використання DDoS для блокування банком обробки транзакцій може заблокувати окремим вкладникам доступ до їхніх грошей. Що, якщо комусь потрібно здійснити транзакцію фінансової системи, скажімо, для екстреної медичної допомоги?
З цією метою, як я писав у статті «Як зберегти робочі місця» (безкоштовне завантаження), і написав Стівен Бріл Журнал TIME, зрозуміло, що більшість лікарень, страхових компаній і постачальників медичних послуг ведуть неабиякий рекет за рахунок американських громадян.
Використання DDoS для закриття страхової компанії також може перешкодити пацієнту, який цього потребує, отримати своєчасну медичну допомогу. Використання DDoS або хакерської атаки для атаки на електромережу може завдати незручностей генеральним директорам енергетичних компаній, але це може також вимкнути електроенергію для людей, яким це потрібно, щоб зігрітися, навчатися для тесту або живити медичну установу пристрій.
Усе це не включає стрес і витрати, пов’язані з DDoS-атакою. Група активістів може бути злим на банк чи страхову компанію, але людина на передовій Одержувачем атаки є ІТ-менеджер, який цілком може втратити роботу за те, що не запобіг неможливо запобігти.
Або DDoS може бути використаний проти невеликої компанії чи організації. Я можу вам сказати з особистий досвід що боротися з мільйонами комп’ютерів одночасно не весело, дуже руйнівно та майже незбагненно стресово.
Тоді є фактична вартість атаки. Forrester Consulting нещодавно зробив опитування компаній для встановлення фактичних витрат на атаку. Вони повідомили про одну компанію, яка втрачала б понад 10 мільйонів доларів доходу за кожну годину офлайн. Вони повідомили, що двоє «респондентів втрачатимуть від 1 до 2 мільйонів доларів на годину, п’ятеро вказали на це вони втратили б від 200 000 до 500 000 доларів на годину, а вісім втратили б від 50 000 до 200 000 доларів за годину. година».
Це просто втрата прибутку. Це не включає вартість самої битви, витрати на ІТ, робочу силу, збільшення страхових зборів, вартість можливих звільнень що, ймовірно, станеться після раптової великої втрати доходу або незлічених незручностей і відповідних наслідків для особи клієнтів.
Ми можемо трохи спростити номер вартості роботи, використовуючи дослідження від Інститут Понемон повідомляє, що DDoS-атаки коштують компаніям у середньому 3,5 мільйона доларів щороку.
Вони опитали 700 компаній, і 65 відсотків (455 компаній) повідомили, що зазнавали щонайменше трьох DDoS-атак на рік. Отже, давайте візьмемо ці 455 компаній і помножимо їх на 3,5 мільйона доларів.
Тільки ця група респондентів опитування втратила 1,6 мільярда доларів через DDoS-атаки.
Отже, дозвольте запитати вас: скільки робочих місць можна було б створити, якби 1,6 мільярда доларів не було втрачено через DDoS-атаки? У статті «Як зберегти робочі місця» я використовував 50 000 доларів як реальну середню зарплату в Сполучених Штатах. Отже, скільки 50 000 доларів зарплати можна було виплатити з цих 1,6 мільярда доларів? Відповідь: 32 000.
Ви можете поглянути на це з двох сторін: 1,6 мільярда доларів, витрачених респондентами, або коштували роботи 32 000 людей, або вони могли забезпечити достатньо грошей, щоб найняти 32 000 людей.
У будь-якому випадку, просто дивлячись на невелику групу респондентів для одного опитування, DDoS-атаки коштують приблизно 32 000 робочих місць. Враховуючи поширеність DDoS-атак у всьому світі, фактичні витрати в доларах і робочих місцях набагато вищі.
Тепер давайте повернемося до обговорення легітимної форми протесту проти. тероризм.
Якщо ви прокинетеся завтра і звернетеся до свого улюбленого видання новин і прочитаєте чи почуєте, що 32 000 людей втратили їхні робочі місця в результаті якогось нападу, ви вважаєте тероризмом чи законною формою протестувати?
Без сумніву, немає жодного етичного, морального, релігійного чи праведного виправдання для DDoS. На відміну від цивілізованих протестів, DDoS-атаки завдають шкоди та болю дуже великій кількості небажаючих і мимовільними жертвами, наражати їх на майбутню інфекцію, крадіжки та труднощі та призводити до дивовижних фінансових втрати.
Немає місця для ухилянь. Розподілена атака на відмову в обслуговуванні є злочинною і цілком може бути терористичною атакою. Тут немає височини. Якщо ви берете участь у DDoS-атаці, ви або злочинець, або терорист... і дурень.