На самом деле, у этой проблемы существует по меньшей мере две стороны: одна положительная, другая отрицательная, и между ними проходит четкая граница. Эта граница, на мой взгляд, разделяет всех специалистов, работающих в области нарушения информационной безопасности, на хакеров и кракеров. И те и другие во многом занимаются решением одних и тех же задач - поиск уязвимостей в вычислительных системах и осуществлением на них атак ("взлом").
Но самое главное принципиальное отличие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера - исследуя вычислительную систему, обнаружить слабые места (уязвимости) в ее системе безопасности с целью дальнейшего информирования пользователей и разработчиков системы для последующего устранения найденных уязвимостей. Другая задача хакера - проанализировав безопасность вычислительной системы, сформулировать необходимые требования и условия повышения уровня ее защищенности.
С другой стороны, основная задача кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации для ее кражи или искажения. То есть кракер, по своей сути, ничем не отличается от обычного вора, только, в отличие от вора, взламывающего чужие квартиры и крадущего чужие вещи, кракер взламывает чужие вычислительные системы и крадет чужую информацию. Вот в чем состоит кардинальное отличие между теми, кого я называю хакерами и кракерами: первые - исследователи компьютерной безопасности, вторые - просто воры или вандалы - разрушители. При этом хакер, в моей терминологии, это, по определению, специалист, а 9 из 10 кракеров являются "чайниками", которые взламывают плохо администрируемые системы в основном благодаря использованию чужих программ (обычно эти программы называются exploit'ами - от анг. exploit - разрабатывать).
Как считают сами профессиональные кракеры, лишь около 10 процентов взломов осуществляется действительно профессионалами. Эти профессионалы - бывшие хакеры, ставшие, как это ни высокопарно звучит, на путь нарушения законности. Их остановить, в отличие от кракеров-"чайников", действительно очень сложно, но, как показывает практика, отнюдь не невозможно (вспомните Митника и Шимомуру). Очевидно, что для предотвращения возможного взлома или устранения его последствий требуется пригласить квалифицированного специалиста по информационной безопасности - профессионального хакера.
Однако, с моей точки зрения, все не так однозначно. Было бы несправедливо смешать в одну кучу всех кракеров, однозначно назвав их ворами и вандалами. На самом деле, все кракеры, по цели, с которой осуществляется взлом, по моему мнению, делятся на следующих три класса: вандалы, "шутники", взломщики.
Вандалы - самая ненавидимая и, надо сказать, самая малочисленная часть кракеров, основная цель которых - взломать систему с целью ее разрушения. К ним можно отнести, во-первых, кракеров, любителей команд типа: rm -f -d *, del *.*, format c: /U и.т.д., и, во-вторых, кракеров, специализирующихся на написании вирусов или троянских коней-разрушителей. Совершенно естественно, что весь компьютерный мир ненавидит кракеров-вандалов лютой ненавистью. Однако эта стадия кракерства характерна обычно для новичков и у нормальных кракеров быстро проходит (я никогда не мог понять вирусописателей, создающих деструктивные вирусы и наносящих тем самым вред беззащитным пользователям). Кракеры, которые даже с течением времени ну миновали эту стадию, а только все более совершенствовали свои навыки разрушения (например, Dark Avenger) иначе, чем социальными психопатами не назовешь - обычная патология.
"Шутники" - наиболее безобидная часть кракеров (конечно, в зависимости от того, насколько злые они предпочитают шутки), основная цель которых - известность, достигаемая ими взломом компьютерных систем, оставляя там различные визуальные эффекты. "Шутники" обычно не наносят существенный ущерб (разве что моральный). На сегодняшний день в Internet это наиболее распространенный класс кракеров, обычно осуществляющих взлом Web-серверов, оставляя там упоминание о себе. К "шутникам" также можно отнести создателей вирусов с различными визуально-звуковыми эффектами (музыка, дрожание или переворачивание экрана, рисование всевозможных картинок и.т.д.). Все это, в принципе, либо невинные шалости начинающих, либо - рекламные акции профессионалов.
Взломщики - профессиональные кракеры, пользующиеся наибольшим почетом и уважением в кракерской среде, основная задача которых - взлом компьютерной системы с целью кражи хранящейся там информации. В общем случае, для того чтобы осуществить взлом системы, необходимо пройти три следующих стадии: исследование вычислительной системы, программная реализация атаки, непосредственное осуществление атаки. Естественно, настоящим профессионалом можно считать того кракера, который для достижения своей цели проходит все три стадии (например, Р.Т. Моррис). С некоторой натяжкой также можно считать профессионалом того кракера, который, используя добытую третьим лицом информацию об уязвимости в системе, пишет программную реализацию данной уязвимости. Осуществить третью стадию, очевидно, может каждый, использую чужие разработки (exploit'ы). В принципе, то, чем занимаются взломщики - это обычное воровство. Абстрагируясь от предмета кражи, будь то файл или автомобиль, компьютерные взломщики ничем не отличаются от обычных преступников. Но у нас в России, как обычно, все не так просто. Я считаю, что в стране, где более чем 90 процентов программного обеспечения является пиратским, то есть - украденным теми же взломщиками, никто не имеет морального права "бросить в них камень". Конечно, взлом компьютерных систем с целью кражи я ни в коем случае не могу назвать достойным делом, но и упрекать кракеров-взломщиков я также не имею никакого права.
В заключение я хотел бы добавить, что сейчас в стадии завершения находится написанная мной в содружестве с двумя соавторами книга "Информационные войны в сети Internet", из которой вы сможете извлечь много интересной для себя информации об удаленных атаках на хосты Internet (с максимально наглядными примерами и описанием механизмов атак). Для желающих ознакомится с укороченным вариантом рекомендую мою 4 главу из книги "Теория и практика обеспечения информационной безопасности", изд. "Яхтсмен", 1996.
В России осужден первый хакер... или как хакера ловили
Date: 5 Feb 1998
From: Alexandr Isaev ([email protected]) Organization: TTS
Newsgroups: relcom.fido.ru.networks
"Я Уголовный кодекс чту!"
Остап Бендер.
19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание дела по обвинению Гоярчука Сергея в совершении противоправных действий, квалифицировавшихся по Статье 30 "Подготовка к преступлению и покушение на преступление", Статье 272. "Неправомерный доступ к компьютерной информации" и Статье 273. "Создание, использование и распространение вредоносных программ для ЭВМ" УК РФ.
Гоярчук С.А. является студентом 3 курса Южно-Сахалинского института Коммерции, предпринимательства и информатики.
Гоярчук С.А. являлся техническим специалистом двух организаций, заключивших договора на услуги электронной почты и сети "Интернет". В связи с этим он имел доступ к нескольким компьютерам, как в помещениях организаций, так и у себя дома, т.к. одна из организаций "передала ему один из компьютеров для ремонта кнопки питания".
При заключении договоров и в дальнейшем Гоярчук С.А. проявлял большой интерес к особенностям работы электронной почты, возможностям доступа к ней через различные сети передачи данных и сценариям работы с почтой в каждом из случаев.
В мае 1997 г. Гоярчук С.А., первоначально вручную, а в последствии используя скрипт к терминальной программе "TELEX", пытался подобрать пароли к адресам пользователей электронной почты.
Все попытки осуществлялись через номер общего пользования сети Х.25 "Спринт" в г.Южно-Сахалинске. В результате Гоярчуку удалось подобрать пароли к адресам некоторых абонентов.
Подбор проводился либо в выходные и праздничные дни, либо в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТС и ГТС Южно-Сахалинска были проведены мероприятия по определению телефонного номера, с которого работал
В ходе дальнейших оперативных проверок было выяснено, что это номер соседней квартиры, с хозяевами которой Гоярчук якобы договорился об использовании номера в ночное время.
Наблюдения за действиями Гоярчука продолжались до момента, пока он не разослал от имени ТТС некоторым пользователям электронной почты письма с просьбой сообщить все свои реквизиты, в том числе и учетные имена сети "Интернет" с паролями. В письме в очень доброжелательной форме излагалось о планируемых ТТС улучшениях сервиса, которые действительно готовились, и предлагалось сообщить свои данные для создания некой базы данных, которое почему-то было необходимо в связи с увеличением пропускной способности магистрального канала связи
Письмо было разослано с электронного адреса [email protected], который был зарегистрирован на сервере CHAT.RU. Найти владельцев этого сервера в Москве, для того чтобы определить IP адреса, с которых выполнялось соединение по POP3, не удалось не только нам, но и представителям ФСБ, которые вели следствие. Так что пользуйтесь услугами бесплатных почтовых серверов!
6 июня 1997г. было проведено задержание Гоярчука С.А. у него на квартире, в ходе которого было изъято два компьютера и около 40 дискет. В ходе исследования компьютеров на личном компьютере Гоярчука была найдена программа-скрипт SM_CRACK, электронные письма, адресованные одному из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от имени ТТС.
В ходе следствия, и в ходе судебного разбирательства Гоярчук С.А. давал очень путанные объяснения, суть которых сводилась к тому, что программу SM_CRACK он сам не составлял, а получил ее в ходе одного из CHAT сеансов он неизвестного ему пользователя SERGE. Влекомый юношеским любопытством, он запустил программу, не результатов ее на экране не увидел, поэтому решил исследовать ее дальше и оставил работать на ночь. Видимо, любопытство было столь велико, что заставляло включать ее каждую ночь в течении двух недель, а по выходным любопытство просто распирало пытливого юношу, поскольку программа работа и днем. В результате чего в последствии внутригородской трафик Х.25 составил 1 750 000 руб, которые электронной почте пришлось оплатить.
Факт наличия чужих электронных писем у себя на компьютере Гоярчук так же объяснял действием новой модификации программы SM_CRACK, так же полученной им от неведомого абонента. Эта новая версия не только подбирала пароли, но и осуществляла копирование содержимого почтового ящика на компьютер взломщика. Однако полученные письма были составлены в начале мая, а модификация появилась во второй его половине.
На этом действие мистических сил на Гоярчука не прекратилось. По его утверждениям в конце мая он получил электронное письмо без адреса отправителя и заголовка, в котором предлагалось выполнить ряд команд. Безропотно выполнив их, он обнаружил, что настройка почтовой программы странно изменилась, однако, не придав этому значения, он "что-то сделал" и с его компьютера сообщение разошлось другим пользователям.
В действительности с адреса [email protected] 30 мая в адрес одной из фирм, где работал Гоярчук С.А. было отправлено электронное письмо, текст, которого в точности совпадал с текстом, найденным у него на компьютере в отдельном файле.
Кроме этого интервал времени между получением письма от безымянного отправителя и событием "что-то сделал" составил более суток, а само событие "что-то сделал" произошло в 1 час 35 минут ночи. Именно в это время было сформировано письмо от абонент [email protected] и зафиксирована активность идентификатора сети "Интернет", который 14 мая был зарегистрирован Гоярчуком С.А., как представителем организации потребителя услуг.
В ходе судебного разбирательства Гоярчук С.А. пытался обосновать свои действия тем, что не понимал сути происходящих процессов и плохо разбирался в том, как работают компьютерные программы, которые он запускал. Однако по показаниям директора фирмы, в которой Гоярчук С.А. в течении более чем года (!) бесплатно (!!!) проходил практику, он обучал продавцов и бухгалтеров фирмы работе с компьютерными программами.
Заслушав обвиняемого и свидетелей, государственное обвинение указало на соответствие квалификации действий Гоярчука С.А. предварительным следствием. И по совокупности просило суд применить наказание в виде лишения свободы сроком на три года со штрафом в размере 200 минимальных окладов. Однако учитывая юный возраст подсудимого, положительные характеристики с мест работы и отсутствие судимостей, просило считать срок заключения условным, установив испытательный срок 2 года.
Защита, указав на техническую сложность дела, отсутствие судебной практики подобного характера, личность подсудимого, а так же помощь (?), которую подсудимый оказал следствию в ходе расследования, просил не применять к подсудимому статьи 30 и 272 УК, и ограничить наказание штрафом в 200 минимальных окладов. Кроме этого, в качестве одного из аргументов защита приводила факт отсутствия каких-либо предупреждений по поводу противоправности действий подзащитного в договоре на оказание услуг.
В результате суд пришел к решению признать Горчука С.А. виновным и применить меру наказания, предлагаемую обвинением.
Неофициальная версия происходящего.
ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!
Действия лиц, подобных Гоярчуку, кроме прямого материального ущерба, связанного с отказом организаций от оплаты трафика, созданного своими пытливыми работниками, наносят и большой косвенный ущерб.
Во-первых, нужно достаточно много усилий квалифицированного технического персонала, для того чтобы обнаружить факты подбора паролей, отследить связь событий по очень большим файлам статистики, определить место откуда действует взломщик.
Во-вторых, еще больше усилий требуется для изложения всех фактов, связанных с фактами покушений на взлом в письменном виде в форме, доступной для следственных органов и суда. Например для пояснения 20 страниц Актов об обнаружении фактов подбора паролей, написанных в ходе определения взломщика, потребовалось 60 страниц пояснений для следствия и Суда. А технические специалисты далеко не все сильны в эпистолярном жанре. Любая же неточность, неясность и не полная определенность используется защитой для того, чтобы поставить под сомнение правильность сделанных выводов.
В-третьих, во время проведения следствия и до оглашения приговора суда запрещается разглашать ход следствия. Сроки следствия и суда довольно большие, слухи о том, что у провайдера какие-то проблемы, особенно в небольших городах, расходятся быстро, что в условиях конкуренции так же сказывается на коммерческой деятельности.
Для того, что бы быть готовым к подобным событиям, рискну предложить организациям, оказывающим услуги электронной почты и сетей передачи данных, несколько советов.
1. В обязательном порядке во всех приглашениях (почтовых, FTP, при входе в сеть) , если есть явное предложение к вводу пароля, на своем национальном языке и на английском языке включите фразу о противозаконности действий лиц, подбирающих пароли.
2. Включите в договора фразу или раздел о конфиденциальности. Например "АБОНЕНТ сохраняет конфиденциальность всей информации, предоставляемой провайдером при наличии перечня, что таковая информация является "конфиденциальной" или "патентованной". Информация будет ограничена тем кругом лиц, у которых есть в ней необходимость, при этом они будут извещены о характере такой информации . К конфиденциальной информации относятся все пароли, присвоенные реквизитам АБОНЕНТА"
3. Если имеется техническая возможность, разрешите пользователям самостоятельно изменять свои пароли. Хлопоты, связанные с обучением по процедуре смены пароля, с лихвой окупятся временем, которое вы потратите, разбираясь с пользователями по поводу сумм их счетов, их ночного трафика и писем, якобы отправленных от их имени.
Если возможности удаленно менять пароли нет, то ни в коем случае не изменяйте их по телефону. Приглашайте пользователей в офис и предлагайте СОБСТВЕННОРУЧНО заполнить заявку на смену пароля с указанием даты, фамилии и подписи меняющего пароль.
4. Постарайтесь изолировать помещение, в котором располагаются технологические компьютеры, от того помещения, где у вас работают с потребителями. Если вам удастся сертифицировать технологическое помещение по безопасности, к вам очень сложно будет предъявить претензии по поводу утраты вами паролей абонентов.
5. Если пользователи активно интересуются вопросами своей безопасности, постарайтесь уделить им внимание. Не нужно убаюкивать их заявлениями, что у вас все в порядке, постарайтесь выяснить источник их беспокойства. Это будет полезно и вам, и пользователь увидит, что вы о нем беспокоитесь. Если появилось подозрение, что пользователь вас "колет", тем более с ним надо общаться как можно чаще, ведь ему можно подсказать пути, по которых вы его можете поймать.
6. Если же все-таки обнаружены факты попыток подбора паролей, оформляйте документально и заверяете у своих руководителей Акты и Служебные записки, фиксируйте в технических журналах все факты, которые имеют отношение к попыткам.