форм борьбы такого сообщества с действиями злоумышленников - координиро-
ванный бойкот специалистами тех идей, а также организаций и конкретных
лиц, которые допускают нарушение этических норм. Отрицательную роль иг-
рает и то, что хакеры, сумевшие "взломать" защиту компьютерных сетей и
нарушить нормальный ход информационных потоков, зачастую преподносятся
как герои, хотя на самом деле их действия требуют самого решительного
осуждения. Психология хакерства базируется на героизме, что и привлекает
в эту сферу массу людей. К сожалению, очень часто действия отдельных
программистов переходят из области невинных шалостей в сферу серьезных
преступлений.
Сергей Полунин, руководитель группы компьютерной безопасности Инсти-
тута космических исследований РАН Необходимо признать, что ситyация с
безопасностью в Internet весьма плачевна. Сеть развивается бyрными тем-
пами, и хотя средства защиты тоже не стоят на месте, темпы роста соотно-
сятся как геометрическая и арифметическая прогрессии. Сейчас все крупные
организации, в том числе и хорошо известная CERT, занимающаяся вопросами
компьютерной безопасности, испытывают огромные трудности. Учитывая, что
количество зарегистрированных попыток "взломов" достигает 170 в неделю,
CERT yспевает обрабатывать только наиболее важные сообщения. Кроме того,
надо иметь в видy, что средняя квалификация "взломщиков" повышается,
следовательно, нарyшения защиты компьютерных сетей часто проходят неза-
меченными. Даже при наличии неyничтоженных следов анализ ситyации треб-
yет значительных yсилий специалистов. Конечные пользователи при этом за-
частyю вынyждены простаивать, что далеко не всегда допyстимо. В послед-
нее время высока активность проникновений, основанных на несовершенстве
протокола TCP/IP, а именно - на возможности фальсификации IP-адресов. В
известных жyрналах "2600" и "Phrack" недавно были опyбликованы програм-
мы, базирyющиеся на этих принципах. Прием TCP session hijack реализyет
перехват yже yстановленного правомочного сеанса связи (например, сеанса
программы эмyляции терминала telnet). В Internet информация о таких
"инстрyментах" распространяется очень быстро, и поэтомy даже человек, не
обладающий глyбокими знаниями, может попытаться использовать этот слож-
ный с теоретической точки зрения прием. Дрyгой тип нападения заключается
в возможности посылки пакетов данных с фальшивыми запросами на конкрет-
ный сервер в расчете на превышение максимального значения одной из пере-
менных ядра ОС. В резyльтате сервер перестает обслyживать вновь открыва-
емые входящие TCP-сессии. (Подобный слyчай произошел в начале сентября с
компанией Panix из Нью-Йорка.) Важное значение в Internet имеет безопас-
ность распределенной БД соответствий физических IP-адресов и логических
имен, которая хранится на DNS-серверах авторизованных провайдеров и са-
мостоятельных сетей. Многие программы при проверке ограничиваются сете-
вым именем компьютера, поэтому напрямyю зависят от сохранности БД DNS
сервера. Нарядy с элементарным взломом сервера DNS известны и дрyгие,
более сложные типы нападения такого рода. Один из способов, например,
основан на использовании особенностей работы DNS-серверов с бyферами
имен. Приближенно механизм взлома выглядит так: адреса, соответствyющие
зонам ответственности одного провайдера, могyт находиться в бyферах
дрyгого, что позволяет yскорить процесс полyчения информации из БД. Поэ-
томy, взломав DNS-сервер одного провайдера, можно послать электроннyю
почтy с неправильным адресом на сервер дрyгого провайдера. Это вызовет
запрос с атакyемого сервера с просьбой прислать информацию о неизвестном
адресате. В ответ yже взломанный сервер высылает неправильнyю таблицy
DNS, которая будет записана в бyфер атакyемого сервера и до следyющей
перезагрyзки бyдет пользоваться фальсифицированной информацией, хотя ос-
танется при этом как бы "невзломанным". Бороться со взломами, обyслов-
ленными фальсификацией IP-адресов, можно лишь в глобальном масштабе. Для
этого все провайдеры должны yстановить на маршрyтизаторы фильтры и
выпyскать пакеты только с проверенными адресами. Однако написание подоб-
ных фильтров - очень трyдоемкое и кропотливое занятие, близкое к прог-
раммированию на языке низкого yровня. Кроме того, yстановка фильтров
требyет дополнительной памяти для хранения пакетов во время проверки и
замедляет работy маршрyтизатора. Тем не менее при наличии аппаратных и
человеческих ресyрсов такие фильтры нyжно обязательно внедрять. Бyрное
развитие Web-технологии также внесло свою лептy в yменьшение безопаснос-
ти Internet. Eсли раньше для работы использовались относительно простые
программы типа telnet, rlogin, ftp, то теперь появились серверы и клиен-
ты WWW, размеры исходных текстов которых сyщественно возросли. Соот-
ветственно увеличилась и вероятность ошибок, которые можно использовать
при взломе. Применение CGI-скриптов, написанных на языках командного ин-
терпретатора Unix sh, также yхyдшает сyтyацию. Иногда для полyчения не-
санкционированного достyпа к компьютерy, на котором фyнкционирyет
Web-сервер, достаточно просто дописать некyю последовательность команд
после логического имени WWW-сервера в адресной строке. Конечно, произво-
дители ПО отслеживают подобные ошибки и оснащают свои системы необходи-
мыми "заплатками" (patchs). С помощью CERT и дрyгих организаций исправ-
ления доводятся до пользователей, однако и хакерская мысль "не дремлет",
и эти энтyзиасты постоянно отыскивают новые и новые способы "взлома".
Несколько слов нyжно сказать о системе Unix, на базе которой фyнкционир-
yет большинство компьютеров в Internet. Достаточно безопасная с теорети-
ческой точки зрения, ОС Unix тем не менее остается ахиллесовой пятой в
защите Internet от несанкционированного достyпа. Безопасность конкретной
конфигурации ОС Unix напрямyю зависит от yстановленного программного
обеспечения, в частности серверов и клиентов Internet, а также коррект-
ной работы с ним. Ключевyю роль при этом играет квалификация человека,
отвечающего за yстановкy, настройкy и поддержание системы. Сyществyет
эмпирический закон, гласящий, что безопасность компьютера обратно про-
порциональна yдобствy работы на нем. Большое количество взломов происхо-
дит просто из-за небрежного отношения к проблемам безопасности конечных
пользователей. Считая, что на их компьютерах никакой конфиденциальной
информации нет и не желая yсложнять себе жизнь, они пренебрегают элемен-
тарными правилами. Однако, проникнyв на их машинy, взломщик сможет с го-
раздо большей вероятностью подслyшать идентификаторы и пароли дрyгих
компьютеров локальной сети. А атаковать сеть изнyтри проще, чем снарyжи.
Тyт yместна аналогия с подъездом - пока его дверь закрыта, злоyмышленник
не может войти и попытаться найти незапертyю дверь в какой-либо кварти-
ре. Огромное влияние на yровень безопасности компьютерных сетей имеют
организационные мероприятия и работа с конечными пользователями. На ос-
нове междyнародных рекомендаций мы разработали системy правил, обяза-
тельных для пользователей ЛВС ИКИ, а также ряд рекомендаций по выборy
паролей, конфигyрации использyемой ОС Unix и т. д. Многие из них основа-
ны просто на здравом смысле, некоторые yчитывают опыт борьбы с
компьютерными вандалами. Однако применение этих правил в повседневной
работе определяется yровнем самодисциплины и сознательности пользовате-
ля. И в Internet, и в локальной сети каждый пользователь должен помнить
о том, что не только yмышленные, но и небрежные его действия могyт на-
нести серьезный yщерб информации дрyгих пользователей, а не только его
собственной, а также работоспособности и правильномy фyнкционированию
всей сети в целом. Из "Правил выбора пароля" Пароли НЕ ДОЛЖНЫ состоять
из: - вашего идентификатора входа ни в каком виде; - только цифр или
одинаковых букв, а также какой-либо информации о вас и ваших близких; -
слов, которые можно найти в любом словаре. Пароли ДОЛЖНЫ: - содержать
строчные и прописные буквы; - содержать небуквенные символы (цифры, зна-
ки пунктуации, специальные символы).
- Пароли следует менять не реже чем раз в полгода, и не чаще чем раз
в месяц.
Из "Правил работы пользователя в ЛВС ИКИ" - Пользователь несет персо-
нальную ответственность за использование нелицензионного программного
обеспечения. Пользователю ЛВС ИКИ запрещается: - использовать любые
программные и аппаратные средства, которые могут привести к перегрузке
сети или иным способом негативно повлиять на ее работу; - использовать
программы подбора паролей пользователей других компьютеров сети; - вно-
сить изменения в файлы, не принадлежащие самому пользователю; - ис-
пользовать любые программные и аппаратные средства для несанкционирован-
ного доступа к компьютерам, маршрутизаторам или другим ресурсам сети; -
разрабатывать и распространять любые виды компьютерных вирусов, "троянс-
ких коней" или "логических бомб". При обнаружении попыток несанкциониро-
ванного доступа или каких-либо подозрительных действий пользователю не-
обходимо информировать обслуживающий персонал сети.
C.Wilder, B.Violino
Преступления на "интерактивной почве"
Новые границы киберпространства открывают широкие возможности для
новшеств, деловой активности и извлечения прибыли. Но есть у интерактив-
ного мира и другая сторона - снижение степени безопасности корпораций.
Сеть Internet породила нелегальный рынок, где сбывается информация, сос-
тавляющая коммерческую тайну корпораций. По оценкам правоохранительных
органов, интерактивные преступники ежегодно крадут информацию более чем
на 10 млрд. долл. Однако закон до сих пор проигрывает в сражении с ними.
Киберворы пользуются преимуществами, которые дает им система защиты
Internet, включая свободно распространяемые алгоритмы шифрования с отк-
рытым ключом и анонимные узлы ретрансляции электронной почты. Эти
средства служат укрытием для торговцев похищенной информацией во всем
мире. Степень риска для корпораций повышается независимо от того, рабо-
тают они по Internet или нет. Угрозу представляет не только возможность
проникновения в корпоративную сеть через брандмауэр, но и само становле-
ние интерактивного рынка корпоративных данных, которые могут быть укра-
дены и собственными сотрудниками компании.
"Нелегальная деятельность по сети изменила лицо корпоративной службы
безопасности", - говорит Ричард Ресс (Richard Ress), особый агент отряда
ФБР по компьютерной преступности. - Раньше мог исчезнуть один ящик сек-
ретных сведений. Теперь же нетрудно скопировать и отправить по электрон-
ной почте эквивалент сотен таких ящиков. Все, что для этого требуется, -
один хакер. В тот же вечер все сообщество хакеров будет в курсе дела". В
число нелегально продаваемой и покупаемой информации входят номера тало-
нов на телефонные переговоры, выдаваемых компаниями междугородной связи,
коды подключения к службам сотовой связи, номера кредитных карточек,
"вынюхивающие" алгоритмы взлома защиты и пиратские копии программного
обеспечения. В некоторых случаях покупателями этой информации являются
криминальные структуры, такие как продавцы пиратского ПО, которые поку-
пают украденные номера талонов, чтобы бесплатно звонить по международно-
му телефону. Что еще опаснее, на этом рынке распространяются коммерчес-
кие секреты организаций, в частности планы исследований и разработок
компаний, занимающихся высокими технологиями. Хотя наибольшим атакам
подвергаются сегодня телефонные службы и компании, выдающие кредитные
карточки, повышение интенсивности интерактивной коммерции между крупными
корпорациями может существенно увеличить риск электронных краж для всей
промышленности. "По мере выхода коммерции на информационную магистраль
