о подобных мошенников", - считает Кристи.



   Р.Сергеев

   Web-сервер "ИнфоАрт" и безопасность в Internet

   11 - 13 сентября 1996 г. издательство "ИнфоАрт" испытало на собствен-
ном опыте все неприятности от несанкционированного вмешательства в  слу-
жебные потоки информации сети Internet (см.: Пресс-релиз и первые откли-
ки в CW-M. 1996. № 34 Ч 35, 37). 20 сентября представители  издательства
"ИнфоАрт" и компании "Демос", являющейся на тот момент первичным провай-
дером Web-сервера "ИнфоАрт", на пресс-конференции в Москве изложили свою
точку зрения на произошедшее событие. Высказанные оценки носят, конечно,
предварительный характер и требуют дальнейшего уточнения. Однако  редак-
ция надеется, что это положило начало процессу обсуждения проблем  безо-
пасности в Internet и компьютерных системах вообще, и приглашает к  диа-
логу всех заинтересованных читателей газеты и сервера.
   В начале пресс-конференции руководитель Internet-группы  издательства
"ИнфоАрт" Хачатур Арушанов изложил  хронологию  событий.  Первый  сигнал
поступил от постоянного читателя сервера Павла Эйгеса в четверг 12  сен-
тября в 16 ч 20 мин, который спрашивал, не изменила ли компания свою ин-
формационную политику и почему по привычному адресу находится информация
совсем иного рода? Специалисты "ИнфоАрт" немедленно стали выяснять ситу-
ацию.
   Технологическая цепочка, по которой информация попадает  на  Web-сер-
вер, следующая. Вся подготовка полностью происходит в корпоративной  ло-
кальной сети компании "ИнфоАрт". Затем новые материалы Web-сервера пере-
даются на "зеркала" - серверы  региональных  компаний,  расположенные  в
Днепропетровске, Пскове и Москве. (Стратегия распространения  информации
сервера "ИнфоАрт" на распределенные по территории бывшего СССР "зеркала"
развивается в рамках проекта InfoArt Internet Park и нацелена на  сокра-
щение временных и материальных затрат конечных пользователей при доступе
к серверу. Благодаря наличию "зеркала", в Днепропетровске например,  ук-
раинским пользователям не нужно использовать  медленный  канал  связи  с
Москвой. Информация на "зеркалах", правда, при этом поступает  несколько
позже оригинала, так как требуется дополнительное копирование изменений,
но это с лихвой окупается преимуществами более быстрого  канала  связи).
"Обратившись   к   основному    "зеркалу"    по    логическому    адресу
www.ritmpress.ru, - продолжал г-н  Арушанов,  -  мы  заметили,  что  там
представлена совершенно другая информация, хотя при обращении  по  физи-
ческому адресу машины все было нормально. Настроившись на  доступ  через
каналы различных провайдеров (ISP) - "Демос", Relcom, GlasNet, мы наблю-
дали,  как  ситуация  постепенно  "расползалась"  по  другим   удаленным
компьютерам. По нашим данным, в пятницу 13 сентября фальшивая информация
достигла Украины и Белоруссии, а затем и США, где ее примерно в 16 часов
по московскому времени обнаружил один из наших корреспондентов, находив-
шийся в командировке в Нью-Йорке. Сразу после этого с помощью  слаженных
действий электронных средств массовой информации  удалось  приостановить
распространение фальшивых данных и оповестить пользователей  о  "взломе"
сети. К понедельнику все функционировало в нормальном режиме".  Директор
отдела Internet компании "Демос" Виктор Кутуков изложил  свою  версию  и
некоторые подробности произошедших событий. С технической  точки  зрения
этот случай относится к проблеме именования компьютеров в Internet. Каж-
дый    сервер    имеет    логическое    имя,     в     данном     случае
http://www.ritmpress.ru,  которому  соответствует  уникальный   цифровой
IP-адрес. В Internet существует специальная служба (DNS), которая ставит
в соответствие логическому имени конкретный IP-aдрес. Произошла  несанк-
циониро-ванная замена физического адреса, соответствующего имени  серве-
ра, и поэтому пользователи Internet попадали на другой сервер. О  ситуа-
ции стало известно в "Демосе" 12 сентября в 17 ч 30 мин после телефонно-
го звонка. Сразу же была проверена таблица соответствий (она хранится на
специальном DNS-сервере). Там все оказалось в порядке.  Более  того,  со
всех компьютеров офиса "Демоса" сервер RITMPress был виден  как  обычно.
Однако фальшивые адреса начали медленно распространяться по так называе-
мым name-серверам стихийно (так устроена Internet, и ни одна  ISP-компа-
ния не может целиком контролировать ситуацию). По словам г-на  Кутукова,
вести речь надо, скорее, не о "взломе", а о подмене, и если эта  подмена
не повторяется, то постепенно правильные адреса и информация  восстанав-
ливаются во всей сети. Случай не уникальный, в  мире  подобные  ситуации
имели место, но вот в России по отношению к столь известному серверу та-
кое происшествие зарегистрировано впервые. Отчасти причина  случившегося
заключается в несовершенстве протокола TCP/IP, на базе которого функцио-
нирует Internet, отчасти в быстром росте количества компаний Ч поставщи-
ков услуг Internet, отсутствии скоординированных мер и единого органа по
проблемам безопасности. В мировом масштабе такая организация существует.
Группа CERT (www.cert.org) обобщает рекомендации по защите  компьютерных
сетей и периодически публикует анализ  истатистику  обнаруженных  "взло-
мов". В России подобного органа пока нет, а необходимость в его создании
давно назрела. Отвечая на вопросы журналистов о возможных причинах  под-
мены информации и  вероятности  ее  повторения,  представители  "Демоса"
констатировали, что, скорее всего, был не технический сбой, а  преднаме-
ренные действия. Происшедшее, конечно, в некоторой степени испортило ре-
номе российских ISP. Относительно же вероятности повторения подобных си-
туаций прогноз, к сожалению, был весьма неутешителен. (Его  впоследствии
подтвердили и другие специалисты, которых мы попросили прокомментировать
случившееся, см. врезку.) Проследить трассу, по которой пришла  неверная
информация, достаточно сложно. Максимум, что  можно  узнать,  это  адрес
сервера, откуда пришла информация. Подмену подобного рода может осущест-
вить практически любой квалифицированный специалист в организации - про-
вайдере сервиса Internet, которых в России уже более 100. Правда,  такое
происшествие в результате злоумышленных действий может случиться с неко-
торой вероятностью, отличной от 100%, так как граф,  по  которому  расп-
ространяется информация среди провайдеров, очень сложный и трудно  зара-
нее предугадать, по какой конкретно  ветви  будет  передаваться  таблица
DNS. Как только DNS-сервер перегружается, что происходит в компании "Де-
мос" не реже одного раза в сутки, по Internet начинают  распространяться
правильные адреса, которые постепенно заменяют фальшивые.
   Программирование стало социально значимой профессией Директор  Инсти-
тута системного программирования Российской Академии наук Виктор Иванни-
ков Программирование постепенно приобретает огромную  социальную  значи-
мость. Влияние его на общество становится сравнимо с влиянием  профессии
врача и учителя, где этический кодекс стоит на одном из первых  мест.  В
общем случае подобные "шутки" с Internet  -  типичные  вещи,  нарушающие
профессиональную этику. На мой взгляд, единственный способ борьбы с  та-
ким хулиганством - осознание обществами, и прежде всего  профессионалами
важности этических понятий в профессиональной деятельности. К сожалению,
этика не преподается как обязательный предмет в технических вузах, гото-
вящих программистов, и этические нормы воспитываются у студентов не явно
- они, например, подражают любимым  преподавателям.  Никогда  не  делать
другому того, чего не хотел бы испытать на себе, - вот одна из непремен-
ных заповедей. Всякое профессиональное  сообщество  (в  частности,  ACM,
IEEE) занимается отстаиванием и популяризацией этики, поскольку  наруше-
ния этических норм в профессиональной среде наносят огромный вред  всему
обществу в целом. Правовая оценка таких действий всегда отстает. Одна из
форм борьбы такого сообщества с действиями злоумышленников - координиро-
ванный бойкот специалистами тех идей, а также организаций  и  конкретных
лиц, которые допускают нарушение этических норм. Отрицательную роль  иг-
рает и то, что хакеры, сумевшие "взломать" защиту компьютерных  сетей  и
нарушить нормальный ход информационных потоков,  зачастую  преподносятся
как герои, хотя на самом деле их действия  требуют  самого  решительного
осуждения. Психология хакерства базируется на героизме, что и привлекает
в эту сферу массу людей. К сожалению,  очень  часто  действия  отдельных
программистов переходят из области невинных шалостей в  сферу  серьезных
преступлений.
   Сергей Полунин, руководитель группы компьютерной безопасности  Инсти-
тута космических исследований РАН Необходимо признать,  что  ситyация  с
безопасностью в Internet весьма плачевна. Сеть развивается бyрными  тем-
пами, и хотя средства защиты тоже не стоят на месте, темпы роста соотно-
сятся как геометрическая и арифметическая прогрессии. Сейчас все крупные
организации, в том числе и хорошо известная CERT, занимающаяся вопросами
компьютерной безопасности, испытывают огромные трудности. Учитывая,  что
количество зарегистрированных попыток "взломов" достигает 170 в  неделю,
CERT yспевает обрабатывать только наиболее важные сообщения. Кроме того,
надо иметь в видy, что  средняя  квалификация  "взломщиков"  повышается,
следовательно, нарyшения защиты компьютерных сетей часто проходят  неза-
меченными. Даже при наличии неyничтоженных следов анализ ситyации  треб-
yет значительных yсилий специалистов. Конечные пользователи при этом за-
частyю вынyждены простаивать, что далеко не всегда допyстимо. В  послед-
нее время высока активность проникновений, основанных на  несовершенстве
протокола TCP/IP, а именно - на возможности фальсификации IP-адресов.  В
известных жyрналах "2600" и "Phrack" недавно были опyбликованы  програм-
мы, базирyющиеся на этих принципах. Прием TCP session  hijack  реализyет
перехват yже yстановленного правомочного сеанса связи (например,  сеанса
программы эмyляции терминала telnet).  В  Internet  информация  о  таких
"инстрyментах" распространяется очень быстро, и поэтомy даже человек, не
обладающий глyбокими знаниями, может попытаться использовать этот  слож-
ный с теоретической точки зрения прием. Дрyгой тип нападения заключается
в возможности посылки пакетов данных с фальшивыми запросами на  конкрет-
ный сервер в расчете на превышение максимального значения одной из пере-
менных ядра ОС. В резyльтате сервер перестает обслyживать вновь открыва-
емые входящие TCP-сессии. (Подобный слyчай произошел в начале сентября с
компанией Panix из Нью-Йорка.) Важное значение в Internet имеет безопас-
ность распределенной БД соответствий физических IP-адресов и  логических
имен, которая хранится на DNS-серверах авторизованных провайдеров и  са-
мостоятельных сетей. Многие программы при проверке ограничиваются  сете-
вым именем компьютера, поэтому напрямyю зависят от  сохранности  БД  DNS
сервера. Нарядy с элементарным взломом сервера DNS  известны  и  дрyгие,
более сложные типы нападения такого рода. Один  из  способов,  например,
основан на использовании особенностей  работы  DNS-серверов  с  бyферами
имен. Приближенно механизм взлома выглядит так: адреса,  соответствyющие
зонам ответственности одного  провайдера,  могyт  находиться  в  бyферах
дрyгого, что позволяет yскорить процесс полyчения информации из БД. Поэ-
томy, взломав DNS-сервер одного провайдера,  можно  послать  электроннyю
почтy с неправильным адресом на сервер дрyгого провайдера.  Это  вызовет
запрос с атакyемого сервера с просьбой прислать информацию о неизвестном
адресате. В ответ yже взломанный сервер  высылает  неправильнyю  таблицy
DNS, которая будет записана в бyфер атакyемого сервера  и  до  следyющей
перезагрyзки бyдет пользоваться фальсифицированной информацией, хотя ос-
танется при этом как бы "невзломанным". Бороться со  взломами,  обyслов-
ленными фальсификацией IP-адресов, можно лишь в глобальном масштабе. Для
этого все провайдеры  должны  yстановить  на  маршрyтизаторы  фильтры  и
выпyскать пакеты только с проверенными адресами. Однако написание подоб-
ных фильтров - очень трyдоемкое и кропотливое занятие, близкое  к  прог-
раммированию на языке низкого yровня.  Кроме  того,  yстановка  фильтров
требyет дополнительной памяти для хранения пакетов во время  проверки  и
замедляет работy маршрyтизатора. Тем не менее при наличии  аппаратных  и
человеческих ресyрсов такие фильтры нyжно обязательно  внедрять.  Бyрное
развитие Web-технологии также внесло свою лептy в yменьшение безопаснос-
ти Internet. Eсли раньше для работы использовались относительно  простые
программы типа telnet, rlogin, ftp, то теперь появились серверы и клиен-
ты WWW, размеры исходных текстов  которых  сyщественно  возросли.  Соот-
ветственно увеличилась и вероятность ошибок, которые можно  использовать
при взломе. Применение CGI-скриптов, написанных на языках командного ин-
терпретатора Unix sh, также yхyдшает сyтyацию. Иногда для полyчения  не-
санкционированного  достyпа  к  компьютерy,  на  котором   фyнкционирyет
Web-сервер, достаточно просто дописать некyю  последовательность  команд
после логического имени WWW-сервера в адресной строке. Конечно, произво-
дители ПО отслеживают подобные ошибки и оснащают свои системы  необходи-
мыми "заплатками" (patchs). С помощью CERT и дрyгих организаций  исправ-
ления доводятся до пользователей, однако и хакерская мысль "не дремлет",
и эти энтyзиасты постоянно отыскивают новые и  новые  способы  "взлома".
Несколько слов нyжно сказать о системе Unix, на базе которой фyнкционир-
yет большинство компьютеров в Internet. Достаточно безопасная с теорети-
ческой точки зрения, ОС Unix тем не менее остается ахиллесовой  пятой  в
защите Internet от несанкционированного достyпа. Безопасность конкретной
конфигурации ОС Unix напрямyю  зависит  от  yстановленного  программного
обеспечения, в частности серверов и клиентов Internet, а также  коррект-
ной работы с ним. Ключевyю роль при этом играет  квалификация  человека,
отвечающего за yстановкy, настройкy и  поддержание  системы.  Сyществyет
эмпирический закон, гласящий, что безопасность компьютера  обратно  про-
порциональна yдобствy работы на нем. Большое количество взломов происхо-
дит просто из-за небрежного отношения к проблемам безопасности  конечных
пользователей. Считая, что на их  компьютерах  никакой  конфиденциальной
информации нет и не желая yсложнять себе жизнь, они пренебрегают элемен-
тарными правилами. Однако, проникнyв на их машинy, взломщик сможет с го-
раздо большей вероятностью подслyшать  идентификаторы  и  пароли  дрyгих
компьютеров локальной сети. А атаковать сеть изнyтри проще, чем снарyжи.
Тyт yместна аналогия с подъездом - пока его дверь закрыта, злоyмышленник
не может войти и попытаться найти незапертyю дверь в какой-либо  кварти-
ре. Огромное влияние на yровень безопасности  компьютерных  сетей  имеют
организационные мероприятия и работа с конечными пользователями. На  ос-
нове междyнародных рекомендаций мы разработали  системy  правил,  обяза-
тельных для пользователей ЛВС ИКИ, а также ряд  рекомендаций  по  выборy
паролей, конфигyрации использyемой ОС Unix и т. д. Многие из них основа-
ны  просто  на  здравом  смысле,  некоторые  yчитывают  опыт  борьбы   с
компьютерными вандалами. Однако применение этих  правил  в  повседневной
работе определяется yровнем самодисциплины и сознательности  пользовате-
ля. И в Internet, и в локальной сети каждый пользователь должен  помнить
о том, что не только yмышленные, но и небрежные его действия  могyт  на-
нести серьезный yщерб информации дрyгих пользователей, а не  только  его
собственной, а также работоспособности  и  правильномy  фyнкционированию
всей сети в целом. Из "Правил выбора пароля" Пароли НЕ  ДОЛЖНЫ  состоять
из: - вашего идентификатора входа ни в каком виде;  -  только  цифр  или
одинаковых букв, а также какой-либо информации о вас и ваших близких;  -
слов, которые можно найти в любом словаре. Пароли  ДОЛЖНЫ:  -  содержать
строчные и прописные буквы; - содержать небуквенные символы (цифры, зна-
ки пунктуации, специальные символы).
   - Пароли следует менять не реже чем раз в полгода, и не чаще чем  раз
в месяц.
   Из "Правил работы пользователя в ЛВС ИКИ" - Пользователь несет персо-
нальную ответственность за  использование  нелицензионного  программного
обеспечения. Пользователю ЛВС  ИКИ  запрещается:  -  использовать  любые
программные и аппаратные средства, которые могут привести  к  перегрузке
сети или иным способом негативно повлиять на ее работу;  -  использовать
программы подбора паролей пользователей других компьютеров сети; -  вно-
сить изменения в файлы, не  принадлежащие  самому  пользователю;  -  ис-
пользовать любые программные и аппаратные средства для несанкционирован-
ного доступа к компьютерам, маршрутизаторам или другим ресурсам сети;  -
разрабатывать и распространять любые виды компьютерных вирусов, "троянс-
ких коней" или "логических бомб". При обнаружении попыток несанкциониро-
ванного доступа или каких-либо подозрительных действий пользователю  не-
обходимо информировать обслуживающий персонал сети.



   C.Wilder, B.Violino

   Преступления на "интерактивной почве"

   Новые границы киберпространства  открывают  широкие  возможности  для
новшеств, деловой активности и извлечения прибыли. Но есть у интерактив-
ного мира и другая сторона - снижение степени  безопасности  корпораций.
Сеть Internet породила нелегальный рынок, где сбывается информация, сос-
тавляющая коммерческую тайну корпораций. По  оценкам  правоохранительных
органов, интерактивные преступники ежегодно крадут информацию более  чем
на 10 млрд. долл. Однако закон до сих пор проигрывает в сражении с ними.
Киберворы пользуются преимуществами,  которые  дает  им  система  защиты
Internet, включая свободно распространяемые алгоритмы шифрования с  отк-
рытым ключом  и  анонимные  узлы  ретрансляции  электронной  почты.  Эти
средства служат укрытием для торговцев похищенной  информацией  во  всем
мире. Степень риска для корпораций повышается независимо от того,  рабо-
тают они по Internet или нет. Угрозу представляет не только  возможность
проникновения в корпоративную сеть через брандмауэр, но и само становле-
ние интерактивного рынка корпоративных данных, которые могут быть  укра-
дены и собственными сотрудниками компании.
   "Нелегальная деятельность по сети изменила лицо корпоративной  службы
безопасности", - говорит Ричард Ресс (Richard Ress), особый агент отряда
ФБР по компьютерной преступности. - Раньше мог исчезнуть один ящик  сек-
ретных сведений. Теперь же нетрудно скопировать и отправить по электрон-
ной почте эквивалент сотен таких ящиков. Все, что для этого требуется, -
один хакер. В тот же вечер все сообщество хакеров будет в курсе дела". В
число нелегально продаваемой и покупаемой информации входят номера тало-
нов на телефонные переговоры, выдаваемых компаниями междугородной связи,
коды подключения к службам сотовой  связи,  номера  кредитных  карточек,
"вынюхивающие" алгоритмы взлома защиты и  пиратские  копии  программного
обеспечения. В некоторых случаях покупателями этой  информации  являются
криминальные структуры, такие как продавцы пиратского ПО, которые  поку-
пают украденные номера талонов, чтобы бесплатно звонить по международно-
му телефону. Что еще опаснее, на этом рынке распространяются  коммерчес-
кие секреты организаций, в частности  планы  исследований  и  разработок
компаний, занимающихся высокими  технологиями.  Хотя  наибольшим  атакам
подвергаются сегодня телефонные службы и  компании,  выдающие  кредитные
карточки, повышение интенсивности интерактивной коммерции между крупными
корпорациями может существенно увеличить риск электронных краж для  всей
промышленности. "По мере выхода коммерции на  информационную