исходных файлах.
Из осведомленных источников известно, что Rome Lab является не
единственным компьютерным центром министерства обороны США, пострадавшим
подобным образом. Даже сама последовательность событий, начиная с про-
никновения хакера в сеть и кончая его обнаружением представителями ВВС,
к сожалению, все чаще повторяется как в государственных, так и в коммер-
ческих сетях. Хакер смог овладеть управлением одной небольшой сети лабо-
ратории ВВС, которая состоит из трех рабочих станций фирмы Sun
Microsystems и двух X- терминалов, что составляет менее 3% вычисли-
тельной мощности всех Unix- cистем этой лаборатории. Данная сеть ис-
пользовалась для проверки макета программного обеспечения, в котором
имелись ошибки. Как заявил Френсис Крамб (Francis Crumb), руководитель
отдела по связям с общественностью Rome Lab, основной ущерб составил 46
тыс. долл., затраченных на оплату сверхурочной работы (хотя некоторую
часть этой работы было необходимо проделать в любом случае). Взломав эту
систему, хакер также попытался проникнуть в другие военные и не только
военные вычислительные центры, названия которых не сообщаются. Он инс-
таллировал несколько специальных программ слежения за сетью, которые
позволяют злоумышленникам перехватывать нажатия клавиш при работе
пользователя с сетью и определять вводимые им секретные коды и пароли.
"Мы наблюдали, как он связывался с Internet, используя сеть лаборато-
рии Rome в качестве промежуточного канала", - сказал Джим Кристи (Jim
Christy), директор отдела по расследованию компьютерных преступлений ВВС
(AFOSI).
Как рассказал Крамб, к вечеру в понедельник все компьютеры лаборато-
рии Rome были приведены в полный порядок, исправлены все замеченные
изъяны в операционной системе, а также установлены дополнительные
средства безопасности. Было протестировано сто девяносто шесть Unix-cис-
тем. "Одна система, которая не смогла удовлетворить минимальным требова-
ниям безопасности, была остановлена", - отметил он. Хакер скрывал свое
местонахождение в Европе, осуществляя связь из других сетей, расположен-
ных в различных странах мира. "Чтобы связаться с лабораторией Rome со
своего компьютера, ему потребовалось 30 минут. Он осуществлял связь че-
рез Чили и Бразилию, иногда через Гавайи", - сообщил Кристи.
Для задержания преступника потребовались совместные действия правоох-
ранительных органов штата Техас, отдела AFOSI, информационного центра
ведения боевых действий ВВС (AFIWC) на военно-воздушной базе Келли, а
также правоохранительных органов в Европе. "Чтобы иметь возможность выс-
ледить злоумышленника, персонал AFIWC, получив разрешение командующего
Rome Laboratory, позволил хакеру еще в течение двух недель по-прежнему
продолжать подключаться к сети, но уже в ограниченном и свободном от
секретной информации пространстве. В конце концов это позволило высле-
дить его и арестовать", - сказал Крамб. На протяжении двух недель AFOSI
поддерживал связь с Европой по телефону. "Чтобы разгадать методику хаке-
ра, потребовалось бы немало времени. Поэтому нам разрешили использовать
дополнительную информацию. Мы связались с отделом компьютерных преступ-
лений той страны, откуда был наш "герой", который и привлек к работе те-
лекоммуникационные компании. После проведения собственного расследова-
ния, было получено разрешение на обыск. Злоумышленника застали как раз в
тот момент, когда он работал за своим компьютером", - сказал Кристи. По
признанию хакера, он покушался также на взлом многих других систем, под-
робности о которых не сообщаются. Как заявили представители ВВС, хакер
был пойман, арестован и допрошен, в его доме проведен обыск, был конфис-
кован его компьютер. "По делу проводится расследование, после которого
будет предъявлено обвинение", - сказал Кристи.
"Этот хакер был твердым орешком, но, по-видимому, на свободе осталось
еще немало подобных мошенников", - считает Кристи.
Р.Сергеев
Web-сервер "ИнфоАрт" и безопасность в Internet
11 - 13 сентября 1996 г. издательство "ИнфоАрт" испытало на собствен-
ном опыте все неприятности от несанкционированного вмешательства в слу-
жебные потоки информации сети Internet (см.: Пресс-релиз и первые откли-
ки в CW-M. 1996. щ 34 Ч 35, 37). 20 сентября представители издательства
"ИнфоАрт" и компании "Демос", являющейся на тот момент первичным провай-
дером Web-сервера "ИнфоАрт", на пресс-конференции в Москве изложили свою
точку зрения на произошедшее событие. Высказанные оценки носят, конечно,
предварительный характер и требуют дальнейшего уточнения. Однако редак-
ция надеется, что это положило начало процессу обсуждения проблем безо-
пасности в Internet и компьютерных системах вообще, и приглашает к диа-
логу всех заинтересованных читателей газеты и сервера.
В начале пресс-конференции руководитель Internet-группы издательства
"ИнфоАрт" Хачатур Арушанов изложил хронологию событий. Первый сигнал
поступил от постоянного читателя сервера Павла Эйгеса в четверг 12 сен-
тября в 16 ч 20 мин, который спрашивал, не изменила ли компания свою ин-
формационную политику и почему по привычному адресу находится информация
совсем иного рода? Специалисты "ИнфоАрт" немедленно стали выяснять ситу-
ацию.
Технологическая цепочка, по которой информация попадает на Web-сер-
вер, следующая. Вся подготовка полностью происходит в корпоративной ло-
кальной сети компании "ИнфоАрт". Затем новые материалы Web-сервера пере-
даются на "зеркала" - серверы региональных компаний, расположенные в
Днепропетровске, Пскове и Москве. (Стратегия распространения информации
сервера "ИнфоАрт" на распределенные по территории бывшего СССР "зеркала"
развивается в рамках проекта InfoArt Internet Park и нацелена на сокра-
щение временных и материальных затрат конечных пользователей при доступе
к серверу. Благодаря наличию "зеркала", в Днепропетровске например, ук-
раинским пользователям не нужно использовать медленный канал связи с
Москвой. Информация на "зеркалах", правда, при этом поступает несколько
позже оригинала, так как требуется дополнительное копирование изменений,
но это с лихвой окупается преимуществами более быстрого канала связи).
"Обратившись к основному "зеркалу" по логическому адресу
www.ritmpress.ru, - продолжал г-н Арушанов, - мы заметили, что там
представлена совершенно другая информация, хотя при обращении по физи-
ческому адресу машины все было нормально. Настроившись на доступ через
каналы различных провайдеров (ISP) - "Демос", Relcom, GlasNet, мы наблю-
дали, как ситуация постепенно "расползалась" по другим удаленным
компьютерам. По нашим данным, в пятницу 13 сентября фальшивая информация
достигла Украины и Белоруссии, а затем и США, где ее примерно в 16 часов
по московскому времени обнаружил один из наших корреспондентов, находив-
шийся в командировке в Нью-Йорке. Сразу после этого с помощью слаженных
действий электронных средств массовой информации удалось приостановить
распространение фальшивых данных и оповестить пользователей о "взломе"
сети. К понедельнику все функционировало в нормальном режиме". Директор
отдела Internet компании "Демос" Виктор Кутуков изложил свою версию и
некоторые подробности произошедших событий. С технической точки зрения
этот случай относится к проблеме именования компьютеров в Internet. Каж-
дый сервер имеет логическое имя, в данном случае
http://www.ritmpress.ru, которому соответствует уникальный цифровой
IP-адрес. В Internet существует специальная служба (DNS), которая ставит
в соответствие логическому имени конкретный IP-aдрес. Произошла несанк-
циониро-ванная замена физического адреса, соответствующего имени серве-
ра, и поэтому пользователи Internet попадали на другой сервер. О ситуа-
ции стало известно в "Демосе" 12 сентября в 17 ч 30 мин после телефонно-
го звонка. Сразу же была проверена таблица соответствий (она хранится на
специальном DNS-сервере). Там все оказалось в порядке. Более того, со
всех компьютеров офиса "Демоса" сервер RITMPress был виден как обычно.
Однако фальшивые адреса начали медленно распространяться по так называе-
мым name-серверам стихийно (так устроена Internet, и ни одна ISP-компа-
ния не может целиком контролировать ситуацию). По словам г-на Кутукова,
вести речь надо, скорее, не о "взломе", а о подмене, и если эта подмена
не повторяется, то постепенно правильные адреса и информация восстанав-
ливаются во всей сети. Случай не уникальный, в мире подобные ситуации
имели место, но вот в России по отношению к столь известному серверу та-
кое происшествие зарегистрировано впервые. Отчасти причина случившегося
заключается в несовершенстве протокола TCP/IP, на базе которого функцио-
нирует Internet, отчасти в быстром росте количества компаний Ч поставщи-
ков услуг Internet, отсутствии скоординированных мер и единого органа по
проблемам безопасности. В мировом масштабе такая организация существует.
Группа CERT (www.cert.org) обобщает рекомендации по защите компьютерных
сетей и периодически публикует анализ истатистику обнаруженных "взло-
мов". В России подобного органа пока нет, а необходимость в его создании
давно назрела. Отвечая на вопросы журналистов о возможных причинах под-
мены информации и вероятности ее повторения, представители "Демоса"
констатировали, что, скорее всего, был не технический сбой, а преднаме-
ренные действия. Происшедшее, конечно, в некоторой степени испортило ре-
номе российских ISP. Относительно же вероятности повторения подобных си-
туаций прогноз, к сожалению, был весьма неутешителен. (Его впоследствии
подтвердили и другие специалисты, которых мы попросили прокомментировать
случившееся, см. врезку.) Проследить трассу, по которой пришла неверная
информация, достаточно сложно. Максимум, что можно узнать, это адрес
сервера, откуда пришла информация. Подмену подобного рода может осущест-
вить практически любой квалифицированный специалист в организации - про-
вайдере сервиса Internet, которых в России уже более 100. Правда, такое
происшествие в результате злоумышленных действий может случиться с неко-
торой вероятностью, отличной от 100%, так как граф, по которому расп-
ространяется информация среди провайдеров, очень сложный и трудно зара-
нее предугадать, по какой конкретно ветви будет передаваться таблица
DNS. Как только DNS-сервер перегружается, что происходит в компании "Де-
мос" не реже одного раза в сутки, по Internet начинают распространяться
правильные адреса, которые постепенно заменяют фальшивые.
Программирование стало социально значимой профессией Директор Инсти-
тута системного программирования Российской Академии наук Виктор Иванни-
ков Программирование постепенно приобретает огромную социальную значи-
мость. Влияние его на общество становится сравнимо с влиянием профессии
врача и учителя, где этический кодекс стоит на одном из первых мест. В
общем случае подобные "шутки" с Internet - типичные вещи, нарушающие
профессиональную этику. На мой взгляд, единственный способ борьбы с та-
ким хулиганством - осознание обществами, и прежде всего профессионалами
важности этических понятий в профессиональной деятельности. К сожалению,
этика не преподается как обязательный предмет в технических вузах, гото-
вящих программистов, и этические нормы воспитываются у студентов не явно
- они, например, подражают любимым преподавателям. Никогда не делать
другому того, чего не хотел бы испытать на себе, - вот одна из непремен-
ных заповедей. Всякое профессиональное сообщество (в частности, ACM,
IEEE) занимается отстаиванием и популяризацией этики, поскольку наруше-
ния этических норм в профессиональной среде наносят огромный вред всему
обществу в целом. Правовая оценка таких действий всегда отстает. Одна из