В системах лаборатории были инсталлированы все известные на сегодняшний день программы такого типа, а также установлены дополнительные средства защиты. Всего было проверено 196 Unix-систем. Чтобы повысить безопасность и затруднить несанкционированный доступ к сетям лаборатории, их разделили на 29 сегментов. По словам представителя лаборатории, хакеру удалось захватить управление хост-компьютерами лишь небольшого участка подсети (защита маршрутизатора не позволила проникнуть глубже), состоящего из трех рабочих станций компании Sun Microsystems и двух Х-терминалов. Ему помогло то обстоятельство, что в это время проводился эксперимент по моделированию работы подсети.
После обнаружения "нападения" было решено организовать поимку нарушителя. С этой целью специалисты AFIWC позволили хакеру в течение двух недель осуществлять дальнейшее проникновение в подсеть, наблюдая и полностью контролируя его действия. В конце концов нарушитель был арестован.
Хакерам до сих пор удавалось ускользнуть, несмотря на отчаянные усилия Управления по национальной безопасности, спецслужб и ФБР. Что может современный "взломщик компьютеров" ? Запускать прикладные программы, способные автоматически проникать в сотни включенных в сеть хост-компьютеров. Использовать поставляемые вместе с системой диагностические программы для обнаружения слабых мест в ее защите. Похищать и изменять данные, модифицировать файлы (вполне возможно, что все это уже совершается).
Заблокировать работу сети и вывести из строя программное обеспечение системы.
Превращать средства проникновения в компьютеры, выполненные на высоком профессиональном уровне, в источник доходов.
E.Sikorovsky
Арестован хакер, вторгшийся в компьютерную сеть BBC США
Представители ВВС США сообщили об одном захватывающем инциденте. В компьютерную сеть Rome Laboratory на военной базе Гриффисс ВВС США (северная часть штата Нью-Йорк) недавно проник хакер, причем его действия оставались незамеченными в течение нескольких дней (с вечера вторника до понедельника на следующей неделе). Он занимался копированием файлов с военной информацией, но не производил никаких изменений или разрушений в исходных файлах.
Из осведомленных источников известно, что Rome Lab является не единственным компьютерным центром министерства обороны США, пострадавшим подобным образом. Даже сама последовательность событий, начиная с проникновения хакера в сеть и кончая его обнаружением представителями ВВС, к сожалению, все чаще повторяется как в государственных, так и в коммерческих сетях. Хакер смог овладеть управлением одной небольшой сети лаборатории ВВС, которая состоит из трех рабочих станций фирмы Sun Microsystems и двух X- терминалов, что составляет менее 3% вычислительной мощности всех Unix- cистем этой лаборатории. Данная сеть использовалась для проверки макета программного обеспечения, в котором имелись ошибки. Как заявил Френсис Крамб (Francis Crumb), руководитель отдела по связям с общественностью Rome Lab, основной ущерб составил 46 тыс. долл., затраченных на оплату сверхурочной работы (хотя некоторую часть этой работы было необходимо проделать в любом случае). Взломав эту систему, хакер также попытался проникнуть в другие военные и не только военные вычислительные центры, названия которых не сообщаются. Он инсталлировал несколько специальных программ слежения за сетью, которые позволяют злоумышленникам перехватывать нажатия клавиш при работе пользователя с сетью и определять вводимые им секретные коды и пароли.
"Мы наблюдали, как он связывался с Internet, используя сеть лаборатории Rome в качестве промежуточного канала", - сказал Джим Кристи (Jim Christy), директор отдела по расследованию компьютерных преступлений ВВС (AFOSI).
Как рассказал Крамб, к вечеру в понедельник все компьютеры лаборатории Rome были приведены в полный порядок, исправлены все замеченные изъяны в операционной системе, а также установлены дополнительные средства безопасности. Было протестировано сто девяносто шесть Unix-cистем. "Одна система, которая не смогла удовлетворить минимальным требованиям безопасности, была остановлена", - отметил он. Хакер скрывал свое местонахождение в Европе, осуществляя связь из других сетей, расположенных в различных странах мира. "Чтобы связаться с лабораторией Rome со своего компьютера, ему потребовалось 30 минут. Он осуществлял связь через Чили и Бразилию, иногда через Гавайи", - сообщил Кристи.
Для задержания преступника потребовались совместные действия правоохранительных органов штата Техас, отдела AFOSI, информационного центра ведения боевых действий ВВС (AFIWC) на военно-воздушной базе Келли, а также правоохранительных органов в Европе. "Чтобы иметь возможность выследить злоумышленника, персонал AFIWC, получив разрешение командующего Rome Laboratory, позволил хакеру еще в течение двух недель по-прежнему продолжать подключаться к сети, но уже в ограниченном и свободном от секретной информации пространстве. В конце концов это позволило выследить его и арестовать", - сказал Крамб. На протяжении двух недель AFOSI поддерживал связь с Европой по телефону. "Чтобы разгадать методику хакера, потребовалось бы немало времени. Поэтому нам разрешили использовать дополнительную информацию. Мы связались с отделом компьютерных преступлений той страны, откуда был наш "герой", который и привлек к работе телекоммуникационные компании. После проведения собственного расследования, было получено разрешение на обыск. Злоумышленника застали как раз в тот момент, когда он работал за своим компьютером", - сказал Кристи. По признанию хакера, он покушался также на взлом многих других систем, подробности о которых не сообщаются. Как заявили представители ВВС, хакер был пойман, арестован и допрошен, в его доме проведен обыск, был конфискован его компьютер. "По делу проводится расследование, после которого будет предъявлено обвинение", - сказал Кристи.
"Этот хакер был твердым орешком, но, по-видимому, на свободе осталось еще немало подобных мошенников", - считает Кристи.
Р.Сергеев
Web-сервер "ИнфоАрт" и безопасность в Internet
11 - 13 сентября 1996 г. издательство "ИнфоАрт" испытало на собственном опыте все неприятности от несанкционированного вмешательства в служебные потоки информации сети Internet (см.: Пресс-релиз и первые отклики в CW-M. 1996. ? 34 Ч 35, 37). 20 сентября представители издательства "ИнфоАрт" и компании "Демос", являющейся на тот момент первичным провайдером Web-сервера "ИнфоАрт", на пресс-конференции в Москве изложили свою точку зрения на произошедшее событие. Высказанные оценки носят, конечно, предварительный характер и требуют дальнейшего уточнения. Однако редакция надеется, что это положило начало процессу обсуждения проблем безопасности в Internet и компьютерных системах вообще, и приглашает к диалогу всех заинтересованных читателей газеты и сервера.
В начале пресс-конференции руководитель Internet-группы издательства "ИнфоАрт" Хачатур Арушанов изложил хронологию событий. Первый сигнал поступил от постоянного читателя сервера Павла Эйгеса в четверг 12 сентября в 16 ч 20 мин, который спрашивал, не изменила ли компания свою информационную политику и почему по привычному адресу находится информация совсем иного рода? Специалисты "ИнфоАрт" немедленно стали выяснять ситуацию.
Технологическая цепочка, по которой информация попадает на Web-сервер, следующая. Вся подготовка полностью происходит в корпоративной локальной сети компании "ИнфоАрт". Затем новые материалы Web-сервера передаются на "зеркала" - серверы региональных компаний, расположенные в Днепропетровске, Пскове и Москве. (Стратегия распространения информации сервера "ИнфоАрт" на распределенные по территории бывшего СССР "зеркала" развивается в рамках проекта InfoArt Internet Park и нацелена на сокращение временных и материальных затрат конечных пользователей при доступе к серверу. Благодаря наличию "зеркала", в Днепропетровске например, украинским пользователям не нужно использовать медленный канал связи с Москвой. Информация на "зеркалах", правда, при этом поступает несколько позже оригинала, так как требуется дополнительное копирование изменений, но это с лихвой окупается преимуществами более быстрого канала связи). "Обратившись к основному "зеркалу" по логическому адресу www.ritmpress.ru, - продолжал г-н Арушанов, - мы заметили, что там представлена совершенно другая информация, хотя при обращении по физическому адресу машины все было нормально. Настроившись на доступ через каналы различных провайдеров (ISP) - "Демос", Relcom, GlasNet, мы наблюдали, как ситуация постепенно "расползалась" по другим удаленным компьютерам. По нашим данным, в пятницу 13 сентября фальшивая информация достигла Украины и Белоруссии, а затем и США, где ее примерно в 16 часов по московскому времени обнаружил один из наших корреспондентов, находившийся в командировке в Нью-Йорке. Сразу после этого с помощью слаженных действий электронных средств массовой информации удалось приостановить распространение фальшивых данных и оповестить пользователей о "взломе" сети. К понедельнику все функционировало в нормальном режиме". Директор отдела Internet компании "Демос" Виктор Кутуков изложил свою версию и некоторые подробности произошедших событий. С технической точки зрения этот случай относится к проблеме именования компьютеров в Internet. Каждый сервер имеет логическое имя, в данном случае http://www.ritmpress.ru, которому соответствует уникальный цифровой IP-адрес. В Internet существует специальная служба (DNS), которая ставит в соответствие логическому имени конкретный IP-aдрес. Произошла несанкциониро-ванная замена физического адреса, соответствующего имени сервера, и поэтому пользователи Internet попадали на другой сервер. О ситуации стало известно в "Демосе" 12 сентября в 17 ч 30 мин после телефонного звонка. Сразу же была проверена таблица соответствий (она хранится на специальном DNS-сервере). Там все оказалось в порядке. Более того, со всех компьютеров офиса "Демоса" сервер RITMPress был виден как обычно. Однако фальшивые адреса начали медленно распространяться по так называемым name-серверам стихийно (так устроена Internet, и ни одна ISP-компания не может целиком контролировать ситуацию). По словам г-на Кутукова, вести речь надо, скорее, не о "взломе", а о подмене, и если эта подмена не повторяется, то постепенно правильные адреса и информация восстанавливаются во всей сети. Случай не уникальный, в мире подобные ситуации имели место, но вот в России по отношению к столь известному серверу такое происшествие зарегистрировано впервые. Отчасти причина случившегося заключается в несовершенстве протокола TCP/IP, на базе которого функционирует Internet, отчасти в быстром росте количества компаний Ч поставщиков услуг Internet, отсутствии скоординированных мер и единого органа по проблемам безопасности. В мировом масштабе такая организация существует. Группа CERT (www.cert.org) обобщает рекомендации по защите компьютерных сетей и периодически публикует анализ истатистику обнаруженных "взломов". В России подобного органа пока нет, а необходимость в его создании давно назрела. Отвечая на вопросы журналистов о возможных причинах подмены информации и вероятности ее повторения, представители "Демоса" констатировали, что, скорее всего, был не технический сбой, а преднамеренные действия. Происшедшее, конечно, в некоторой степени испортило реноме российских ISP. Относительно же вероятности повторения подобных ситуаций прогноз, к сожалению, был весьма неутешителен. (Его впоследствии подтвердили и другие специалисты, которых мы попросили прокомментировать случившееся, см. врезку.) Проследить трассу, по которой пришла неверная информация, достаточно сложно. Максимум, что можно узнать, это адрес сервера, откуда пришла информация. Подмену подобного рода может осуществить практически любой квалифицированный специалист в организации - провайдере сервиса Internet, которых в России уже более 100. Правда, такое происшествие в результате злоумышленных действий может случиться с некоторой вероятностью, отличной от 100%, так как граф, по которому распространяется информация среди провайдеров, очень сложный и трудно заранее предугадать, по какой конкретно ветви будет передаваться таблица DNS. Как только DNS-сервер перегружается, что происходит в компании "Демос" не реже одного раза в сутки, по Internet начинают распространяться правильные адреса, которые постепенно заменяют фальшивые.
Программирование стало социально значимой профессией Директор Института системного программирования Российской Академии наук Виктор Иванников Программирование постепенно приобретает огромную социальную значимость. Влияние его на общество становится сравнимо с влиянием профессии врача и учителя, где этический кодекс стоит на одном из первых мест. В общем случае подобные "шутки" с Internet - типичные вещи, нарушающие профессиональную этику. На мой взгляд, единственный способ борьбы с таким хулиганством - осознание обществами, и прежде всего профессионалами важности этических понятий в профессиональной деятельности. К сожалению, этика не преподается как обязательный предмет в технических вузах, готовящих программистов, и этические нормы воспитываются у студентов не явно - они, например, подражают любимым преподавателям. Никогда не делать другому того, чего не хотел бы испытать на себе, - вот одна из непременных заповедей. Всякое профессиональное сообщество (в частности, ACM, IEEE) занимается отстаиванием и популяризацией этики, поскольку нарушения этических норм в профессиональной среде наносят огромный вред всему обществу в целом. Правовая оценка таких действий всегда отстает. Одна из форм борьбы такого сообщества с действиями злоумышленников - координированный бойкот специалистами тех идей, а также организаций и конкретных лиц, которые допускают нарушение этических норм. Отрицательную роль играет и то, что хакеры, сумевшие "взломать" защиту компьютерных сетей и нарушить нормальный ход информационных потоков, зачастую преподносятся как герои, хотя на самом деле их действия требуют самого решительного осуждения. Психология хакерства базируется на героизме, что и привлекает в эту сферу массу людей. К сожалению, очень часто действия отдельных программистов переходят из области невинных шалостей в сферу серьезных преступлений.
Сергей Полунин, руководитель группы компьютерной безопасности Института космических исследований РАН Необходимо признать, что ситyация с безопасностью в Internet весьма плачевна. Сеть развивается бyрными темпами, и хотя средства защиты тоже не стоят на месте, темпы роста соотносятся как геометрическая и арифметическая прогрессии. Сейчас все крупные организации, в том числе и хорошо известная CERT, занимающаяся вопросами компьютерной безопасности, испытывают огромные трудности. Учитывая, что количество зарегистрированных попыток "взломов" достигает 170 в неделю, CERT yспевает обрабатывать только наиболее важные сообщения. Кроме того, надо иметь в видy, что средняя квалификация "взломщиков" повышается, следовательно, нарyшения защиты компьютерных сетей часто проходят незамеченными. Даже при наличии неyничтоженных следов анализ ситyации требyет значительных yсилий специалистов. Конечные пользователи при этом зачастyю вынyждены простаивать, что далеко не всегда допyстимо. В последнее время высока активность проникновений, основанных на несовершенстве протокола TCP/IP, а именно - на возможности фальсификации IP-адресов. В известных жyрналах "2600" и "Phrack" недавно были опyбликованы программы, базирyющиеся на этих принципах. Прием TCP session hijack реализyет перехват yже yстановленного правомочного сеанса связи (например, сеанса программы эмyляции терминала telnet). В Internet информация о таких "инстрyментах" распространяется очень быстро, и поэтомy даже человек, не обладающий глyбокими знаниями, может попытаться использовать этот сложный с теоретической точки зрения прием. Дрyгой тип нападения заключается в возможности посылки пакетов данных с фальшивыми запросами на конкретный сервер в расчете на превышение максимального значения одной из переменных ядра ОС. В резyльтате сервер перестает обслyживать вновь открываемые входящие TCP-сессии. (Подобный слyчай произошел в начале сентября с компанией Panix из Нью-Йорка.) Важное значение в Internet имеет безопасность распределенной БД соответствий физических IP-адресов и логических имен, которая хранится на DNS-серверах авторизованных провайдеров и самостоятельных сетей. Многие программы при проверке ограничиваются сетевым именем компьютера, поэтому напрямyю зависят от сохранности БД DNS сервера. Нарядy с элементарным взломом сервера DNS известны и дрyгие, более сложные типы нападения такого рода. Один из способов, например, основан на использовании особенностей работы DNS-серверов с бyферами имен. Приближенно механизм взлома выглядит так: адреса, соответствyющие зонам ответственности одного провайдера, могyт находиться в бyферах дрyгого, что позволяет yскорить процесс полyчения информации из БД. Поэтомy, взломав DNS-сервер одного провайдера, можно послать электроннyю почтy с неправильным адресом на сервер дрyгого провайдера. Это вызовет запрос с атакyемого сервера с просьбой прислать информацию о неизвестном адресате. В ответ yже взломанный сервер высылает неправильнyю таблицy DNS, которая будет записана в бyфер атакyемого сервера и до следyющей перезагрyзки бyдет пользоваться фальсифицированной информацией, хотя останется при этом как бы "невзломанным". Бороться со взломами, обyсловленными фальсификацией IP-адресов, можно лишь в глобальном масштабе. Для этого все провайдеры должны yстановить на маршрyтизаторы фильтры и выпyскать пакеты только с проверенными адресами. Однако написание подобных фильтров - очень трyдоемкое и кропотливое занятие, близкое к программированию на языке низкого yровня. Кроме того, yстановка фильтров требyет дополнительной памяти для хранения пакетов во время проверки и замедляет работy маршрyтизатора. Тем не менее при наличии аппаратных и человеческих ресyрсов такие фильтры нyжно обязательно внедрять. Бyрное развитие Web-технологии также внесло свою лептy в yменьшение безопасности Internet. Eсли раньше для работы использовались относительно простые программы типа telnet, rlogin, ftp, то теперь появились серверы и клиенты WWW, размеры исходных текстов которых сyщественно возросли. Соответственно увеличилась и вероятность ошибок, которые можно использовать при взломе. Применение CGI-скриптов, написанных на языках командного интерпретатора Unix sh, также yхyдшает сyтyацию. Иногда для полyчения несанкционированного достyпа к компьютерy, на котором фyнкционирyет Web-сервер, достаточно просто дописать некyю последовательность команд после логического имени WWW-сервера в адресной строке. Конечно, производители ПО отслеживают подобные ошибки и оснащают свои системы необходимыми "заплатками" (patchs). С помощью CERT и дрyгих организаций исправления доводятся до пользователей, однако и хакерская мысль "не дремлет", и эти энтyзиасты постоянно отыскивают новые и новые способы "взлома". Несколько слов нyжно сказать о системе Unix, на базе которой фyнкционирyет большинство компьютеров в Internet. Достаточно безопасная с теоретической точки зрения, ОС Unix тем не менее остается ахиллесовой пятой в защите Internet от несанкционированного достyпа. Безопасность конкретной конфигурации ОС Unix напрямyю зависит от yстановленного программного обеспечения, в частности серверов и клиентов Internet, а также корректной работы с ним. Ключевyю роль при этом играет квалификация человека, отвечающего за yстановкy, настройкy и поддержание системы. Сyществyет эмпирический закон, гласящий, что безопасность компьютера обратно пропорциональна yдобствy работы на нем. Большое количество взломов происходит просто из-за небрежного отношения к проблемам безопасности конечных пользователей. Считая, что на их компьютерах никакой конфиденциальной информации нет и не желая yсложнять себе жизнь, они пренебрегают элементарными правилами. Однако, проникнyв на их машинy, взломщик сможет с гораздо большей вероятностью подслyшать идентификаторы и пароли дрyгих компьютеров локальной сети. А атаковать сеть изнyтри проще, чем снарyжи. Тyт yместна аналогия с подъездом - пока его дверь закрыта, злоyмышленник не может войти и попытаться найти незапертyю дверь в какой-либо квартире. Огромное влияние на yровень безопасности компьютерных сетей имеют организационные мероприятия и работа с конечными пользователями. На основе междyнародных рекомендаций мы разработали системy правил, обязательных для пользователей ЛВС ИКИ, а также ряд рекомендаций по выборy паролей, конфигyрации использyемой ОС Unix и т. д. Многие из них основаны просто на здравом смысле, некоторые yчитывают опыт борьбы с компьютерными вандалами. Однако применение этих правил в повседневной работе определяется yровнем самодисциплины и сознательности пользователя. И в Internet, и в локальной сети каждый пользователь должен помнить о том, что не только yмышленные, но и небрежные его действия могyт нанести серьезный yщерб информации дрyгих пользователей, а не только его собственной, а также работоспособности и правильномy фyнкционированию всей сети в целом. Из "Правил выбора пароля" Пароли НЕ ДОЛЖНЫ состоять из: - вашего идентификатора входа ни в каком виде; - только цифр или одинаковых букв, а также какой-либо информации о вас и ваших близких; слов, которые можно найти в любом словаре. Пароли ДОЛЖНЫ: - содержать строчные и прописные буквы; - содержать небуквенные символы (цифры, знаки пунктуации, специальные символы).
- Пароли следует менять не реже чем раз в полгода, и не чаще чем раз в месяц.
Из "Правил работы пользователя в ЛВС ИКИ" - Пользователь несет персональную ответственность за использование нелицензионного программного обеспечения. Пользователю ЛВС ИКИ запрещается: - использовать любые программные и аппаратные средства, которые могут привести к перегрузке сети или иным способом негативно повлиять на ее работу; - использовать программы подбора паролей пользователей других компьютеров сети; - вносить изменения в файлы, не принадлежащие самому пользователю; - использовать любые программные и аппаратные средства для несанкционированного доступа к компьютерам, маршрутизаторам или другим ресурсам сети; разрабатывать и распространять любые виды компьютерных вирусов, "троянских коней" или "логических бомб". При обнаружении попыток несанкционированного доступа или каких-либо подозрительных действий пользователю необходимо информировать обслуживающий персонал сети.
C.Wilder, B.Violino
Преступления на "интерактивной почве"
Новые границы киберпространства открывают широкие возможности для новшеств, деловой активности и извлечения прибыли. Но есть у интерактивного мира и другая сторона - снижение степени безопасности корпораций. Сеть Internet породила нелегальный рынок, где сбывается информация, составляющая коммерческую тайну корпораций. По оценкам правоохранительных органов, интерактивные преступники ежегодно крадут информацию более чем на 10 млрд. долл. Однако закон до сих пор проигрывает в сражении с ними. Киберворы пользуются преимуществами, которые дает им система защиты Internet, включая свободно распространяемые алгоритмы шифрования с открытым ключом и анонимные узлы ретрансляции электронной почты. Эти средства служат укрытием для торговцев похищенной информацией во всем мире. Степень риска для корпораций повышается независимо от того, работают они по Internet или нет. Угрозу представляет не только возможность проникновения в корпоративную сеть через брандмауэр, но и само становление интерактивного рынка корпоративных данных, которые могут быть украдены и собственными сотрудниками компании.
"Нелегальная деятельность по сети изменила лицо корпоративной службы безопасности", - говорит Ричард Ресс (Richard Ress), особый агент отряда ФБР по компьютерной преступности. - Раньше мог исчезнуть один ящик секретных сведений. Теперь же нетрудно скопировать и отправить по электронной почте эквивалент сотен таких ящиков. Все, что для этого требуется, один хакер. В тот же вечер все сообщество хакеров будет в курсе дела". В число нелегально продаваемой и покупаемой информации входят номера талонов на телефонные переговоры, выдаваемых компаниями междугородной связи, коды подключения к службам сотовой связи, номера кредитных карточек, "вынюхивающие" алгоритмы взлома защиты и пиратские копии программного обеспечения. В некоторых случаях покупателями этой информации являются криминальные структуры, такие как продавцы пиратского ПО, которые покупают украденные номера талонов, чтобы бесплатно звонить по международному телефону. Что еще опаснее, на этом рынке распространяются коммерческие секреты организаций, в частности планы исследований и разработок компаний, занимающихся высокими технологиями. Хотя наибольшим атакам подвергаются сегодня телефонные службы и компании, выдающие кредитные карточки, повышение интенсивности интерактивной коммерции между крупными корпорациями может существенно увеличить риск электронных краж для всей промышленности. "По мере выхода коммерции на информационную магистраль мы все становимся мишенями, - говорит Ф.У.Гербрахт (F.W.Gerbracht), вице-президент по операциям, системам и телекоммуникациям компании Merrill Lynch&Co. (Нью-Йорк). - Риску подвергаются программные агенты и другие объекты".
Жертвами самой крупной интерактивной кражи информации на сегодняшний день стали сеть MCI и телефонные компании дальней связи, которые терроризировал служащий, работающий под прикрытием анонимности киберпространства. Техник коммутатора MCI Иви Джеймс Лэй (Ivy James Lay), арестованный в прошлом году в г. Гринсборо (шт. Сев. Каролина), обвинен в январе этого года в краже 60 тыс. номеров талонов на телефонные переговоры и кредитных карт, которые впоследствии использовались хакерами в Германии, Испании и других европейских странах. Лэй, известный в мире хакеров под псевдонимом "Рыцарь тени", получил более четырех лет тюрьмы. Испанский конспиратор Макс Лоурн (Max Louarn) был приговорен к пяти годам и штрафу в 1 млн. долл. В его деле участвовало еще пять человек.
Многие интерактивные сделки по купле-продаже так называемых черных данных нередко осуществляются через частные электронные доски объявлений (BBS), организованные специально для незаконной торговли. Для уловки на этих BBS часто используются легитимные наименования, а также осуществляется несколько уровней проверки на основе паролей с вопросами и ответами. "Здесь не желают иметь дела с неопытными игроками", - рассказывает Роберт Фрил (Robert Friel), особый агент отдела электронных преступлений правительственной службы Secret Service (Вашингтон).
Обеспечив свою собственную безопасность, хакеры или другие владельцы нелегальной информации дают на BBS объявления для потенциальных покупателей и продавцов. Такие BBS обычно через два-три месяца закрываются, меняют адрес в киберпространстве и телефонный номер. Покупатели данных В последние месяцы нелегальный обмен данными охватил и телеконференции Usenet. Здесь сообщения о таких данных передаются при помощи программ шифрования с открытым ключом, в частности алгоритма Pretty Good Privacy (PGP), а также анонимных посреднических почтовых узлов. Человек, располагающий ценной информацией, посылает в одну из телеконференций через анонимный почтовый узел самоадресуемое текстовое почтовое сообщение, исходящий адрес IP (Internet Protocol) которого проследить невозможно. Заинтересованный покупатель отвечает зашифрованным сообщением. Если продавец согласен на сделку, он отвечает другой шифровкой. Это тот случай, когда связь осуществляется "втемную" - полностью анонимно. "Выражаясь военным языком, это как черный туннель, шифрованный канал, - поясняет один хакер. - Никаких открытых сообщений. Обе стороны ничего не знают друг о друге. Они не знают даже, с каким континентом они общаются". Представители правоохранительных органов отмечают, что проблема не в технологии, а в образе поведения. "Если кто-то уверен в своей анонимности, он начинает делать такие вещи, какие в ином случае не пришли бы ему в голову, - говорит Р. Фрил из секретной службы. - Что же касается технологии, то блюстители закона просто должны быть лучше оснащены". Что могут сделать компании для своей защиты? Эксперты по безопасности рекомендуют тщательно, по этическим и моральным критериям, отбирать сотрудников, которым поручается создание брандмауэров. Корпорация In surer Chubb (Уорен, шт. Нью-Джерси) недавно создала отдел для разработки внутренних стандартов по коммуникациям Internet. "Это будут правила для сотрудников, которым те должны следовать при любом обращении к сети", - поясняет вице-президент по информационным системам и передовым технологиям Джим Уайт (Jim White). Массированные атаки Но нанести вред и причинить финансовый ущерб компании-жертве хакеры могут и не прибегая к краже. Приемом, известным как "пинание" (pinging), хакер способен вывести из строя IP-адрес Internet, бомбардируя его тысячами почтовых сообщений посредством автоматических инструментов переадресации почты. Подобные алгоритмы типа "hacktick", "penet" и "spook" услужливо предлагаются в качестве бесплатно распространяемого ПО. Следствием "пинания" может стать так называемое игнорирование атак запросов на обслуживание. Это подобие электронного вандализма чревато выходом из строя коммуникаций в критический для фирмы момент конкурентной борьбы и не менее опасно, чем кража данных. "Безопасность информации зиждется на трех китах: конфиденциальности, информационной целостности и доступности, - говорит Уинн Швартау (Winn Schwartau), президент консультационной фирмы Interpact (Семинол, шт. Флорида). - Все больше внимания уделяется брандмауэрам и паролям. Но даже если вы поставите самый надежный брандмауэр в мире и воспользуетесь шифрованием, злоумышленники все равно могут допечь вас массированными атаками запросов на обслуживание".
Общим правилом стало молчание пострадавших. Большинство компаний, сети которых были выведены из строя киберналетчиками, избегают огласки этих инцидентов. Они боятся дурной славы и новых атак со стороны других хакеров, вынюхивающих слабые места. Другая потенциальная угроза: судебные иски со стороны акционеров. Компании несут ответственность за ущерб, причиненный бизнесу, и последующее падение стоимости акций, если будет признано, что они пренебрегали мерами безопасности. "Мы только начинаем обучение юристов, умеющих вести дела против компаний, которые шли на компромиссы в отношении защиты информации", - отмечает Рэй Каплан (Ray Kaplan), консультант фирмы Security Services, занимающейся защитой корпоративной информации (Ричфилд, шт. Миннесота). - Пройдет некоторое время, и акционеры смогут подавать в суд на компании, подвергавшиеся атакам хакеров. Корпоративной Америке придется по всей строгости закона отвечать за недальновидность при создании инфраструктуры". Например, случай внедрения злоумышленников во внутренние производственные информационные системы поставщика сетевого оборудования Silicon Valley R&D в феврале 1994 г. остается под покровом секретности. "Нападение", предпринятое пресловутой группой хакеров, известной как Posse, послужило причиной остановки предприятия на два дня. После этого несколько специалистов компании, ответственных за происшедшее, были уволены. От этой группы пострадало еще шесть- семь компаний, некоторые из аэрокосмической и финансовой отраслей. Распространение электронной коммерции приводит к созданию все новых интерактивных каналов связи, и нет гарантии, что любой из промежуточных каналов не окажется уязвимым местом с точки зрения защиты. Таким звеном может стать даже компания-подрядчик, выполняющая отдельные поручения. "Члены группы Posse действуют очень продуманно; они подбираются к вашим поставщикам и партнерам, - рассказывает один консультант по защите информации. - Были случаи, когда хакеры проникали в информационные системы наших клиентов через посредство организаций, оказывающих услуги по прямому подключению к сети, если те не обеспечивали надлежащих мер безопасности". Однако независимо от того, где происходит утечка информации - в самой компании или у ее партнеров, соблазн, вызываемый прибыльным рынком интерактивных данных, ошеломляюще действует на недобросовестных сотрудников. Это подтверждает и дело о талонах на междугородные переговоры, выдаваемые компанией MCI, о котором уже упоминалось выше. "Такой человек, как осужденный за киберворовство Лэй, не связан с международными преступными группировками, - говорит представитель MCI. - Очевидно, его привлек кто-то из сотрудников. Самый большой риск с точки зрения безопасности не обязательно исходит от квалифицированного хакера".
Только промышленность сотовой телефонной связи США теряет из-за мошенничества 1,5 млн. долл. в день. Как отмечает Фрил из Secret Service, с учетом потерь компаний междугородной телефонной связи ежегодные общие убытки составляют 4 - 5 млрд. долл.
Так, в феврале прошлого года на британской хакерской BBS Living Chaos имелась 61 тысяча номеров американских талонов на междугородные переговоры, переданных туда сотрудником вашингтонской телефонной компании Cleartel Communications через посредника в Испании.
Еще одна потенциальная угроза - расширение круга информационных брокеров, использующих интерактивные коммуникации для установления контакта между покупателями и продавцами. Все большее число таких брокеров (многие из которых являются бывшими сотрудниками разведывательных организаций США и Восточной Европы) тесно сотрудничают с хакерами, добывая информацию незаконными путями. "Самая крупная проблема защиты информации, с которой организации сталкиваются в наши дни, это информационные брокеры, - считает Дэн Уайт (Dan White), директор по защите информации в компании Ernst & Young (Чикаго). - С момента окончания холодной войны появилось множество людей, обученных шпионажу, которым нечем заняться".
В конце 1993 или начале 1994 г. в одной из телеконференций Usenet появилась служба, называемая BlackNet, открыто рекламирующая услуги информационных брокеров. BlackNet оказалась хакерской мистификацией, однако сам факт говорит о серьезности проблемы.
В рекламе сообщалось, что служба покупает и продает "коммерческие тайны, технологии, методы производства, планы выпуска новых изделий, деловую и финансовую информацию" с использованием как методов шифрования с открытым ключом, так и через анонимных посредников. Распространяемое объявление было красноречивым: "BlackNet может открывать анонимные депозитные банковские счета в любом местном банке, где закон это позволяет, непосредственно пересылать деньги по почте или предоставит вам кредит во внутренней валюте BlackNet "CryptoCredits". Сообщение было настолько дерзким, что некоторые хакеры заподозрили в нем провокацию, организованную правоохранительными органами. BlackNet - это реальность Но независимо от этой конкретной выходки, "концепция BlackNet реальна, - утверждает Джим Сеттл (Jim Settle), бывший руководитель группы по расследованию национальных компьютерных преступлений ФБР, а теперь директор фирмы I/Net (Бетесда, шт. Мэриленд), занимающейся предоставлением услуг по защите информации. - Если у вас есть что продать, вы помещаете объявление в BlackNet и вам находят покупателя. Сегодня для этого есть все возможности. Проблема правоохранительных органов заключается в том, как выявить подобную деятельность. Где находятся организаторы? В некоторых странах это, может быть, даже не запрещено законом".
Майк Нельсон (Mike Nelson), консультант Белого дома по информационным технологиям, добавляет: "Нас беспокоит общая проблема анонимности в киберпространстве. Это лишь один из примеров того, как ее можно использовать". Он отметил, что Министерство юстиции расследует дела, подобные BlackNet. Шеф отдела министерства по компьютерным преступлениям Скотт Чарни (Scott Charney) отказался от комментариев относительно BlackNet, но сказал, что "раз компании помещают в Internet ценную информацию, неудивительно, что она служит приманкой для нечистоплотных людей".
Конечно, в краже коммерческих секретов нет ничего нового. Но Internet и другие интерактивные службы открывают торговцам информацией новые возможности для поиска и обмена данными. Для правоохранительных органов борьба с кибернетической преступностью - тяжелая задача. Хотя власти пытаются решить ее, например, организовав курсы по компьютерным преступлениям и телекоммуникационному мошенничеству в Федеральном учебном центре (Глинко, шт. Джорджия), - это, конечно, не большое утешение для корпораций.
"Именно в этой сфере будут сосредоточены все преступления в XXI веке, - полагает Джозеф Синор (Joseph Seanor), ветеран федеральной правительственной службы, в настоящее время возглавляющий занимающуюся сбором сведений о компаниях фирму Computer Intelligence Business Investigative Resources (Александрия, шт. Виргиния). - Правоохранительные органы стараются положить им конец, но это непосильная задача. Когда речь идет о технологиях, преступники всегда оказываются на один шаг впереди".
В.Шершульский, М. Едемский, К. Лубнин
На Internet и суда нет
На глобальную сеть Internet за последние три недели совершено почти одновременно несколько нападений, причем на разные серверы. В связи с этими "виртуальными сбоями" пострадали в том числе и российские клиенты фирмы "ИнфоАрт", которые пытались воспользоваться ее услугами. Хотя потери с нашей стороны пока не так велики, есть шанс, что в следующий раз последствия от взлома могут быть более угрожающими... Что делать в такой ситуации? Чем грозят пользователям эти взломы. Многим. В том числе Ч и потерей денег. В сетях порнографии 11 сентября в 14.35 по московскому времени при невиннейшей на первый взгляд попытке узнать через Internet текущие котировки ГКО мы заглянули на страничку компании "ИнфоАрт" по адресу www.ritmpress.ru. Каково же было наше удивление, когда вместо сухих и привычных сводок мы обнаружили картинки весьма фривольного, мягко говоря, содержания. Порнография. Но каким образом? Все попытки еще раз через адрес выйти на страницу "Экономика и финансы" заканчивались все той же порнухой. Забыв о ГКО, мы бросились выяснять, что же произошло на самом деле - вирус или другая компьютерная зараза вероломно проникли в наш компьютер? Специалисты по компьютерным сетям сразу отвергли нашу гипотезу о вирусах. "Взломали сервер", - авторитетно заявили программисты. "И что?" - не поняли мы, вынудив компьютерщиков подробнее рассказать о случившемся. В переводе на нормальный русский язык их объяснения выглядят приблизительно так.
У каждого пользователя Internet есть свой адрес, например www.microsoft.com - адрес компании Microsoft. При взломе меняется адрес, соответствующий интернетовскому имени пользователя, а его собственное имя присваивается другому адресу, и с этого момента все сообщения идут по ложному адресу. В нашем случае хакеры заменили слово в имени "ИнфоАрт" (www.ritmpress.ru) - на имя сервера, где находится порнография, на, извините, www.free.ru. Поэтому те, кто интересовался в Internet погодой или финансовыми новостями через привычный сервер, наталкивались на... хм, ну, понятно, что... Этого не могло случиться - буквально хором повторяли все программисты, с которыми мы разговаривали на эту тему. Но против фактов не попрешь, и то, чего не должно было быть, наконец-то произошло. Сам по себе факт, конечно, интересный и примечательный. Да, пострадала компания "ИнфоАрт", да, некоторые неудобства испытали люди, которым именно в этот момент необходимо было ознакомиться с деловыми новостями (надеемся, необходимость не была смертельной), кто-то не попал в библиотеку. Неприятности, которые, согласитесь, можно пережить. Но, к сожалению, сам факт "перемены адресов" в Internet может иметь значительно более серьезные последствия. Что означает на самом деле взлом сервера и изменение адреса? Что конкретно еще могут сделать такие злоумышленники? Можно взять и создать липовую фирму в Internet, при помощи которой каждый из нас как будто бы может заказать себе авиабилеты на нужный рейс в любую точку земного шара (как известно, эти услуги сетью предусмотрены). Фирма вроде бы и есть, но реально она никаких услуг не оказывает. Мы, понимаешь, перевели деньги на счет несуществующей компании, и после этого можем до бесконечности долго ожидать, когда же эти самые билеты окажутся у нас на руках. А никогда. В это время наши деньги (страшно подумать!) уже перекочевали на счет компании-"призрака". Взломав сервер, можно выйти и на банковскую компьютерную систему, подключенную к Internet. Но, слава Богу, не все банки работают в режиме online. А что если какому-нибудь "взломщику" придет-таки в голову мысль "исправить" счет банка? И все наши денежки потекут по компьютерным сетям на какой-то совсем другой счет, в какой-нибудь банк далекой Швейцарии?
В принципе Internet - огромный сборник разнообразной информации. На Западе пользователи сети уже дожили до того, что заглядывают в глобальную сеть по любому бытовому поводу: купить что-нибудь (от пиццы до квартиры), заказать гостиницу на отдых, найти по вакансиям новое место работы, получить биржевую сводку и т. д. В этом случае кровно заинтересованные персоны-хакеры могут, взломавши сеть, несколько исказить информационные данные. Например, завысить вполне приемлемую цену музыкального центра Sony в каком-нибудь магазине бытовой техники. Или вы можете произвести проплату покупки на никому не известный счет. А еще лучше забронировать себе номер в отеле "Крийон", приехать в Париж и выяснить, что вас там совсем не ждали. Каково? В общем, "виртуальные" диверсии в Internet пока нам ничем таким серьезным еще не угрожали, но прецедент создан - сеть взломана. Значит, никто не гарантирован от иезуитского вмешательства на любом сервере Internet.
Да что мы, обыкновенные пользователи! Наш ущерб меркнет перед потерями, которые уже несут западные банки, фирмы и даже... некоторые разведывательные службы.
Да что там далеко ходить? В тот же злополучный день московского взлома Ч пострадал не только "ИнфоАрт" - на другой стороне земного шара сотрудники ЦРУ вынуждены были спешно отключить свой WWW-сервер публичного доступа. Подробности нам неизвестны, однако мы полагаем, ЦРУ есть что прятать. Злоумышленник проник сквозь "огненную стену" защиты, "несанкционированно изменил" несколько страничек Internet и устроил утечку секретной информации. Правда, представители ЦРУ категорически эту версию опровергают... После этого конфуза в ЦРУ, без сомнения, полетит немало голов в отделе компьютерной безопасности. Но взломы сети Internet происходили и раньше. Правда, почти все они мало касались российских граждан. Если не считать тот известный случай, когда два года назад некий санкт-петербургский программист вскрыл систему защиты City Bank и выкачал 10 млн дол. со счетов ничего не подозревающих вкладчиков. Кстати, следствию по этому делу не видно конца и края, поскольку доказать вину компьютерного преступника практически невозможно. Американский банк, конечно, компенсировал вкладчикам потери... А мы с вами получили большие неприятности Ч City Bank повел борьбу против российских владельцев своих пластиковых карт. Кто виноват?
Если не считать электронных платежей, то многое другое в Internet до недавнего времени держалось на исторически сложившемся доверии. Свобода самовыражения породила в рекордно короткие сроки невероятно разнообразный и богатый мир общедоступной информации по любым аспектам человеческой жизни.
Но эта же свобода соблазняет изощренных преступников. В виртуальном мире Internet возможны фантастические виртуальные преступления. Для похищения секретов не обязательно ночью проникать в офис компании - можно проникнуть в ее компьютерную сеть с другого конца земного шара. Можно уничтожить конкурента, не бросая бомбы в его офис - достаточно на несколько дней отключить его от Internet или подменить страничку в сети. Конечно, осуществить такую операцию трудно и требует не только знаний, но и большого везения. История Internet еще не знала случаев подмены "призраком" целого информационного агентства. Происшедшее с "ИнфоАрт" может иметь самые разные причины - от глупой хулиганской выходки до выпада недобросовестных конкурентов. Другая вероятная версия - месть. Три недели назад информационное агентство отпочковалось от крупного российского провайдера (фирма, подключающая за плату к Internet) компании "Демос". В общем это событие и могло спровоцировать тот казус, когда вместо котировок ГКО и других экономических новостей на экране появилось неизвестно что...
Но зачем все это? Что им делить? Internet еще не приносит астрономических прибылей, но фирмы, которые берут деньги за информацию или за электронные услуги типа заказа авиабилетов, бронирование номера в гостинице или, на худой конец, заказ пиццы на дом, "столбят" место на новом рынке и уже получают с этого доход. И это при всем том, что во всем мире через 2 - 3 года большинство покупок, платежей и деловых контрактов будут совершаться через Internet. Вполне вероятно, что все нападения на сеть последнего времени ("ИнфоАрт", ЦРУ, Panix и др.) осуществлены совершенно независимо друг от друга, однако в совокупности они вызывают ощущение "наезда" уже не на отдельные компании, а на деловые возможности и надежность Internet в целом. Конечно, можно посмеяться и выдвинуть свои шутейные версии типа: над "ИнфоАрт" кто-то глупо пошутил, на Panix напал маньяк, а ЦРУ досталось в отместку за каких-то молодых хакеров, находящихся под судом в Швеции.
Отбросим шутки. Всплеск преступлений против глобальной сети говорит об одном - Internet и мы, пользователи, уже вступили в эпоху, когда "виртуальные" преступления начали приносить глобальную "прибыль" хакерам.